Produkthandbuch. and Web Security Appliances 5.6 Patch 1

Transkript

1 Produkthandbuch and Web Security Appliances 5.6 Patch 1

2 COPYRIGHT Copyright 2011 McAfee, Inc. Alle Rechte vorbehalten. Diese Publikation darf in keiner Form und in keiner Weise ohne die schriftliche Genehmigung von McAfee, Inc., oder ihren Lieferanten und angeschlossenen Unternehmen ganz oder teilweise reproduziert, übermittelt, übertragen, in einem Abrufsystem gespeichert oder in eine andere Sprache übersetzt werden. MARKEN AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN, WEBSHIELD sind eingetragene Marken oder Marken von McAfee, Inc. und/oder der Tochterunternehmen in den USA und/oder anderen Ländern. Die Farbe Rot in Verbindung mit Sicherheit ist ein Merkmal der McAfee-Produkte. Alle anderen eingetragenen und nicht eingetragenen Marken in diesem Dokument sind alleiniges Eigentum der jeweiligen Besitzer. INFORMATIONEN ZUR LIZENZ Lizenzvereinbarung HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWAREPAKET ODER SEPARAT (ALS BROSCHÜRE, DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN MCAFEE ODER IHREN HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK. 2 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

3 Inhaltsverzeichnis Einleitung 7 Informationen zu diesem Handbuch Zielgruppe Konventionen Quellen für Produktinformationen Kontaktinformationen ale Komponenten und verwandte Produkte Arbeiten mit McAfee and Web Security Appliances Die Benutzeroberfläche Allgemeine Tasks in der Benutzeroberfläche Von and Web Security Appliances verwendete Ports Ressourcen Übersicht über Dashboard-Funktionen 21 Dashboard Einstellungen bearbeiten Diagramme Voreinstellungen bearbeiten Übersicht über Berichtsfunktionen 29 Berichttypen Geplante Berichte Übersicht über -Berichte Interaktive Berichte Gesamtansicht Interaktive Berichte Zeitanzeige Interaktive Berichte Einzelansicht Interaktive Berichte Detailansicht Auswahl Favoriten Auswahl Filter Übersicht über Web-Berichte Interaktive Berichte Gesamtansicht Interaktive Berichte Zeitanzeige Interaktive Berichte Einzelansicht Interaktive Berichte Detailansicht Auswahl Favoriten Auswahl Filter Systemberichte Interaktive Berichte Detailansicht Auswahl Favoriten Auswahl Filter Übersicht über -Funktionen 63 Lebenszyklus einer -Nachricht Nachrichtensuche Zusammenfassung Konfiguration and Web Security Appliances 5.6 Patch 1 Produkthandbuch 3

4 Inhaltsverzeichnis Protokollkonfiguration Empfangen von s Senden von s Richtlinien Einführung in die Richtlinien Menü "Scan-Richtlinien für s" Informationen zu Protokollvoreinstellungen Scan-Richtlinien für s Wörterbücher Registrierte Dokumente Quarantäne-Konfiguration Quarantäneoptionen Quarantäne-Digest-en Inhalt der Digest-Nachrichten Übersicht über Web-Funktionen 179 Web-Konfiguration HTTP-Verbindungseinstellungen HTTP-Protokolleinstellungen ICAP-Verbindungseinstellungen ICAP-Authentifizierung ICAP-Protokolleinstellungen FTP-Verbindungseinstellungen FTP-Protokolleinstellungen Web-Richtlinien Einführung in die Richtlinien Scan-Richtlinien für das Web Wörterbücher Übersicht über Systemfunktionen 227 Appliance-Verwaltung Allgemein DNS und Routing Datum und Uhrzeit Appliance-Verwaltung Remote-Zugriff USV-Einstellungen Datenbankwartung Appliance-Verwaltung Systemverwaltung Standardeinstellungen des Servers Cluster-Verwaltung Konfiguration sichern und wiederherstellen Konfigurations-Push Lastenausgleich Ausfallsicherer Modus Benutzer, Gruppen und Dienste Verzeichnisdienste Webbenutzer-Authentifizierung Richtliniengruppen Rollenbasierte Benutzerkonten Virtuelles Hosting Virtuelle Hosts Virtuelle Netzwerke Zertifikatsverwaltung Zertifikate Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) Protokollierung, Warnungen und SNMP and Web Security Appliances 5.6 Patch 1 Produkthandbuch

5 Inhaltsverzeichnis -Warnungen SNMP-Warnungseinstellungen SNMP-Überwachungseinstellungen Systemprotokollereignisse WebReporter Protokollierungskonfiguration Komponentenverwaltung Aktualisierungsstatus Paketinstallationsprogramm epo Setup-Assistent Begrüßung Übersicht über Fehlerbehebungsfunktionen 343 Tools zur Fehlerbehebung Ping- und Traceroute Systemzustand Route-Informationen Speicherplatz Berichte zur Fehlerbehebung Minimum-Eskalations-Bericht Netzwerkverkehr aufzeichnen Quarantäne speichern Protokolldateien Fehlerberichts-Tool Tests Systemtests Übersicht über die and Web Security Appliances und die Integration von epolicy Orchestrator 355 Zusammenarbeiten von Appliances mit epolicy Orchestrator Unterschiede bei der Verwaltung von and Web Security Appliance unter epolicy Orchestrator Konfigurieren der Appliance für die epolicy Orchestrator-Verwaltung Entfernen der epolicy Orchestrator-Erweiterung Verwalten Ihrer Appliances in epolicy Orchestrator Index 363 and Web Security Appliances 5.6 Patch 1 Produkthandbuch 5

6

7 Einleitung Dieses Handbuch bietet Informationen, die Sie beim Konfigurieren, Verwenden und Warten Ihres McAfee-Produkts benötigen. Informationen zu diesem Handbuch In diesem Abschnitt werden die Zielgruppe des Handbuchs, die verwendeten typografischen Konventionen und Symbole sowie die Gliederung des Handbuchs beschrieben. Zielgruppe Die Dokumentation von McAfee wird inhaltlich sorgfältig auf die Zielgruppe abgestimmt. Die Informationen in diesem Handbuch richten sich in erster Linie an: Administratoren Personen, die das Sicherheitsprogramm eines Unternehmens implementieren und umsetzen. Konventionen In diesem Handbuch werden folgende typografische Konventionen und Symbole verwendet. Buchtitel oder Hervorhebung Fett Benutzereingabe oder Pfad Code Titel eines Buchs, Kapitels oder Themas; Einführung eines neuen Begriffs; Hervorhebung. Text, der stark hervorgehoben wird. Befehle oder andere Texte, die vom Benutzer eingegeben werden; der Pfad eines Verzeichnisses oder Programms. Ein Code-Beispiel. Benutzeroberfläche Hypertext-Blau Wörter aus der Benutzeroberfläche, einschließlich en, Menüs, Schaltflächen und Dialogfeldern. Ein funktionsfähiger Link auf ein Thema oder eine Website. Hinweis: Zusätzliche Informationen, beispielsweise eine alternative Methode für den Zugriff auf eine. Tipp: Vorschläge und Empfehlungen. Wichtig/Vorsicht: Wichtige Ratschläge zum Schutz Ihres Computersystems, der Software-Installation, des Netzwerks, Ihres Unternehmens oder Ihrer Daten. Warnung: Wichtige Ratschläge, um körperliche Verletzungen bei der Nutzung eines Hardware-Produkts zu vermeiden. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 7

8 Einleitung ale Komponenten und verwandte Produkte Quellen für Produktinformationen McAfee stellt Ihnen die Informationen zur Verfügung, die Sie in den einzelnen Phasen der Produktimplementierung benötigen von der Installation bis hin zur täglichen Nutzung und Fehlerbehebung. Nach der Produktveröffentlichung erhalten Sie Informationen zu diesem Produkt online in der KnowledgeBase von McAfee. Vorgehensweise 1 Wechseln Sie zum McAfee ServicePortal des technischen Supports unter mysupport.mcafee.com. 2 Greifen Sie unter Self Service (Online-Support) auf die Informationen zu, die Sie benötigen: Zugriff auf Vorgehensweise Benutzerdokumentation 1 Klicken Sie auf Product Documentation (Produktdokumentation). 2 Wählen Sie in der Dropdownliste Product (Produkt) ein Produkt und anschließend eine Version aus. 3 Wählen Sie ein Produktdokument aus. KnowledgeBase Klicken Sie auf Search the KnowledgeBase (KnowledgeBase durchsuchen), um Antworten auf Ihre produktbezogenen Fragen zu erhalten. Klicken Sie auf Browse the KnowledgeBase (KnowledgeBase durchblättern), um Artikel nach Produkt und Version aufzulisten. Kontaktinformationen Nutzen Sie diese Informationen, um Kontakt zu McAfee aufzunehmen. Wenden Sie sich an Ihren lokalen McAfee-Händler oder besuchen Sie ale Komponenten und verwandte Produkte Für die Appliances sind mehrere Komponenten und verwandte Produkte verfügbar. Einige Komponenten können vollständig in die Appliances integriert werden. Andere Produkte bieten einen zentralen Punkt für die Überwachung und Verwaltung verschiedener McAfee -Produkte, einschließlich der Appliances. In der folgenden Tabelle werden die optionalen Komponenten und verwandten Produkte beschrieben. Weitere Informationen finden Sie auf der Website von McAfee. Verwandte Produkte Die folgenden McAfee-Produkte können zusammen mit Ihrer McAfee and Web Security Appliance verwendet werden: Komponente/Produkt Kompatibel mit folgenden Appliance-Typen McAfee Quarantine-Manager Konsolidiert die Quarantäneverwaltung für viele McAfee-Produkte, einschließlich der Appliances. +Internet McAfee epolicy Orchestrator Bietet einen zentralen Steuerungspunkt für das Melden von Aktivitäten auf verschiedenen Appliances. Alle 8 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

9 Einleitung Arbeiten mit McAfee and Web Security Appliances Zusätzliche Hardware Einige Appliances enthalten zusätzliche Hardware: Zusätzliche Hardware Funktionen Appliance Beschleunigerkarte Höhere Durchsatzraten für das HTTP-Protokoll Glasfaserkarte Verbindung über Glasfaser anstatt über Kupferkabel. 3300, 3400 Karte für Remote-Zugriff Remote-Zugriff und bestimmte Verwaltungsfunktionen für die Appliance. Mit der Karte kann beispielsweise ein Image, das sich auf einer CD in einem anderen Computer befindet, remote auf der Appliance eingespielt werden. 3300, 3400 Bei Ihrer Appliance wird die zusätzliche Hardware für die von Ihnen erworbene Kombination aus Hardware und Software vorinstalliert. Kombinationen von Software und Hardware Folgende Kombinationen von Software und Hardware sind möglich: Appliance und Internet kombiniert Nur Nur Internet 3000 Ja Nein Nein 3100 Ja Nein Nein 3200 Ja Nein Nein 3300 Ja Nein Nein 3400 Nein Ja Ja M3 Content Security Blade Server Ja Ja Ja M7 Content Security Blade Server Ja Ja Ja Virtuelle Appliances Die McAfee and Web Security Appliance-Software ist auch als virtuelle Appliance verfügbar, die in einer VMware-Umgebung ausgeführt wird. Sie ist als kombinierte - und Web-Version der Software verfügbar. Arbeiten mit McAfee and Web Security Appliances Dieser Abschnitt beschreibt wichtige Konzepte für die Konfiguration Ihrer McAfee and Web Security Appliance. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 9

10 Einleitung Arbeiten mit McAfee and Web Security Appliances Die Benutzeroberfläche Verwenden Sie diese Seite, um die Elemente der Benutzerschnittstelle kennenzulernen. Ihre Benutzeroberfläche sieht möglicherweise etwas anders als die hier gezeigte Oberfläche aus, da sie aufgrund der Hardware-Plattform, Software-Version und Sprache der Appliance variieren kann. Verweis A B C D E F G Navigationsleiste Benutzerinformationsleiste Abschnittssymbole Registerkartenleiste Support-Steuerungsschaltflächen Steuerelemente anzeigen Inhaltsbereich A Navigationsleiste Die Navigationsleiste umfasst vier Bereiche: Benutzerinformationen, Abschnittssymbole, Registerkartenleiste und Support-Steuerelemente. B Benutzer-Informationsleiste C Abschnittssymbole Die Anzahl der Abschnittssymbole hängen von der verwendeten Software-Version ab. Klicken Sie auf ein Symbol, um die Informationen im Inhaltsbereich und in der Registerkartenleiste zu ändern. Die folgenden Symbole sind verfügbar: 10 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

11 Einleitung Arbeiten mit McAfee and Web Security Appliances Symbol Menü Funktionen Dashboard Auf dieser Seite finden Sie eine Übersicht über die Appliance. Von hier aus können Sie auf die meisten Seiten zugreifen, die die Appliance steuern. Berichte Auf den Seiten Berichte können Sie Ereignisse sehen, die auf der Appliance aufgezeichnet wurden, wie beispielsweise in s oder beim Web-Zugriff erkannte Viren und Systemaktivitäten wie etwa Details zu kürzlich erfolgten Aktualisierungen und Anmeldungen. Mithilfe der Seiten können Sie Bedrohungen in s verwalten, infizierte s isolieren und weitere Aspekte der -Konfiguration behandeln. Web Auf den Seiten für das Wen können Sie Bedrohungen bei Web-Downloads sowie andere Aspekte der Web-Konfiguration verwalten. System Auf den Systemseiten können Sie verschiedene Funktionen der Appliance konfigurieren. Fehlerbehebung Auf den Seiten zur Fehlerbehebung können Sie sämtliche Probleme im Zusammenhang mit der Appliance analysieren. D Registerkartenleiste Die Inhalte der Registerkartenleiste werden durch das ausgewählte Abschnittssymbol bestimmt. Die ausgewählte Registerkarte gibt vor, was im Inhaltsbereich angezeigt wird. E Support-Steuerungsschaltflächen Die Support-Steuerungsschaltflächen sind Aktionen, die für den Inhaltsbereich gelten. Symbol Aktualisiert den Inhalt. Bringt Sie zur zuvor angezeigten Seite zurück. Es wird empfohlen, auf diese Schaltfläche statt auf die Schaltfläche "Zurück" Ihres Browsers zu klicken. Dieses Symbol wird angezeigt, wenn Sie etwas konfigurieren, und ermöglicht es Ihnen, Ihre Änderungen anzuwenden. Dieses Symbol wird angezeigt, wenn Sie etwas konfigurieren, und ermöglicht es Ihnen, Ihre Änderungen zu verwerfen. Öffnet ein Fenster mit Hilfe-Informationen. Viele der Informationen in diesem Fenster finden Sie auch im Produkthandbuch. F Steuerelemente anzeigen Die Schaltfläche "Steuerelemente anzeigen" blendet ein Statusfenster ein oder aus. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 11

12 Einleitung Arbeiten mit McAfee and Web Security Appliances Das Statusfenster rechts unten in der Benutzeroberfläche zeigt alle kürzlich erfolgten Aktivitäten an. Neue Meldungen werden oben im Fenster hinzugefügt. Wenn eine Meldung blau und unterstrichen ist, können Sie auf den Link klicken, um eine andere Seite zu besuchen. Sie können das Fenster auch über die Links Leeren und Schließen verwalten. G Inhaltsbereich Der Inhaltsbereich enthält den derzeit aktiven Inhalt. Hier findet die meiste Interaktion statt. Die vorgenommenen Änderungen werden wirksam, nachdem Sie auf das grüne Häkchen geklickt haben. Allgemeine Tasks in der Benutzeroberfläche In diesem Abschnitt werden einige allgemeine Vorgehensweisen zum Einrichten, Konfigurieren und Verwalten der Appliance beschrieben. Aufgaben Aktivieren der Funktionen auf Seite 12 Um optimale Erkennung und bestmögliche Leistung zu gewährleisten, sind einige Funktionen der Appliance standardmäßig aktiviert, während andere Funktionen deaktiviert sind. Viele Dialogfelder und Fenster enthalten das Kontrollkästchen Aktiviert. Wenn Sie eine bestimmte Funktion verwenden möchten, muss dieses Kontrollkästchen für diese Funktion ausgewählt sein. Vornehmen von Änderungen an der Konfiguration der Appliance auf Seite 12 Mithilfe dieses Tasks können Sie Änderungen an der Arbeitsweise der Appliance vornehmen. Aktivieren der Funktionen Um optimale Erkennung und bestmögliche Leistung zu gewährleisten, sind einige Funktionen der Appliance standardmäßig aktiviert, während andere Funktionen deaktiviert sind. Viele Dialogfelder und Fenster enthalten das Kontrollkästchen Aktiviert. Wenn Sie eine bestimmte Funktion verwenden möchten, muss dieses Kontrollkästchen für diese Funktion ausgewählt sein. Vornehmen von Änderungen an der Konfiguration der Appliance Mithilfe dieses Tasks können Sie Änderungen an der Arbeitsweise der Appliance vornehmen. Vorgehensweise 1 Klicken Sie in der Navigationsleiste auf ein Symbol. Die blauen Registerkarten unter den Symbolen ändern sich so, dass die verfügbaren Funktionen angezeigt werden. 2 Klicken Sie auf die Registerkarten, bis Sie die benötigte Seite erreichen. Um nach einer beliebigen Seite zu suchen, sehen Sie sich die Registerkarten an, oder suchen Sie im Hilfe-Index nach dem Thema. Der Ort, an dem sich die Seite befindet, wird häufig unten auf der Hilfe-Seite beschrieben. Beispiel: System Appliance-Verwaltung Datenbankwartung 3 Wählen Sie auf der Seite die en aus. Klicken Sie auf die Hilfe-Schaltfläche (?), um Informationen zu den einzelnen en anzuzeigen. 4 Navigieren Sie bei Bedarf zu den anderen Seiten. 12 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

13 Einleitung Arbeiten mit McAfee and Web Security Appliances 5 Um Ihre Konfigurationsänderungen zu speichern, klicken Sie auf das grüne Häkchensymbol oben rechts im Fenster. 6 Geben Sie im Fenster Kommentar zur Konfigurationsänderung einen Ihre Änderungen beschreibenden Kommentar ein, und klicken Sie auf OK. Warten Sie ein paar Minuten, während die Konfiguration aktualisiert wird. 7 Um alle Ihre Kommentare anzuzeigen, wählen Sie in der Navigationsleiste System Cluster-Verwaltung Konfiguration sichern und wiederherstellen [+] Konfigurationsänderungen überprüfen. Verwenden von Listen In den folgenden Informationen wird die Verwendung der Listen innerhalb der and Web Security Appliances erläutert. Inhalt Erstellen und Anzeigen von Listen Hinzufügen von Informationen zu einer Liste Entfernen einzelner Elemente aus einer Liste Entfernen mehrerer Elemente aus einer Liste Ändern von Informationen in einer Liste Anzeigen von Informationen in langen Listen Anordnen von Informationen in einer Liste Anordnen von Informationen in einer Liste in alphabetischer Reihenfolge Erstellen und Anzeigen von Listen Auf zahlreichen Seiten der Benutzeroberfläche werden in Listen Informationen angegeben wie Domänen, Adressen und Port-Nummern. Sie können Listen neue Elemente hinzufügen und bestehende Elemente löschen. Die Anzahl der Zeilen und Spalten mag zwar unterschiedlich sein; alle Listen weisen jedoch ähnliche Funktionsweisen auf. In manchen Listen können Sie auch Elemente aus einer vorbereiteten Datei importieren und die Reihenfolge der Elemente ändern. Diese Aktionen stehen nicht in allen Listen zur Verfügung. In diesem Abschnitt werden alle Aktionen beschrieben, die in der Schnittstelle verfügbar sind. Hinzufügen von Informationen zu einer Liste Gehen Sie wie nachfolgend beschrieben vor, um über die Benutzeroberfläche Informationen zu einer Liste hinzuzufügen. Vorgehensweise 1 Klicken Sie unter der Liste auf Hinzufügen. Es wird eine neue Zeile in die Tabelle eingefügt. Falls es sich um Ihr erstes neues Element handelt, wird auf der linken Seite der Tabelle eine Spalte mit Kontrollkästchen angezeigt. Möglicherweise wird auch eine Spalte Verschieben auf der rechten Seite der Tabelle angezeigt. 2 Geben Sie die Details in die neue Spalte ein. Drücken Sie die Tabulatortaste, um in den Feldern zu navigieren. 3 Möchten Sie Hilfe zu den korrekten Informationen aufrufen, bewegen Sie den Cursor über eine Zelle in der Tabelle und warten Sie, bis ein Popup-Fenster angezeigt wird. Weitere Informationen erhalten Sie, indem Sie auf klicken. 4 Um neue Elemente sofort zu speichern, klicken Sie auf das grüne Häkchen:. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 13

14 Einleitung Arbeiten mit McAfee and Web Security Appliances Entfernen einzelner Elemente aus einer Liste Manche Listen sind sehr zeitaufwendig erstellt worden, daher können Sie nur ein Element gleichzeitig löschen, um zu verhindern, dass große Mengen von Informationen womöglich unabsichtlich gelöscht werden. Klicken Sie auf das Papierkorbsymbol. Wenn das Element nicht gelöscht werden kann, ist das Symbol nicht verfügbar: Alternativ gehen Sie wie folgt vor: Vorgehensweise 1 Klicken Sie auf das Element, um es zu auszuwählen. Die Zeile wird blassblau angezeigt. 2 Klicken Sie unter der Liste auf Löschen. Entfernen mehrerer Elemente aus einer Liste In sehr langen Listen haben Sie die Möglichkeit, mehrere Elemente gleichzeitig zu entfernen. Vorgehensweise 1 Wählen Sie in der Spalte mit den Kontrollkästchen links neben der Tabelle die gewünschten Elemente aus. Zum Auswählen mehrerer Elemente aktivieren Sie zuerst das Kontrollkästchen in der Titelzeile der Tabelle, um alle Elemente auszuwählen, und deaktivieren Sie dann diejenigen Elemente, die Sie behalten möchten. 2 Klicken Sie unter der Liste auf Löschen. 3 Um neue Änderungen sofort zu speichern, klicken Sie auf das grüne Häkchen:. Ändern von Informationen in einer Liste Gehen Sie wie nachfolgend beschrieben vor, um die in einer Liste enthaltenen Informationen über die Benutzeroberfläche zu ändern. Wenn ein Element nicht geändert werden kann, ist das Symbol nicht verfügbar:. Vorgehensweise 1 Klicken Sie auf das Bearbeitungssymbol. 2 Klicken Sie auf den Text, und löschen oder überschreiben Sie ihn. 3 Um neue Änderungen sofort zu speichern, klicken Sie auf das grüne Häkchen: 4 Um alle zuletzt vorgenommenen Änderungen zu verwerfen, klicken Sie auf die Schaltfläche zum Schließen oben rechts im Fenster. Anzeigen von Informationen in langen Listen Listen, die sehr viele Elemente enthalten, können Sie möglicherweise nicht vollständig anzeigen. 14 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

15 Einleitung Arbeiten mit McAfee and Web Security Appliances Vorgehensweise 1 Ihre Position in der Liste sowie die Gesamtlänge der Liste sehen Sie an dem ganz unten in der Liste angezeigten Text, wie beispielsweise Elemente 20 bis 29 von Zum schnellen Navigieren durch die Liste oder zum Anzeigen des Anfangs und des Endes klicken Sie auf die Pfeile rechts unten in der Liste. ( ). Anordnen von Informationen in einer Liste In einigen Listen werden Elemente nach ihrer Priorität geordnet angezeigt. Das erste Element in der Liste hat die höchste Priorität, das letzte Element die niedrigste. So ändern Sie die Priorität eines Elements: Vorgehensweise 1 Suchen Sie die Zeile, die das gewünschte Element enthält. 2 Klicken Sie in der Spalte Verschieben auf der rechten Seite der Tabelle auf den Pfeil nach oben bzw. nach unten: Anordnen von Informationen in einer Liste in alphabetischer Reihenfolge Wenn die Informationen als Liste angeboten werden, können Sie die Liste alphabetisch sortieren. Vorgehensweise So ändern Sie die Reihenfolge: Klicken Sie auf die Spaltenüberschrift, um die alphabetische Reihenfolge der Elemente in einer Spalte zu erzwingen. Elemente in anderen Spalten werden automatisch entsprechend sortiert. In der Spaltenüberschrift wird ein Symbol angezeigt, das angibt, dass die Spalte sortiert ist: Klicken Sie auf andere Spaltenüberschriften, um die Informationen anders zu sortieren. Klicken Sie auf die Symbole in der Spaltenüberschrift, um die alphabetische Reihenfolge der Informationen in einer einzelnen Spalte umzukehren und wiederherzustellen: Importieren und Exportieren von Informationen Themen, die beschreiben, wie Informationen importiert und exportiert werden. Inhalt Importieren vorbereiteter Informationen Exportieren vorbereiteter Informationen Importieren vorbereiteter Informationen Von einigen Seiten können Sie Informationen von anderen Geräten, Appliances oder Software-Programmen importieren, um sie auf der Appliance zu verwenden, wie zum Beispiel von einer zuvor vorbereiteten.csv-datei (mit kommagetrennten Werten). Importierte Informationen setzen normalerweise die ursprünglichen Informationen außer Kraft. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 15

16 Einleitung Arbeiten mit McAfee and Web Security Appliances Tabelle 1 Einige Formate für.csv-dateien (kommagetrennte Werte) Informationstyp Format Beispiel Domänen D, Domäne, IP-Adresse D, Netzwerkadresse N, IP-Adresse, IP-Subnetzmaske N, , Adresse E, -Adresse E, network_user@example.com Jedes Element in der Datei befindet sich auf einer eigenen Zeile. Vorgehensweise 1 Klicken Sie auf Importieren. 2 Suchen Sie im Fenster Importieren nach der Datei. Wenn weitere en im Dialogfeld angezeigt werden, nehmen Sie die entsprechenden Einstellungen für den jeweiligen Datei- oder Informationstyp vor, den Sie importieren. 3 Klicken Sie auf Öffnen, um die Informationen von der Datei zu importieren. Exportieren vorbereiteter Informationen Auf einigen Seiten können Sie Informationen von einer Appliance exportieren, um sie auf anderen Geräten, Appliances oder Software-Programmen zu verwenden. Die Informationen werden in verschiedenen Formaten generiert, beispielsweise als.zip-,.pdf- oder.csv-datei. Tabelle 2 Einige Formate für.csv-dateien (kommagetrennte Werte) Informationstyp Format Beispiel Domänen D, Domäne, IP-Adresse D, Netzwerkadresse N, IP-Adresse, IP-Subnetzmaske N, , Adresse E, -Adresse E, network_user@example.com Jedes Element in der Datei befindet sich auf einer eigenen Zeile. Vorgehensweise 1 Klicken Sie auf Exportieren. 2 Befolgen Sie im Fenster Exportieren die Anweisungen zum Erstellen der Datei. Von and Web Security Appliances verwendete Ports Anhand dieses Themas können Sie die Ports überprüfen, die von Ihrer McAfee and Web Security Appliance verwendet werden. Die Appliance nutzt verschiedene Ports für die Kommunikation mit Ihrem Netzwerk und anderen Geräten. Tabelle 3 Von and Web Security Appliances verwendete Ports Verwendung Protokoll Port-Nummer Software-Aktualisierungen FTP 21 Antiviren-Schutz HTTP FTP McAfee Global Threat Intelligence Datei-Reputation DNS 53 Anti-Spam-Regeln und Streaming-Updates HTTP 80 Anti-Spam-Modulaktualisierungen FTP and Web Security Appliances 5.6 Patch 1 Produkthandbuch

17 Einleitung Arbeiten mit McAfee and Web Security Appliances Tabelle 3 Von and Web Security Appliances verwendete Ports (Fortsetzung) Verwendung Protokoll Port-Nummer McAfee Global Threat Intelligence -Reputation SSL 443 McAfee Global Threat Intelligence Web-Reputation-Suche SSL 443 McAfee Global Threat Intelligence Update der Web Reputation-Datenbank HTTP 80 Domain Name System (DNS) DNS 53 McAfee Quarantine-Manager HTTP 80 Active Directory 389 McAfee Global Threat Intelligence-Feedback SSL 443 Abfang-Ports Beim Betrieb in einem der transparenten Modi, "Transparente Bridge" oder "Transparenter Router", verwendet die Appliance die folgenden Abfang-Ports, um den zu scannenden Datenverkehr abzufangen. Tabelle 4 Abfang-Ports Protokoll FTP 21 Port-Nummer HTTP 80 oder 8080 ICAP 1344 POP3 110 SMTP 25 Abhör-Ports Die Appliance verwendet gewöhnlich die folgenden Ports, um den Datenverkehr der einzelnen Protokolle abzuhören. Die Appliance fängt den eingehenden Datenverkehr auf den festgelegten Ports ab. Sie können für den Typ des Datenverkehrs, der von Ihrer Appliance gescannt wird, einen oder mehrere Abhör-Ports einrichten. Tabelle 5 Typische Abhör-Ports Protokoll FTP 21 HTTP 80 ICAP 1344 POP3 110 SMTP 25 Port-Nummer and Web Security Appliances 5.6 Patch 1 Produkthandbuch 17

18 Einleitung Arbeiten mit McAfee and Web Security Appliances Für die epolicy Orchestrator-Kommunikation verwendete Ports Wenn Sie konfigurieren, dass Ihre and Web Security Appliances von epolicy Orchestrator verwaltet werden sollen, oder wenn Sie festlegen, dass epolicy Orchestrator Ihre Appliances überwacht und Ereignisse protokolliert, werden standardmäßig die folgenden Ports für die Kommunikation zwischen epolicy Orchestrator und Ihren Appliances verwendet. Tabelle 6 Kommunikations-Ports für epolicy Orchestrator Port-Nutzung Port für Agent-zu-Server-Kommunikation 80 Sicherer Port für Agent-zu-Server-Kommunikation Kommunikationsport für Agenten-Reaktivierung Kommunikationsport für Agenten-Übertragung Port für Konsole-zu-Anwendungsserver-Kommunikation 8443 Port für authentifizierte Agent-zu-Server-Kommunikation 8444 Port-Nummer 443 (falls aktiviert) 8081 (Standard) 8082 (Standard) Ressourcen In diesem Thema werden die Informationen, Links und unterstützenden Dateien beschrieben, die Sie über das Dialogfeld Ressourcen aufrufen können. Klicken Sie oben in der Benutzeroberfläche der and Web Security Appliancein der schwarzen Informationsleiste auf Ressourcen. Das Dialogfeld Ressourcen enthält Links zu verschiedenen Bereichen oder zu Dateien, die Sie möglicherweise beim Einrichten der Appliance benötigen. Name des Links Technischer Support Probe einsenden Virusinformationsbibliothek Wenn Sie auf diesen Link klicken, wird die ServicePortal-Anmeldeseite des technischen Supports von McAfee geöffnet ( mysupport.mcafee.com/eservices/default.aspx). Über diese Seite können Sie die KnowledgeBase durchsuchen, die Produktdokumentation und Video-Tutorien anzeigen sowie auf andere Dienste des technischen Supports zugreifen. Wenn Sie vermuten, dass eine Datei infiziert ist, obwohl dies von Ihren McAfee-Systemen nicht erkannt wurde, können Sie sie sicher zur weiteren Analyse an McAfee senden. Folgen Sie dem Link Probe übermitteln, und melden Sie sich an, oder registrieren Sie sich als neuer Benutzer, um auf das McAfee Labs Tool zuzugreifen und verdächtige Dateien einzusenden. Viren entwickeln sich ständig weiter, und tagtäglich gibt es neue bösartige Dateien. Weitere Informationen zu bestimmten Viren oder anderen Bedrohungen finden Sie unter dem Link zum McAfee Threat Center. 18 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

19 Einleitung Arbeiten mit McAfee and Web Security Appliances Name des Links McAfee Spam Submission Tool epo-erweiterungen epo 4.5-Hilfe SMI-Datei MIB-Datei HP OpenView NNM Smart Plugin-Installationsprogramm Dieses KOSTENLOSE Tool integriert sich in Microsoft Outlook und erlaubt es Anwendern, Proben von übersehenem Spam und fälschlich als Spam eingeordnete s an McAfee Labs zu senden. Das McAfee Spam Submission Tool (MSST) Version 2.2 lässt sich auch bei McAfee Secure Content Management Appliances und dem McAfee Quarantine Manager dazu verwenden, die Bayesische Datenbank zu trainieren. Das Tool unterstützt automatisches Hinzufügen zu Blacklists und Whitelists und bietet ein Installationsprogramm, das automatische Installationen auf Skript-Basis erlaubt. Unterstützte Plattformen: Windows 2000 und Windows XP mit Microsoft Outlook 2000 oder höher. Das neueste MSST und die Dokumentation können unter der folgenden Adresse heruntergeladen werden: Laden Sie die epolicy Orchestrator-Erweiterungen für and Web Security Appliances herunter. Diese Datei enthält sowohl die EWG- als auch die EWS-Erweiterungen. Die EWG-Erweiterung ermöglicht die Berichterstellung in epolicy Orchestrator für die folgenden Produkte: and Web Security Appliances Version 5.5 and Web Security Appliances Version 5.6 McAfee Web Gateway McAfee Gateway Die EWS-Erweiterung bietet eine vollständige epolicy Orchestrator-Verwaltung für and Web Security Appliances Version 5.6. Damit Sie epolicy Orchestrator für die Berichterstellung oder die Verwaltung verwenden können, müssen die epo-erweiterungen auf Ihrem epolicy Orchestrator-Server installiert sein. Laden Sie die epolicy Orchestrator-Hilfe-Erweiterungen für die beiden oben angegebenen epo-erweiterungen herunter. Diese Datei installiert die zu den epolicy Orchestrator-Erweiterungen für and Web Security Appliances gehörenden Hilfe-Erweiterungen auf Ihrem epolicy Orchestrator-Server. Laden Sie die SMI-Datei (Structure of Managed Information) herunter, die mit dem SNMP (Simple Network Management Protocol) eingesetzt wird. Diese Datei enthält Informationen zur Syntax, die von der SNMP-MIB-Datei (Management Information Base) verwendet wird. Laden Sie die MIB-Datei für SNMP herunter. Mit dieser Datei werden die Informationen definiert, die Ihre and Web Security Appliance mithilfe von SNMP übermitteln kann. Laden Sie die HP OpenView Installationsprogrammdatei herunter, um die and Web Security Appliance für die Kommunikation mit HP OpenView zu konfigurieren. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 19

20

21 1 Übersicht 1 über Dashboard-Funktionen Beim ersten Öffnen des Browsers sehen Sie das Dashboard mit einer Zusammenfassung der Aktivitäten der Appliance. Dashboard Von hier aus können Sie auf die meisten Seiten zugreifen, die die Appliance steuern. Dashboard Das Dashboard bietet eine Zusammenfassung der Aktivitäten der Appliance. Dashboard Von dieser Seite aus können Sie auf die meisten Seiten zugreifen, die die Appliance steuern. Auf einer Cluster-Master-Appliance verwenden Sie diese Seite auch, um eine Übersicht der Aktivitäten im Appliance-Cluster anzuzeigen. Wenn Sie die Ansicht in einem Bereich ändern möchten, klicken Sie auf Bearbeiten, um ein anderes Fenster zu öffnen. Vorteile der Verwendung des Dashboards Das Dashboard bietet einen zentralen Ort, an dem Sie Zusammenfassungen der Aktivitäten der Appliance ansehen können. Abhängig davon, wie Sie Ihre Appliance konfiguriert haben, können Sie Informationen zu Folgendem ansehen: Von der Appliance verarbeitete s Gescannter Web-Verkehr Gesamtsystemstatus der Appliance Aktuelle Erkennungsraten Leistung Ihres Netzwerks -Nachrichten, die von der Appliance in die Warteschlange gestellt wurden Anzahl Ihrer eingerichteten Scan-Richtlinien, nach Protokoll getrennt and Web Security Appliances 5.6 Patch 1 Produkthandbuch 21

22 1 Übersicht über Dashboard-Funktionen Dashboard Sie können auch eine Liste von Links zu Aufgaben konfigurieren, die Sie häufig verwenden. Dies bietet Ihnen eine schnelle und einfache Methode, um zum richtigen Bereich der Benutzeroberfläche zu navigieren. Im unteren Bereich dieser Seite werden wichtige grafische Informationen zur Leistung der Appliance angezeigt. Jeder dieser Dashboard-Bereiche kann dahingehend angepasst werden, dass er die Informationen anzeigt, die Sie am häufigsten benötigen. Wenn Sie sich bei der Appliance anmelden und während der Arbeit auf den Konfigurationsseiten der Appliance wird in der unteren rechten Ecke des Bildschirms ein Dialogfeld angezeigt, das Informationen zu empfohlenen Konfigurationsänderungen oder Warnmeldungen hinsichtlich des Betriebs oder der Einstellungen der Appliance enthält. Bei der Ersteinrichtung der Appliance werden Sie beispielsweise gewarnt, dass sie als offenes Relay betrieben wird. Seite "Dashboard" 22 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

23 Übersicht über Dashboard-Funktionen Dashboard 1 Bereiche der Seite "Dashboard" -Erkennungen und Web-Erkennungen Systemstatus Aktuelle Erkennungsraten Netzwerk -Warteschlangen Scan-Richtlinien Vorgehensweise Lastenausgleich Diagramme... Zeigt die Anzahl der Erkennungen unter jedem Protokoll an. Klicken Sie auf Bearbeiten, um die Ansicht in diesem Fenster zu ändern. Obwohl Sie festlegen können, dass zu einem Protokoll keine Informationen angezeigt werden, scannt die Appliance den Verkehr weiterhin. Zeigt den Status wichtiger Komponenten an und ermöglicht Ihnen, Änderungen an den Einstellungen von empfohlenen Systemkonfigurationsänderungen vorzunehmen: Bei Aktualisierungen zeigt ein grünes Häkchen, dass die Komponenten automatisch aktualisiert werden. Wenn Sie eine manuelle Aktualisierung vornehmen möchten, klicken Sie auf den blauen Link. Für andere Komponenten gibt ein grünes Häkchen an, dass die Komponente innerhalb akzeptabler Grenzwerte betrieben wird. Weiterführende Informationen erhalten Sie, wenn Sie auf die blauen Links klicken. Sie können die Stufen anpassen, bei denen die Warnhinweissymbole angezeigt werden, und ändern, was im Dialogfeld mit den empfohlenen Konfigurationsänderungen angezeigt wird, indem Sie auf Bearbeiten klicken. Zeigt mithilfe von Symbolen den Status wichtiger Erkennungen der Appliance an. Zeigt die Anzahl der Verbindungen unter jedem Protokoll an. Obwohl Sie ein Protokoll nach Klicken auf Bearbeiten abwählen können, wickelt die Appliance den Verkehr weiterhin ab. Zeigt mithilfe von Symbolen die Anzahl der Elemente und die Anzahl der Empfänger für jedes Element in den Warteschlangen "In der Warteschlange", "Isoliert" und "Anfragen für Entlassen aus Quarantäne" an, die von der Appliance verwaltet werden. Wenn Sie auf die Seiten wechseln möchten, auf denen die Warteschlangen verwaltet werden, klicken Sie auf die blauen Links. Wenn Sie die s in den Warteschlangen schnell durchsuchen möchten, klicken Sie auf Schnellsuche. Zeigt eine Liste der von der Appliance eingesetzten Richtlinien an. Obwohl Sie ein Protokoll nach Klicken auf Bearbeiten abwählen können, wendet die Appliance weiterhin Richtlinien auf den Verkehr an. Wenn Sie die Scan-Richtlinien anzeigen oder weitere Richtlinien hinzufügen möchten, klicken Sie auf die blauen Links. Zeigt eine Liste häufiger Aufgaben an. Wenn Sie Aufgaben entfernen oder neu organisieren möchten, klicken Sie auf Bearbeiten. Auf einer Master-Cluster-Appliance wird der Status des Appliance-Clusters angezeigt. Um die Einstellungen der Anzeige zu ändern, klicken Sie auf Bearbeiten. Zeigt Diagramme an, die die zeitliche Aktivität der Appliance darstellen. Obwohl Sie ein Protokoll nach Klicken auf Bearbeiten abwählen können, überwacht die Appliance den Verkehr weiterhin. Lastenausgleich Dieser Abschnitt ist nur auf einer Cluster-Master-Appliance oder einem Management-Blade (auf einem Content Security Blade Server) verfügbar. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 23

24 1 Übersicht über Dashboard-Funktionen Dashboard Web Nachrichten pro Stunde ( ) Konversationen pro Stunde (Web) Status Wenn Sie hierauf klicken, zeigt die Anzeige Nachrichten pro Stunde ( ) oder Konversationen pro Stunde (Web) an. Zeigt den durchschnittlichen Durchsatz des Clusters auf der Grundlage der alle paar Minuten vorgenommenen Messungen. Wenn ein Cluster doppelt so viele Scan-Appliances umfasst, verdoppelt sich der Durchsatz fast. Zusätzliche Verwaltungsaktivitäten beanspruchen ebenfalls Verarbeitungsleistung. Zeigt den Status des Geräts an: Normaler Betrieb Erfordert Aufmerksamkeit Erfordert sofortige Aufmerksamkeit Typ des Scan-Geräts Zeigt den Typ des Scan-Geräts an: Cluster-Master Cluster-Failover and Web Security Appliance Security Appliance Web Security Appliance Web Gateway Name Status Auslastung Aktiv Zeigt den konfigurierten Namen der Appliance an. Zeigt den aktuellen Status der einzelnen Appliances an: Netzwerk Mit dem Netzwerk verbunden. Redundant Das Cluster-Failover-Gerät arbeitet derzeit nicht, übernimmt jedoch, falls die Master-Cluster-Appliance fehlschlägt. Installieren Installieren der Software. Synchronisieren Synchronisieren mit dem Cluster-Master. Starten Neustart wird durchgeführt. Herunterfahren Das Gerät wird heruntergefahren. Falsch konfiguriert Die Konfigurationsdatei ist fehlerhaft. Nicht konfiguriert Nicht für den Lastenausgleich konfiguriert. Deaktiviert Durch den Benutzer deaktiviert. Fehlgeschlagen Nicht mehr im Netzwerk. Es wurde kein "Heartbeat" erkannt. Fehler Auf dieser Appliance wurde ein Fehler festgestellt. Frühere Version Nicht mit dem Lastenausgleich kompatibel. Zeigt die durchschnittliche Systemauslastung während eines Zeitraums von fünf Minuten an. Zeigt die Anzahl an aktiven Verbindungen für jede Appliance an. Die Zeile für den Cluster-Master zeigt die Gesamtzahl für alle Appliances an. 24 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

25 Übersicht über Dashboard-Funktionen Dashboard 1 Verbindungen Informationen zur Komponentenversion Zeigt die Anzahl an Verbindungen an, die von den einzelnen Appliance verarbeitet wurden, seit die Zähler zum letzten Mal zurückgesetzt wurden. Zeigt die Versionen der Anti-Spam- und Antiviren-DAT-Dateien. Wenn die Appliances auf dem aktuellen Stand sind, stimmen die Versionsnummern überein. Während der Aktualisierung können die Werte voneinander abweichen. Um weitere Informationen anzuzeigen, bewegen Sie den Mauszeiger über den Text, und warten Sie, bis ein gelbes Kästchen angezeigt wird. Zählerverhalten Alle Zähler lösen für jede Erkennung einmal aus. Wenn beispielsweise eine Nachricht zwei Anhänge hat, die beide infizierte Inhalte enthalten, wird der Virenzähler um zwei erhöht. Die Informationen in der folgenden Tabelle gelten, sofern nicht anders angegeben, für SMTP- und POP3-Statistiken. Tabelle 1-1 Zählerverhalten Zähler Meldungen Sichere Nachrichten Blockierte Verbindungen Viren, PUPe, Compliance und Data Loss Prevention Spam und Phishing und Absenderauthentifizierung Sonstige Verhalten Der SMTP-Zähler wird in folgenden Fällen um eins erhöht: Wenn eine TCP-Verbindung zum SMTP-Port auf der Appliance hergestellt wird Ab dem zweiten <MAIL FROM>-Befehl, wenn mehrere s in derselben SMTP-Konversation empfangen werden Der POP3-Zähler wird für jede Nachricht, die von der Appliance heruntergeladen wird, um eins erhöht. Wird in den folgenden Fällen um eins erhöht: Wenn ein STARTTLS-Befehl über den Standard-SMTP-Port ausgegeben wird Wenn die Appliance die TLS-Konversation abfängt, ab dem zweiten <MAIL FROM>-Befehl, wenn mehrere s in derselben SMTP-Konversation empfangen werden Wenn Nachrichten über SMTPS gesendet werden Wird für jedes SYN-Paket um eins erhöht, das von einer IP-Adresse stammt, die eine Ablehnen, schließen und verweigern (Blockieren)-Aktion ausgelöst hat. Die RBL-Suchfunktion (Realtime Blackhole List) ist so konfiguriert, dass diese Aktion standardmäßig für die nächsten zehn Minuten ausgeführt wird. Siehe Absenderauthentifizierungseinstellungen RBL-Konfiguration auf Seite 134 Wird für jede Erkennung um eins erhöht. Wenn beispielsweise eine Nachricht zwei Anhänge hat, die beide infizierte Inhalte enthalten, wird der Virenzähler um zwei erhöht. Wird für jede Nachricht, die den Scanner auslöst, um eins erhöht Wird für jede Erkennung um eins erhöht. Gilt für Nachrichten, die aufgrund ihrer Größe gefiltert werden, Nachrichten, die bei Anti-Relay- und Directory-Harvest-Prüfungen durchfallen, und Nachrichten, die beschädigten Inhalt, geschützten Inhalt, verschlüsselten Inhalt oder signierten Inhalt enthalten. Aufgrund der Weise, wie das Dashboard Zähler aggregiert, gibt es eine kleine Differenz zwischen den Informationen, die im Dashboard angezeigt werden, und denen, die in einem geplanten Bericht enthalten sind. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 25

26 1 Übersicht über Dashboard-Funktionen Dashboard Information zu Statistiken, die in der Liste " -Warteschlangen" angezeigt werden Diese Informationen gelten für die Warteschlangen In der Warteschlange, Isoliert und Anfragen für Entlassen aus Quarantäne: Wenn eine Nachricht an zwei Empfänger gesendet und in die Zustellungswarteschlange gestellt wird (beispielsweise, weil der weiterführende MTA ausgefallen ist), gilt Folgendes: Die Anzahl der Elemente in der Warteschlange ist 1, da die Appliance eine Nachricht empfangen hat. Die Anzahl der Empfänger ist 2, da die Nachricht zwei Empfänger hat. Wenn Sie auf den Link In der Warteschlange klicken, werden zwei Elemente angezeigt, da für jeden Empfänger eine Nachricht vorhanden ist. Wenn zwei Nachrichten an einen Empfänger gesendet und in die Zustellungswarteschlange gestellt werden (beispielsweise, weil der weiterführende MTA ausgefallen ist), gilt Folgendes: Die Anzahl der Elemente in der Warteschlange ist 2, da die Appliance zwei Nachrichten empfangen hat. Die Anzahl der Empfänger ist 2, da jede Nachricht einen Empfänger hat. Wenn Sie auf den Link In der Warteschlange klicken, werden zwei Elemente angezeigt. Vorgehensweise Deaktivieren des Warnhinweises McAfee Global Threat Intelligence-Feedback deaktiviert Die Appliance zeigt standardmäßig eine Warnmeldung an, wenn das McAfee Global Threat Intelligence-Feedback (GTI-Feedback) nicht aktiviert ist, da es von McAfee als bewährte Vorgehensweise angesehen wird, diese Form der Kommunikation zu aktivieren. 1 Wählen Sie im Appliance-Dashboard im Bereich "Systemstatus" die Bearbeiten aus. 2 Deaktivieren Sie Einen Warnhinweis anzeigen, wenn McAfee GTI-Feedback nicht aktiviert ist. 3 Klicken Sie auf OK. Einstellungen bearbeiten Auf dieser Seite können Sie den Typ der Statusinformationen und die im Dashboard verfügbaren Aufgaben angeben. Die Informationen, die Sie mithilfe der Bearbeiten in jedem Dashboard-Bereich angeben können, beziehen sich auf den ausgewählten Bereich der Appliance. Dashboard Voreinstellungen bearbeiten Auf dieser Seite können Sie festlegen, für welche Protokolle Sie Statistiken wünschen, welche Zähler angezeigt werden sollen und welcher Berichtzeitraum verwendet werden soll. Die folgenden Zähler stehen zur Auswahl: "Nachrichten", "Sichere Nachrichten", "Blockierte Verbindungen", "Viren", "PUPe", "Spam und Phishing", "Absenderauthentifizierung", "Compliance", "Erkennungen von Data Loss Prevention" und "Andere Erkennungen". 26 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

27 Übersicht über Dashboard-Funktionen Dashboard 1 Dashboard Web-Erkennungen Bearbeiten Auf dieser Seite können Sie auswählen, für welche Protokolle Sie Berichte erstellen möchten, welche Zähler im Dashboard angezeigt werden sollen und welcher Berichtzeitraum verwendet werden soll. Die folgenden Zähler stehen zur Auswahl: "Anfragen", "Viren", "PUPe", "Gefilterte URLs", "SiteAdvisor ", "Compliance" und "Andere Erkennungen". Dashboard Aktuelle Erkennungsraten Bearbeiten Auf dieser Seite können Sie die Schweregrade auswählen, bei denen Sie basierend auf der Anzahl der erkannten Bedrohungen eine Warnung erhalten möchten. Es gibt zwei Schweregrade: Gelb und Rot. Zur Auswahl stehen "Virenerkennungsrate", "Rate blockierter Verbindungen", "Spam-Erkennungsrate", "Rate blockierter URLs" und "Andere Erkennungsraten". Dashboard Netzwerk Bearbeiten Auf dieser Seite können Sie festlegen, für welche Protokolle Verbindungs- und Durchsatzinformationen angezeigt werden sollen. Dashboard -Warteschlangen Bearbeiten Auf dieser Seite können Sie die Schweregrade auswählen, bei denen Sie basierend auf dem Festplattenspeicherplatz, der von isolierten und in der Warteschlange befindlichen Nachrichten belegt wird, der maximalen Kapazität des Quarantäne-Speicherorts, der Anzahl der in der Warteschlange befindlichen und isolierten Nachrichten und der Anzahl der Anfragen zur Entlassung aus der Quarantäne eine Warnung erhalten möchten. Es gibt zwei Schweregrade: Gelb und Rot. Dashboard Scan-Richtlinien Bearbeiten Auf dieser Seite können Sie festlegen, für welche Protokolle Richtlinien angezeigt werden sollen und ob im Dashboard detaillierte Richtlinieninformationen angezeigt werden sollen. Sie können die Werte auf jeder Seite auf die Standardeinstellungen zurücksetzen. Dashboard Systemstatus Bearbeiten and Web Security Appliances 5.6 Patch 1 Produkthandbuch 27

28 1 Übersicht über Dashboard-Funktionen Dashboard Auf dieser Seite können Sie die Schweregrade auswählen, bei denen Sie basierend auf dem Auslastungsdurchschnitt, der Swap-Rate des Speichers, der Datenträgerauslastung, den Versuchen, den ineffizienten Wörterbuch-regex zu verwenden, und der letzten Aktualisierung der Antiviren-, Anti-Spam- und URL-Filterungs-Definition eine Warnung erhalten möchten. Es gibt zwei Schweregrade: Gelb und Rot. Wenn Sie nicht länger Benachrichtigungen darüber erhalten möchten, dass die Appliance ein offenes Relay ist, dass für die webbasierte Benutzerauthentifizierung weitere Einstellungen festgelegt werden müssen oder dass Sie McAfee Global Threat Intelligence-Feedback nicht konfiguriert haben, klicken Sie im Bereich "Systemstatus" auf Bearbeiten, und deaktivieren Sie die entsprechenden Warnmeldungen. Dashboard Tasks Bearbeiten Auf dieser Seite können Sie angeben, welche Aufgaben direkt über das Dashboard verfügbar sein sollen, und deren Position in der Liste ändern. Wenn Sie den Berichtzeitraum ändern, wird diese Änderung in allen Statusabschnitten übernommen. Diagramme Voreinstellungen bearbeiten Auf dieser Seite können Sie Diagramme für die Anzeige im Dashboard konfigurieren. Dashboard Diagramme Bearbeiten Protokolle Zähler Schwellenwerte (nur -Zeitleistendiagramm) Berichtzeitraum Standardmäßig sind alle Protokolle ausgewählt. Standardmäßig sind alle Zähler ausgewählt. Diese gilt nicht für Netzwerkdiagramme. Zeigt Schwellenwerte für die -Zeitleistendiagramme an. Standardmäßig ist der Zeitraum die letzte Woche. 28 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

29 2 Übersicht über Berichtsfunktionen Dieses Thema bietet einen Überblick über die Funktionen der and Web Security Appliances, die die Meldung von Aktivitäten der Appliance betreffen. Berichte Inhalt Berichttypen Geplante Berichte Übersicht über -Berichte Übersicht über Web-Berichte Systemberichte Berichttypen Berichte können auf der Appliance, auf dem epolicy Orchestrator-Server oder extern erstellt werden. System Protokollierung, Warnung und SNMP Berichte Verwenden Sie externe Methoden, wenn Sie die berichteten Ereignisse für einen längeren Zeitraum aufbewahren möchten, als dies mit den Berichtsoptionen der Appliance selbst möglich wäre. Verwenden Sie die Funktionen, die unter System Protokollierung, Warnung und SNMP zur Verfügung stehen, oder senden Sie die Daten mit McAfee epolicy Orchestrator an einen externen Berichtsgenerator. Tabelle 2-1 en für externe Berichterstellung für externe Berichterstellung Systemprotokoll SNMP System Protokollierung, Warnung und SNMP. Unterstützt die für Splunk und ArcSight üblichen Ereignisformate. System Protokollierung, Warnung und SNMP. Unterstützt die en SNMP-Warnungseinstellungen und SNMP-Überwachungseinstellungen. Die.MIB-Datei kann von der Registerkarte Ressourcen aus heruntergeladen weredn, die über die Symbolleiste der Appliance geöffnet werden kann. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 29

30 2 Übersicht über Berichtsfunktionen Geplante Berichte Tabelle 2-1 en für externe Berichterstellung (Fortsetzung) für externe Berichterstellung -Warnungen McAfee epolicy Orchestrator McAfee Web Reporter System Protokollierung, Warnung und SNMP -Warnungen. Sie können die -Warnungen so konfigurieren, dass zu den unterschiedlichen Ereignissen, die in der Appliane auftreten, bestimmte Personen informiert werden. Verwenden Sie epolicy Orchestrator, wenn Sie Berichte über mehrere Appliances und Sicherheitsanwendungen innerhalb Ihrer Organisation erstellen möchten, beispielsweise zur Anzahl der insgesamt in der Organisation erkannten Viren. System Protokollierung, Warnung und SNMP. Generiert Berichte über URL-Filteraktivitäten. Weitere Informationen finden Sie im Produkthandbuch für McAfee Web Reporter, das von der McAfee-Download-Seite heruntergeladen werden kann. Das Appliance-Dashboard enthält Statistiken zu Ereignissen der Ebene "Hoch". Verwenden Sie die en in der Registerkarte Berichte für die Generierung regelmäßiger Berichte und Echtzeitberichte zu folgenden Ereignistypen auf der Appliance. Tabelle 2-2 Berichtsoptionen der Appliance Berichtstyp Geplante Berichte Berichte per versenden Web-Berichte Systemberichte Berichte Einrichten von Aktivitätsübersichten (nach Protokoll, Bedrohungstyp und Erkennung) und Berichten zu -Erkennungen, Web-Erkennungen und Systemereignissen, die regelmäßig generiert werden und an andere Administratoren gesendet werden können. Berichte Erstellen und Anzeigen von Informationen zu Bedrohungen, die in den von Ihrer Appliance verarbeiteten s erkannt wurden, und den nachfolgenden, von der Appliance ausgeführten Aktionen. Berichte Erstellen und Anzeigen von Informationen zu Bedrohungen, die in den Internetaktivitäten auf Ihrer Appliance erkannt wurden, und den nachfolgenden, von der Appliance ausgeführten Aktionen. Berichte Erstellen und Anzeigen von Informationen zu Aktualisierungen der Bedrohungserkennung und zu Systemereignissen. Geplante Berichte Auf dieser Seite können Sie eine Liste der verfügbaren Berichte zu von der Appliance erkannten Bedrohungen anzeigen. Berichte Geplante Berichte Sie können die Berichte anzeigen, sofort an andere Benutzer senden oder planen, dass Berichte in regelmäßigen Abständen gesendet werden. Vorteile der Erstellung von geplanten Berichten Es ist unerlässlich, Statistiken und Systemaktivitäten zur Bedrohungserkennung auf dem neuesten Stand zu halten und diese Informationen auszutauschen. Auf der Seite "Geplante Berichte" stehen Ihnen bereits einige vordefinierte Berichtstypen zur Verfügung, deren Inhalt und Frequenz Sie ändern 30 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

31 Übersicht über Berichtsfunktionen Geplante Berichte 2 können. Falls erforderlich können jedoch auch neue Berichtstypen erstellt werden. Die generierten Berichte können sofort oder in regelmäßigen Intervallen als in den Formaten PDF, HTML oder Text an andere Personen in Ihrer Organisation gesendet werden. Die automatische Ausführung der Standardberichte muss aktiviert werden. Dazu wählen Sie den Berichtstyp aus der Liste der verfügbaren Berichte und klicken auf Bearbeiten. Klicken Sie im Dialogfeld Bericht bearbeiten auf Geplante Zustellung aktivieren. Tabelle 2-3 Berichtstypen Übersicht Web Führt die Anzahl der Erkennungen nach Protokoll sowie die Art der Bedrohung auf, und liefert Details zu den Bedrohungsarten pro Protokoll Sicherheitsinformationen für (Eingang) zeigt den prozentualen Anteil und die Anzahl von Nachrichten an interne Benutzer an, die zugestellt oder wegen einer erkannten Bedrohung blockiert wurden Sicherheitsinformationen für (Ausgang) zeigt den prozentualen Anteil und die Anzahl von Nachrichten an interne Benutzer an, die zugestellt oder wegen einer erkannten Bedrohung blockiert wurden -Verkehr bietet Informationen, die den Verkehr der Nachrichten in die bzw. aus der Organisatiom betreffen Sicherheitstrend für Volumentrends für (Ein- und Ausgang) bietet Informationen, die die Menge der Nachrichten in die bzw. aus der Organisatiom betreffen -Größentrends (eingehend und ausgehend) bietet Informationen, die die Größe der Nachrichten in die bzw. aus der Organisatiom betreffen Durchschnittliche Anzahl von s zeigt die durchschnittliche Anzahl an Nachrichten an, die an die bzw. von der Organisation an einem Tag oder über einen längeren Zeitraum gesendet wurden Benutzeraktivität listet die internen oder externen Benutzer auf, die die meisten der blockierten Nachrichten erhalten oder gesendet haben Häufigste Erkennungen Listet die am häufigsten erkannten Viren, potentiell unerwünschten Programme, Spam- und Phishing-Angriffe sowie Fehler bei der Absenderauthentifizierung auf Web-Sicherheitsinformationen zeigt den prozentualen Anteil und die Anzahl von Web-Abfragen an, die durchgeführt oder wegen einer erkannten Bedrohung blockiert wurden Web-Verkehrinformationen zeigt an, wieviele geschützte, überwachte und legitime Web-Abfragen erkannt wurden Häufigste Erkennungen listet die am häufigsten erkannten Viren bzw. potenziell unerwünschten Programme an Benutzeraktivität listet Benutzer auf, die die meisten blockierten oder überwachten Webseiten besucht haben Web-Verkehr Web-Sicherheitstrend and Web Security Appliances 5.6 Patch 1 Produkthandbuch 31

32 2 Übersicht über Berichtsfunktionen Geplante Berichte Tabelle 2-3 Berichtstypen (Fortsetzung) System Datenträgerauslastung bietet Informationen zum verwendeten und freien Plattenspeicherplatz für Elemente wie die Protokoll- und Quarantäne-Partitionen Trend der Datenträgerauslastung stellt den Prozentsatz des verwendeten Speicherplatzes für jede Partition grafisch dar Bevorzugt Klicken Sie auf Bearbeiten, wählen Sie aus der Liste der vordefinierten Typen von -, Web- und Systemberichten, und senden Sie den Bericht gegebenenfalls täglich, wöchentlich oder monatlich an andere Personen in Ihrer Organisation. Die Liste enthält auch alle neuen bevorzugten Berichte, die Sie in den Bereichen "Interaktive -Berichterstattung" oder "Interaktive Web-Berichterstattung" erstellt haben. Benutzerschnittstelle sbeschreibungen Name Zeigt den Namen des Berichts an. Standardmäßig enthält die Liste einige Standardberichte, die nicht gelöscht werden können. Das Symbol gibt den Inhaltstyp in diesem Bericht an: Übersicht, beispielsweise Gesamtzahl der Erkennungen. -Aktivität Web-Aktivität Systemaktivitäten, beispielsweise die Datenträgerauslastung. EIne Auswahl bevorzugter Berichte. Herunterladen jetzt Zeigt den Titel an, der auf der ersten Seite des Berichts erscheint, sowie Zeitplaninformationen und die Liste der Empfänger des Berichts. Durch Klicken auf diese wird der Bericht erstellt. Danach haben Sie die Möglichkeit, diesen herunterzuladen, um ihn in einem Browser anzuzeigen oder als Datei zu speichern. Durch Klicken auf diese wird der Bericht erstellt und dann sofort an die angegebenen Empfänger versendet. Der normale Zeitplan zum Senden des Berichts ist davon unabhängig. wenn das Symbol deaktiviert ist, wurde der Zeitplan nicht festgelegt. Doppelklicken Sie auf das Symbol, und geben Sie dann Details unter Zustellzeitplan an. Neuer Bericht Durch Klicken auf diese wird ein neuer Bericht erstellt, der die exakte Kopie eines bestehenden Berichts ist. In einem Dialogfeld werden Sie dazu aufgefordert, weitere Informationen einzugeben: Berichtsname (Anzeige unter der Spalte Name auf dieser Seite) Berichtstitel (Anzeige am Anfang des Berichts) Klicken Sie auf OK, um zur Hauptseite zurückzukehren. Hier können Sie den neuen Bericht auswählen und über das Symbol unter Bearbeiten Ihren eigenen Bericht entwerfen. 32 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

33 Übersicht über Berichtsfunktionen Geplante Berichte 2 Bearbeiten Löschen Durch Klicken auf diese können Sie den Zeitplan, den Inhalt, das Format und die Zustellungsinformationen zum ausgewählten Bericht ändern. Durch Klicken auf dieses Symbol wird das ausgewählte Berichtsdokument gelöscht. Vorgehensweise Ermitteln der Anzahl der Erkennungen pro Protokoll und Bedrohungstyp in der vergangenen Woche 1 Wählen Sie Berichte Geplante Berichte. 2 Wählen Sie in der Liste der Berichtstypen Zusammenfassung aus, und klicken Sie auf Bearbeiten. 3 Stellen Sie im Dialogfeld Bericht bearbeiten den Berichtzeitraum auf 1 Woche ein. 4 Klicken Sie auf OK, um die Änderungen in die Appliance zu übernehmen. 5 Klicken Sie auf Herunterladen, um den Bericht zu generieren. Vorgehensweise Regelmäßiges Senden eines Berichts zur -Aktivität im PDF-Format an Ihren Manger montags um 10:00 Uhr 1 Wählen Sie Berichte Geplante Berichte. 2 Wählen Sie in der Liste der Berichtstypen aus, und klicken Sie auf Bearbeiten. 3 Klicken Sie im Dialogfeld Bericht bearbeiten auf Geplante Zustellung aktivieren. 4 Stellen Sie die Bericht gesendet auf Wöchentlich ein, und wählen Sie im Dropdown-Menü Montag aus. 5 Klicken Sie auf Neuer Empfänger und geben Sie myboss@examplecompany.com ein. 6 Klicken Sie auf OK, um die Änderungen in die Appliance zu übernehmen. Vorgehensweise Senden eines Berichts zur Web-Aktivität im PDF-Format an Ihren Manger täglich um 5:00 Uhr 1 Wählen Sie Berichte Geplante Berichte. 2 Wählen Sie in der Liste der Berichtstypen Web aus, und klicken Sie auf Bearbeiten. 3 Klicken Sie im Dialogfeld Bericht bearbeiten auf Geplante Zustellung aktivieren. 4 Legen Sie für die Bericht gesendet auf Täglich fest, und stellen Sie für die Um die Uhrzeit 17:00 ein. 5 Geben Sie im Feld Details zu Absender und Empfänger die Adresse webadministrator@examplecompany.com ein. 6 Wählen Sie Erweiterte en aus, und geben Sie für die Dokumentenformat den Wert HTML an. 7 Klicken Sie auf OK, um die Änderungen zu übernehmen. Vorgehensweise Senden eines Berichts an den -Administrator, der die Virenerkennungen in -Nachrichten der vergangenen Woche zeigt 1 Wählen Sie Berichte Geplante Berichte. 2 Wählen Sie in der Liste der Berichtstypen Bevorzugt aus, und klicken Sie auf Bearbeiten. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 33

34 2 Übersicht über Berichtsfunktionen Übersicht über -Berichte 3 Geben Sie im Feld Details zu Absender und Empfänger die Adresse administrator@examplecompany.com ein. 4 Wählen Sie Berichtsinhalt, und wählen Sie den Bericht Häufigste Viren aus. 5 Klicken Sie auf OK, um die Änderungen zu übernehmen. 6 Klicken Sie auf jetzt. Übersicht über -Berichte Auf dieser Seite können Sie Echtzeitberichte zu Bedrohungen, die in den von Ihrer Appliance verarbeiteten s erkannt wurden, und den nachfolgenden Aktionen, die von der Appliance ausgeführt wurden, erstellen und anzeigen. Berichte -Berichte Sie können einen Bericht basierend auf mehreren vordefinierten Filtern generieren oder die Filter bearbeiten, die Ergebnisse testen und den Bericht als neuen Bericht speichern. Vorteile der Erstellung von -Berichten Um einen optimalen Betrieb Ihrer -Infrastruktur zu gewährleisten, benötigen Sie Zugriff auf aktuelle Informationen über Bedrohungen, die in den von der Appliance verarbeiteten s erkannt wurden. Generieren Sie -Berichte, um die folgenden Informationen zu erhalten: Erkannte Bedrohungstypen, beispielsweise Viren oder Spam- und Phishing-Nachrichten Nachrichten, für die eine Aktion ausgeführt werden musste Nachrichten, bei denen verhindert wurde, dass sie in Ihr Netzwerk gelangen oder es verlassen Aktivitäten einzelner Absender Darüber hinaus können Sie die Funktion " -Berichte" zusammen mit der Funktion "Geplante Berichte" verwenden, um regelmäßige Berichte zu erstellen und sie sofort oder in regelmäßigen Abständen an andere Personen zu senden. Mithilfe der Funktion "Nachrichtensuche" ( Nachrichtensuche) können Sie beispielsweise eine Liste der blockierten -Nachrichten zusammenstellen. Die Nachrichtensuche findet eine Nachricht nicht, wenn die Appliance den Nachrichtentext nicht empfangen hat, wie es beispielsweise bei Nachrichten der Fall ist, die von der RBL (Realtime Blackhole List) blockiert wurden. Verwenden Sie in dieser Situation die Funktion " -Berichte", um Informationen zu einer einzelnen Nachricht zu erhalten. Einführung in die Seite " -Berichte" Die Seite -Berichte enthält mehrere Unterseiten, auf die über die Registerkarten unter Interaktive -Berichterstattung und Auswahl zugegriffen werden kann. Unter Interaktive -Berichterstattung stehen vier Registerkarten zur Verfügung, die unterschiedliche Ansichten der Ergebnisse eines Berichts bieten. Weitere Informationen hierzu finden Sie unter Ansichtstypen: 34 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

35 Übersicht über Berichtsfunktionen Übersicht über -Berichte 2 Gesamtansicht Zeitansicht Einzelansicht Detailansicht Unter Auswahl stehen zwei Seiten zur Verfügung: Auf der Seite Favoriten können Sie einen Bericht mit vordefinierten Filtern auswählen und ihn sofort generieren. Weitere Informationen hierzu finden Sie unter Berichtstypen. Die Seite Filter ermöglicht Ihnen, in jedem bevorzugten Bericht die Daten mithilfe von standardmäßigen und erweiterten Filtereinstellungen näher zu definieren und den Zeitraum festzulegen, für den Sie Daten abrufen möchten. Weitere Informationen hierzu finden Sie unter Filtertypen. Ansichtstypen Jeder Bericht, den Sie generieren, kann in einer der folgenden Ansichten dargestellt werden: Ansichtstyp Gesamtansicht Zeitansicht Einzelansicht Detailansicht Zeigt die Ergebnisse für jede Aktion im Balkendiagramm- und Tabellenformat an Zeigt die Ergebnisse für den angegebenen Zeitraum im Balkendiagramm- und Tabellenformat an. Die Ergebnisse werden bei stündlichen Berichten in Zeiträumen von zehn Minuten, bei 24-Stunden-Berichten in Zeiträumen von einer Stunde, bei wöchentlichen Berichten in Zeiträumen von sechs Stunden, bei zweiwöchentlichen Berichten in Zeiträumen von zwölf Stunden und bei monatlichen Berichten in Zeiträumen von einem Tag angezeigt. Zeigt Ergebnisse für jedes Filterkriterium oder für alle Filter im Kreisdiagramm- und Tabellenformat an. Zeigt alle Ergebnisse im Tabellenformat an. Die Ergebnisse werden für jede Erkennung in den Berichtsergebnissen angezeigt. Berichtstypen Die Appliance enthält einen Satz Berichte mit vordefinierten Filtern, der auf der Registerkarte Favoriten verfügbar ist. Sie können diese Berichte sofort ausführen oder sie mithilfe standardmäßiger und erweiterter Einstellungen bearbeiten, als neuen bevorzugten Bericht zur zukünftigen Ausführung speichern und anschließend in der Funktion Geplante Berichte verfügbar machen. Sie können die Standardeinstellung für jedem Bericht sehen, indem Sie den Mauszeiger links neben einen Berichtsnamen bewegen. Tabelle 2-4 sbeschreibungen -Zusammenfassung -Profil Häufigste Spam-Absender Zeigt Ergebnisse standardmäßig in der Gesamtansicht an. Die Ergebnisse zeigen die Anzahl der legitimen, überwachten, geänderten, umgeleiteten und blockierten Nachrichten, die am Tag zuvor verarbeitet wurden. Zeigt Ergebnisse standardmäßig in der Einzelansicht an. Die Ergebnisse zeigen die Anzahl der für jede Filterauswahl in der vorherigen Woche erkannten Elemente. Zeigt Ergebnisse standardmäßig in der Einzelansicht an. Die Ergebnisse werden standardmäßig mithilfe der Kategorie "Spam/Phishing" gefiltert und zeigen die Spam- oder Phishing-Nachrichten (oder beide) aus den letzten 24 Stunden, sortiert nach Absender. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 35

36 2 Übersicht über Berichtsfunktionen Übersicht über -Berichte Tabelle 2-4 sbeschreibungen (Fortsetzung) Häufigste Viren Legitim Überwacht Geändert Umgeleitet Blockiert Zeigt Ergebnisse standardmäßig in der Einzelansicht an. Die Ergebnisse werden standardmäßig mithilfe der Kategorie "Viren" gefiltert und zeigen die Viren, die in der vorherigen Woche erkannt wurden, oder die Ergebnisse für eine bestimmte von Ihnen angegebene Bedrohung. Zeigt Ergebnisse standardmäßig in der Zeitansicht an. Die Ergebnisse zeigen die Anzahl der Nachrichten, die für alle Bedrohungskategorien in den letzten 24 Stunden als "Legitim" kategorisiert (also ohne Erkennung oder Änderung zugestellt) wurden. Zeigt Ergebnisse standardmäßig in der Zeitansicht an. Die Ergebnisse zeigen die Anzahl der Nachrichten für alle Bedrohungskategorien in den letzten 24 Stunden, die ein Ereignisprotokoll ausgelöst haben, jedoch ohne Änderung zugestellt wurden. Zeigt Ergebnisse standardmäßig in der Zeitansicht an. Die Ergebnisse zeigen die Anzahl der geänderten Nachrichten (beispielsweise Nachrichten, die gesäubert oder durch eine Warnmeldung ersetzt wurden) für alle Bedrohungskategorien in den letzten 24 Stunden. Zeigt Ergebnisse standardmäßig in der Zeitansicht an. Die Ergebnisse zeigen die Anzahl der Nachrichten, die an einen anderen Server (beispielsweise einen Verschlüsselungsserver) weitergeleitet wurden, für alle Bedrohungskategorien in den letzten 24 Stunden. Zeigt Ergebnisse standardmäßig in der Zeitansicht an. Die Ergebnisse zeigen die Anzahl der ein- oder ausgehenden Nachrichten, die von der Appliance gestoppt wurden, für alle Bedrohungskategorien in den letzten 24 Stunden. Filtertypen Jeder Bericht ermöglicht Ihnen, die Ergebnisse nach standardmäßigen und erweiterten Kriterien zu filtern. Tabelle 2-5 sbeschreibungen Filteroptionen für -Berichte Zeitraum und Ende Protokoll Datenverkehr Absender Empfänger Zeigt Informationen für einen bestimmten Zeitraum von einer Stunde bis zu einem Monat an, basierend auf dem gewählten Startdatum. Wenn Sie darauf klicken, passen die Schaltflächen Vorherige/r/s und Nächste/r/s beispielsweise das Datum Ab an und gehen zur nächsten Woche oder zum vorhergehenden Tag. Zeigt die Protokolle an, die Sie ansehen möchten (beispielsweise SMTP). Zeigt den Datenverkehr an, entweder eingehend oder ausgehend. In einem einfachen Netzwerk werden Berichte zur Compliance bei ausgehendem Verkehr und Berichte zu Spam bei eingehendem Verkehr angezeigt. Zeigt Informationen zu einem Absender an, beispielsweise Wenn diese ausgewählt ist, geben die erweiterten en "Quelldomäne" und "Quellen-ID" die Domäne des Absenders oder dessen IP-Adresse an. Beispiele: server1.example.com bzw Zeigt Informationen zu einem Empfänger an, z. B. Bei entsprechender Auswahl finden Sie unter den erweiterten en Zieldomäne und Ziel-IP weitere Angaben zur Domäne bzw. IP-Adresse des Empfängers, z. B. server1.example.com und and Web Security Appliances 5.6 Patch 1 Produkthandbuch

37 Übersicht über Berichtsfunktionen Übersicht über -Berichte 2 Tabelle 2-5 sbeschreibungen Filteroptionen für -Berichte (Fortsetzung) Maßnahme Ermöglicht Ihnen, Berichte nach bestimmten Aktionen zu filtern, beispielsweise Legitim oder Blockiert. Beispiele: Zum Anzeigen von Informationen zu einem Absender oder Empfänger geben Sie Folgendes ein: <user@example.com> Der Name steht zwischen Winkelklammern. Zum Anzeigen von Informationen zu allen Absendernamen, die mit einem b oder B beginnen, geben Sie Folgendes ein: <b* Zum Anzeigen von Informationen zu allen Absendernamen, die mit einem b, B, e oder E beginnen, geben Sie Folgendes ein: <b*, <e* Kategorie Entdeckung Virus/PUPe Erweiterte en einblenden Quelldomäne Quell-IP Zieldomäne Ziel-IP Prüfungs-ID Richtlinie Zeigt Informationen zu einem bestimmten Erkennungstyp an, z. B. Spam oder Viren. Es werden verschiedene Auswahlmöglichkeiten angezeigt, es sei denn, die Alle wurde ausgewählt. Wenn Sie beispielsweise Inhalt ausgewählt haben, können Sie -Größe wählen. Zusätzliche Kategorien werden hier angezeigt, wenn Sie optionale Software installiert haben. Nur Bericht Häufigste Spam-Absender. Wählen Sie aus, ob der Bericht Ergebnisse für Spam-Absender, Phishing-Absender oder beide enthalten soll. Nur Bericht Häufigste Viren. Geben Sie den Namen des Virus oder potentiell unerwünschten Programms ein, um Erkennungsergebnisse für die jeweilige Bedrohung zu erhalten. Durch Klicken auf diese werden die unten stehenden en angezeigt. Klicken Sie auf Erweiterte Einstellungen ausblenden, um die en wieder auszublenden. Der Datenverkehr wird basierend auf der Domäne gefiltert, von der aus die Nachrichten gesendet werden. Der Datenverkehr wird basierend auf der Domäne gefiltert, von der aus die Nachrichten gesendet werden. Der Datenverkehr wird basierend auf der Domäne gefiltert, an die die Nachrichten gesendet werden. Der Datenverkehr wird basierend auf der Domäne gefiltert, an die die Nachrichten gesendet werden. Während der Verarbeitung von Datenverkehr durch die Appliance kann dem Datenverkehr eine Prüfungs-ID zugewiesen werden. Verwenden Sie dieses Feld, um nach Datenverkehr mit einer bestimmten Prüfungs-ID zu filtern. Bietet eine Auswahl an Richtlinien. Vorgehensweise Generieren einer Übersicht über die -Aktivitäten für einen bestimmten Absender Gehen Sie wie nachfolgend beschrieben vor, um Folgendes zu tun: Einen Bericht zu erstellen, der die globalen -Aktivitäten in den letzten 24 Stunden zeigt Diese Ergebnisse nach den Aktivitäten eines bestimmten Absenders zu filtern and Web Security Appliances 5.6 Patch 1 Produkthandbuch 37

38 2 Übersicht über Berichtsfunktionen Übersicht über -Berichte Den Bericht als neuen bevorzugten Bericht zur späteren erneuten Ausführung zu speichern Einen Zeitplan einzurichten, um den Bericht regelmäßig an den -Administrator zu senden Unteraufgabe Ausführen eines standardmäßigen Berichts zu -Aktivitäten 1 Klicken Sie auf Berichte -Berichte. 2 Wählen Sie in der Liste Favoriten den Bericht -Zusammenfassung (letzte 24 Std.) aus. 3 Klicken Sie auf Bericht ausführen, um einen Bericht für alle Benutzer zu generieren. Unteraufgabe Filtern nach den Daten für einen bestimmten Absender und Speichern des Berichts als neuer bevorzugter Bericht 1 Klicken Sie auf Filter. 2 Geben Sie unter Absender den Absender sender@examplecompany.com ein, und klicken Sie auf Übernehmen, um nach den Daten dieses Absenders zu filtern. 3 Klicken Sie auf Speichern, geben Sie einen Namen für den Bericht ein, und klicken Sie auf OK. Der Bericht wird in der Liste der Favoriten angezeigt. Unteraufgabe Einrichten eines Zeitplans, um den Bericht regelmäßig an den -Administrator zu senden 1 Klicken Sie auf Berichte Geplante Berichte. 2 Wählen Sie in der Liste der verfügbaren Berichtsdokumente Bevorzugt aus, und klicken Sie auf Bearbeiten. 3 Wählen Sie Geplante Zustellung aktivieren, und legen Sie fest, dass der Bericht Täglich um 17:00 Uhr ausgeführt werden soll. 4 Geben Sie die -Adresse des -Administrators ein. 5 Klicken Sie auf Berichtsinhalt. 6 Wählen Sie in der Liste der bevorzugten Berichte den von Ihnen erstellten Bericht aus, klicken Sie auf OK, und übernehmen Sie die Änderungen an der Appliance. Vorgehensweise Anzeigen der in der vorherigen Woche am häufigsten erkannten Viren Gehen Sie wie nachfolgend beschrieben vor, um die Gesamtanzahl der in der vorherigen Woche erkannten Viren anzuzeigen und die Daten mithilfe verschiedener Berichtsansichten zu analysieren. 1 Klicken Sie auf Berichte -Berichte. 2 Wählen Sie in der Liste Favoriten den Bericht Häufigste Viren aus, und klicken Sie auf Filter. 3 Klicken Sie auf Übernehmen, um den Bericht auszuführen. 4 Wählen Sie Zeitansicht, um die Aktion, die für jede Nachricht ausgeführt wurde, in Zeiträumen von acht Stunden unterteilt anzuzeigen. 5 Wählen Sie Detailansicht, um weitere Informationen, wie beispielsweise Richtliniendetails und die Quell-IP-Adresse für jede Nachricht, anzuzeigen. 38 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

39 Übersicht über Berichtsfunktionen Übersicht über -Berichte 2 Interaktive Berichte Gesamtansicht Auf dieser Seite können Sie die Aktionen anzeigen, die die Appliance während des unter Filter festgelegten Zeitraums gegen Bedrohungen unternommen hat. Berichte -Berichte Interaktive -Berichterstattung Gesamtansicht Berichte Web-Berichte Interaktive Web-Berichterstattung Gesamtansicht Die Informationen werden in einem horizontalen Balkendiagramm angezeigt. Wenn Sie keine Informationen sehen, klicken Sie auf der Registerkarte Filter auf Übernehmen, oder ändern Sie den Zeitraum, und klicken Sie auf Übernehmen. Für Informationen zu den Abschnitten Filter oder Favoriten auf der rechten Seite klicken Sie auf die entsprechende Registerkarte, und klicken Sie dann auf die Hilfe-Schaltfläche (?). Tabelle 2-6 sbeschreibungen Maßnahme Anzahl an -Nachrichten Zeigt eine Liste der Aktionen an, die von den Richtlinien der Appliance gegen die einzelnen -Nachrichten oder Web-Zugriffe durchgeführt wurden. Zeigt die Anzahl der -Nachrichten oder Web-Zugriffe an, bei denen diese Aktion angewendet wurde. Interaktive Berichte Zeitanzeige Auf dieser Seite können Sie die Aktionen anzeigen, die die Appliance während des unter Filter festgelegten Zeitraums gegen Bedrohungen unternommen hat. Berichte -Berichte Interaktive -Berichterstattung Zeitanzeige Berichte Web-Berichte Interaktive Web-Berichterstattung Zeitansicht Die Informationen werden in kleinen Intervallen in einem vertikalen Balkendiagramm angezeigt. Beispielsweise zeigt ein wöchentlicher Bericht die Aktivität für jeden Tag in Abschnitten von sechs Stunden. Wenn Sie keine Informationen sehen, klicken Sie auf der Registerkarte Filter auf Übernehmen, oder ändern Sie den Zeitraum, und klicken Sie auf Übernehmen. Es kann vorkommen, dass Sie manche älteren Daten nicht mehr sehen können, da das Protokoll der Appliance regelmäßig gelöscht wird. Für Informationen zu den Abschnitten Filter oder Favoriten auf der rechten Seite klicken Sie auf die entsprechende Registerkarte, und klicken Sie dann auf die Hilfe-Schaltfläche (?). and Web Security Appliances 5.6 Patch 1 Produkthandbuch 39

40 2 Übersicht über Berichtsfunktionen Übersicht über -Berichte Tabelle 2-7 sbeschreibungen Starten Legitim, Blockiert Zeigt den Beginn des Zeitraums an, z. B. zur vollen Stunde. Zeigt die Anzahl der -Nachrichten oder Webzugriffe an, die in diesem Zeitraum auf die jeweilige Aktion entfallen. Wenn Aktion nicht auf Alle gesetzt ist, haben die meisten Spalten den Wert 0. Interaktive Berichte Einzelansicht Auf dieser Seite können Sie die Details jeder erkannten Bedrohung anzeigen. Berichte -Berichte Interaktive -Berichterstattung Einzelansicht Berichte Web-Berichte Interaktive Web-Berichterstattung Einzelansicht Die Informationen werden in einem Kreisdiagramm angezeigt. Wenn Sie keine Informationen sehen, klicken Sie auf der Registerkarte Filter auf Übernehmen, oder ändern Sie den Zeitraum, und klicken Sie auf Übernehmen. Für Informationen zu den Abschnitten Filter oder Favoriten auf der rechten Seite klicken Sie auf die entsprechende Registerkarte, und klicken Sie dann auf die Hilfe-Schaltfläche (?). Tabelle 2-8 sbeschreibungen Kreisdiagramm Filterkriterien Zeigt den Prozentsatz aller s oder Webzugriffe an, die den auf der Registerkarte Filter ausgewählten Kriterien entsprechen. Der orangefarbene Sektor des Kreisdiagramms zeigt den Anteil der Daten, die den Kriterien entsprechen. Der grüne Teil zeigt die übrigen Daten. Wenn kein Filter ausgewählt ist, wird das gesamte Kreisdiagramm in Orange angezeigt. Zeigt eine Liste der Kategorien von Aktionen an, die für eine -Nachricht oder einen Web-Zugriff durchgeführt wurden. Klicken Sie auf einen beliebigen der blauen Links, um weitere Informationen zu den im Balkendiagramm gezeigten Daten zu erhalten. Klicken Sie auf Alle Kriterien auflisten, um zum Kreisdiagramm zurückzukehren. Klicken Sie auf einen beliebigen der blauen Links, um detailliertere Informationen zu erhalten. Sobald Sie auf einen Link klicken, werden die Werte auf der Registerkarte Filter aktualisiert. Klicken Sie auf Anwenden, um das Kreisdiagramm erneut anzuzeigen. Anzahl an spezifischen Kriterien in dieser Auswahl Zeigt die Anzahl der -Nachrichten oder Web-Zugriffe an, die diesen Kriterien entsprechen. 40 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

41 Übersicht über Berichtsfunktionen Übersicht über -Berichte 2 Interaktive Berichte Detailansicht Auf dieser Seite können Sie Details zu jeder erkannten Bedrohung anzeigen, beispielsweise die genaue Uhrzeit und die IP-Adresse jeder Erkennung, die von der Appliance verarbeitet wurde. Berichte -Berichte Interaktive -Berichterstattung Detailansicht Berichte Web-Berichte Interaktive Web-Berichterstattung Detailansicht Berichte Systemberichte Interaktive Systemberichte Detailansicht Die Informationen enthalten alle Bedrohungen in -Nachrichten oder IP-Adressen. Die Informationen werden in einer Tabelle angezeigt. Wenn Sie keine Informationen sehen, klicken Sie auf der Registerkarte Filter auf Übernehmen, oder ändern Sie den Zeitraum, und klicken Sie auf Übernehmen. Für Informationen zu den Abschnitten Filter oder Favoriten auf der rechten Seite klicken Sie auf die entsprechende Registerkarte, und klicken Sie dann auf die Hilfe-Schaltfläche (?). Tabelle 2-9 sbeschreibungen Datum und andere Überschriften Daten Zeigt Details zu allen -Nachrichten oder Web-Zugriffen an. Bewegen Sie den horizontalen Schieberegler, um alle Spalten zu sehen. Zum Sortieren der Daten in einer beliebigen Spalte klicken Sie auf die Spaltenüberschrift. Die zuletzt sortierte Spalte ist mit einem roten Pfeil in der Spaltenüberschrift gekennzeichnet. Klicken Sie auf den blauen Link, um weitere Informationen zu einer -Nachricht anzusehen. Diese werden in einer Tabelle oder als Rohdaten (in einem XML-ähnlichen Format) angezeigt. Zum schnellen Navigieren durch die Liste oder zum Anzeigen des Anfangs und des Endes klicken Sie auf die Pfeile rechts unten in der Liste. Auswahl Favoriten Auf dieser Seite können Sie vorhandene bevorzugte Berichte sofort ausführen oder eine Liste mit Links zu Berichten erstellen, die Sie bereits gespeichert haben. Berichte -Berichte Auswahl Favoriten Berichte Web-Berichte Auswahl Favoriten and Web Security Appliances 5.6 Patch 1 Produkthandbuch 41

42 2 Übersicht über Berichtsfunktionen Übersicht über -Berichte Berichte Systemberichte Auswahl Favoriten Tabelle 2-10 sbeschreibungen Name Bericht ausführen Bearbeiten Löschen Zeigt den Namen jedes Berichts an, den Sie gespeichert haben. Wenn Sie darauf klicken, wird der ausgewählte Bericht geöffnet und links im Bildschirm angezeigt. Öffnet die Seite Filter, von der aus Sie Einstellungen ändern, Berichtsergebnisse testen und die Berichtkriterien in einem neuen bevorzugten Bericht speichern können. Entfernt den bevorzugten Bericht aus der Liste sowie aus den unter "Geplante Berichte" verfügbaren Berichte. Auswahl Filter In diesem Abschnitt der Seite können Sie die Informationen des Berichts verfeinern (oder "filtern"). Berichte -Berichte Auswahl Filter Berichte Web-Berichte Auswahl Filter Berichte Systemberichte Auswahl Filter Sie können beispielsweise Informationen zu den Besuchen eines Benutzers auf unerwünschten Websites am Dienstag letzter Woche oder zu Viren aus allen Quellen des letzten Monats anzeigen. Treffen Sie Ihre Auswahl und klicken Sie dann auf Anwenden. Es kann einige Zeit dauern, bis der neue Bericht angezeigt wird. Sie können diese Auswahlen speichern, um zu einem beliebigen anderen Zeitpunkt einen ähnlichen Bericht zu erstellen, oder die getroffenen Auswahlen aufheben. Tabelle 2-11 sbeschreibungen Filteroptionen für -Berichte Zeitraum und Ende Protokoll Datenverkehr Zeigt Informationen für einen bestimmten Zeitraum von einer Stunde bis zu einem Monat an, basierend auf dem gewählten Startdatum. Wenn Sie darauf klicken, passen die Schaltflächen Vorherige/r/s und Nächste/r/s beispielsweise das Datum Ab an und gehen zur nächsten Woche oder zum vorhergehenden Tag. Zeigt die Protokolle an, die Sie ansehen möchten (beispielsweise SMTP). Zeigt den Datenverkehr an, entweder eingehend oder ausgehend. In einem einfachen Netzwerk werden Berichte zur Compliance bei ausgehendem Verkehr und Berichte zu Spam bei eingehendem Verkehr angezeigt. 42 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

43 Übersicht über Berichtsfunktionen Übersicht über -Berichte 2 Tabelle 2-11 sbeschreibungen Filteroptionen für -Berichte (Fortsetzung) Absender Empfänger Maßnahme Zeigt Informationen zu einem Absender an, beispielsweise benutzer@example.com. Wenn diese ausgewählt ist, geben die erweiterten en "Quelldomäne" und "Quellen-ID" die Domäne des Absenders oder dessen IP-Adresse an. Beispiele: server1.example.com bzw Zeigt Informationen zu einem Empfänger an, z. B. benutzer@example.com. Bei entsprechender Auswahl finden Sie unter den erweiterten en Zieldomäne und Ziel-IP weitere Angaben zur Domäne bzw. IP-Adresse des Empfängers, z. B. server1.example.com und Ermöglicht Ihnen, Berichte nach bestimmten Aktionen zu filtern, beispielsweise Legitim oder Blockiert. Beispiele: Zum Anzeigen von Informationen zu einem Absender oder Empfänger geben Sie Folgendes ein: <user@example.com> Der Name steht zwischen Winkelklammern. Zum Anzeigen von Informationen zu allen Absendernamen, die mit einem b oder B beginnen, geben Sie Folgendes ein: <b* Zum Anzeigen von Informationen zu allen Absendernamen, die mit einem b, B, e oder E beginnen, geben Sie Folgendes ein: <b*, <e* Kategorie Entdeckung Virus/PUPe Erweiterte en einblenden Quelldomäne Quell-IP Zieldomäne Ziel-IP Prüfungs-ID Richtlinie Zeigt Informationen zu einem bestimmten Erkennungstyp an, z. B. Spam oder Viren. Es werden verschiedene Auswahlmöglichkeiten angezeigt, es sei denn, die Alle wurde ausgewählt. Wenn Sie beispielsweise Inhalt ausgewählt haben, können Sie -Größe wählen. Zusätzliche Kategorien werden hier angezeigt, wenn Sie optionale Software installiert haben. Nur Bericht Häufigste Spam-Absender. Wählen Sie aus, ob der Bericht Ergebnisse für Spam-Absender, Phishing-Absender oder beide enthalten soll. Nur Bericht Häufigste Viren. Geben Sie den Namen des Virus oder potentiell unerwünschten Programms ein, um Erkennungsergebnisse für die jeweilige Bedrohung zu erhalten. Durch Klicken auf diese werden die unten stehenden en angezeigt. Klicken Sie auf Erweiterte Einstellungen ausblenden, um die en wieder auszublenden. Der Datenverkehr wird basierend auf der Domäne gefiltert, von der aus die Nachrichten gesendet werden. Der Datenverkehr wird basierend auf der Domäne gefiltert, von der aus die Nachrichten gesendet werden. Der Datenverkehr wird basierend auf der Domäne gefiltert, an die die Nachrichten gesendet werden. Der Datenverkehr wird basierend auf der Domäne gefiltert, an die die Nachrichten gesendet werden. Während der Verarbeitung von Datenverkehr durch die Appliance kann dem Datenverkehr eine Prüfungs-ID zugewiesen werden. Verwenden Sie dieses Feld, um nach Datenverkehr mit einer bestimmten Prüfungs-ID zu filtern. Bietet eine Auswahl an Richtlinien. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 43

44 2 Übersicht über Berichtsfunktionen Übersicht über -Berichte Tabelle 2-12 sbeschreibungen Filteroptionen für Web-Berichte Zeitraum und Ende Protokoll Benutzeranmeldung URL Maßnahme Kategorie Erweiterte en einblenden Quelldomäne Quell-IP Zieldomäne Ziel-IP Prüfungs-ID Maßnahme Richtlinie Kategorie Zeigt Informationen für einen bestimmten Zeitraum von einer Stunde bis zu einem Monat an, basierend auf dem gewählten Startdatum. Wenn Sie darauf klicken, passen die Schaltflächen Vorherige/r/s und Nächste/r/s beispielsweise das Datum Ab an und gehen zur nächsten Woche oder zum vorhergehenden Tag. Zeigt die Protokolle an, die Sie anzeigen möchten (z. B. HTTP). Zeigt Informationen zu einem Benutzer an. Bei entsprechender Auswahl finden Sie unter den erweiterten en Quelldomäne und Quell-IP weitere Angaben zur Domäne bzw. IP-Adresse, z. B. server1.beispiel.com und Zeigt Informationen zu einem URL (Webadresse) an, z. B. When selected, the advanced options, Destination domain and Destination ID, further specify the recipient's domain or IP address, such as server1.example.com and Zeigt Informationen zur Aktion an, die gegen die Bedrohungen durchgeführt wurden, z. B. Blockierung oder bloße Überwachung von Bedrohungen. Das Menü zeigt keine legitimen Webzugriffe an, da diese zu zahlreich sind. Zeigt Informationen zu bestimmten Datenverkehrskategorien an, beispielsweise "Viren" oder "URL-Filterung". Das Menü zeigt keine legitimen Webzugriffe an, da diese zu zahlreich sind. Durch Klicken auf diese werden die unten stehenden en angezeigt. Klicken Sie auf Erweiterte Einstellungen ausblenden, um die en wieder auszublenden. Der Datenverkehr wird basierend auf der Domäne gefiltert, von der aus der Datenverkehr gesendet wird. Der Datenverkehr wird basierend auf der Domäne gefiltert, von der aus der Datenverkehr gesendet wird. Der Datenverkehr wird basierend auf der Domäne gefiltert, an die der Datenverkehr gesendet wird. Der Datenverkehr wird basierend auf der Domäne gefiltert, an die der Datenverkehr gesendet wird. Während der Verarbeitung von Datenverkehr durch die Appliance kann dem Datenverkehr eine Prüfungs-ID zugewiesen werden. Verwenden Sie dieses Feld, um nach Datenverkehr mit einer bestimmten Prüfungs-ID zu filtern. Ermöglicht Ihnen, Berichte nach bestimmten Aktionen zu filtern, beispielsweise Legitim oder Blockiert. Bietet eine Auswahl an Richtlinien. Zeigt Informationen zu einem bestimmten Erkennungstyp an, z. B. Spam oder Viren. Es werden verschiedene Auswahlmöglichkeiten angezeigt, es sei denn, die Alle wurde ausgewählt. Wenn Sie beispielsweise Inhalt ausgewählt haben, können Sie -Größe wählen. Zusätzliche Kategorien werden hier angezeigt, wenn Sie optionale Software installiert haben. 44 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

45 Übersicht über Berichtsfunktionen Übersicht über Web-Berichte 2 Tabelle 2-13 sbeschreibungen Filteroptionen für Systemberichte Zeitraum und Ende Zeigt Informationen für einen bestimmten Zeitraum von einer Stunde bis zu einem Monat an, basierend auf dem gewählten Startdatum. Wenn Sie darauf klicken, passen die Schaltflächen Vorherige/r/s und Nächste/r/s beispielsweise das Datum Ab an und gehen zur nächsten Woche oder zum vorhergehenden Tag. Ereignistyp Ereignis Grund Zeigt Berichte zu bestimmten Ereignistypen an. Zum Beispiel Probleme, die das Netzwerk betreffen. Wählen Sie eínzelne Ereignisse basierend auf dem gewählten Ereignistyp aus. Wählen Sie eínzelne Ursachen basierend auf dem gewählten Ereignis aus. Übersicht über Web-Berichte Auf dieser Seite können Sie Echtzeitberichte zu Bedrohungen, die in der Internetaktivität auf Ihrer Appliance erkannt wurden, und den nachfolgenden Aktionen, die von der Appliance ausgeführt wurden, erstellen und anzeigen. Berichte -Berichte Sie können einen Bericht basierend auf mehreren vordefinierten Filtern generieren oder die Filter bearbeiten, die Ergebnisse testen und den Bericht als neuen Bericht speichern. Vorteile der Erstellung von Web-Berichten Um immer einen optimalen Betrieb Ihrer Web-Infrastruktur zu gewährleisten, benötigen Sie Zugriff auf aktuelle Informationen über Bedrohungen, die in dem von der Appliance verarbeiteten Web-Verkehr erkannt wurden. Generieren Sie Web-Berichte, um die folgenden Informationen zu erhalten: Erkannte Bedrohungstypen, beispielsweise Viren oder Komprimierungsprogramme Webanfragen, für die eine Aktion ausgeführt werden musste URLs, die blockiert oder überwacht wurden Aktivitäten einzelner Mitarbeiter Darüber hinaus können Sie die Funktion "Web-Berichte" zusammen mit der Funktion "Geplante Berichte" verwenden, um regelmäßige Berichte zu erstellen und sie sofort oder in regelmäßigen Abständen an andere Personen zu senden. Einführung in die Seite "Web-Berichte" Web-Berichte enthält mehrere Unterseiten, auf die über die Registerkarten unter Interaktive Web-Berichterstattung und Auswahl zugegriffen werden kann. Unter Interaktive Web-Berichterstattung stehen vier Registerkarten zur Verfügung, die unterschiedliche Ansichten der Ergebnisse eines Berichts bieten. Weitere Informationen hierzu finden Sie unter Ansichtstypen: Gesamtansicht Zeitanzeige and Web Security Appliances 5.6 Patch 1 Produkthandbuch 45

46 2 Übersicht über Berichtsfunktionen Übersicht über Web-Berichte Einzelansicht Detailansicht Unter Auswahl stehen zwei Seiten zur Verfügung: Auf der Seite Favoriten können Sie einen Bericht mit vordefinierten Filtern auswählen und ihn sofort generieren. Weitere Informationen hierzu finden Sie unter Berichtstypen. Die Seite Filter ermöglicht Ihnen, in jedem bevorzugten Bericht die Daten mithilfe von standardmäßigen und erweiterten Filtereinstellungen näher zu definieren und den Zeitraum festzulegen, für den Sie Daten abrufen möchten. Weitere Informationen hierzu finden Sie unter Filtertypen. Ansichtstypen Jeder Bericht, den Sie generieren, kann in einer der folgenden Ansichten dargestellt werden: Ansichtstyp Gesamtansicht Zeitanzeige Einzelansicht Detailansicht Zeigt die Ergebnisse für jede Aktion im Balkendiagramm- und Tabellenformat an Zeigt die Ergebnisse für den angegebenen Zeitraum im Balkendiagramm- und Tabellenformat an. Die Ergebnisse werden bei stündlichen Berichten in Zeiträumen von zehn Minuten, bei 24-Stunden-Berichten in Zeiträumen von einer Stunde, bei wöchentlichen Berichten in Zeiträumen von sechs Stunden, bei zweiwöchentlichen Berichten in Zeiträumen von zwölf Stunden und bei monatlichen Berichten in Zeiträumen von einem Tag angezeigt. Zeigt Ergebnisse für jedes Filterkriterium oder für alle Filter im Kreisdiagramm- und Tabellenformat an. Zeigt alle Ergebnisse im Tabellenformat an. Die Ergebnisse werden für jede Erkennung in den Berichtsergebnissen angezeigt. Berichtstypen Die Appliance wird mit mehreren Berichten und vordefinierten Filtern ausgeliefert, die auf der Registerkarte Favoriten verfügbar sind. Sie können diese Berichte sofort ausführen oder sie mithilfe standardmäßiger und erweiterter Einstellungen bearbeiten, als neuen bevorzugten Bericht zur zukünftigen Ausführung speichern und anschließend in der Funktion Geplante Berichte verfügbar machen. Sie können die Standardeinstellung für jedem Bericht sehen, indem Sie den Mauszeiger links neben einen Berichtsnamen bewegen. Tabelle 2-14 sbeschreibungen Liste häufigster URLs Detailansicht Überwacht Geändert Zeigt Ergebnisse standardmäßig in der Einzelansicht an. Die Ergebnisse zeigen die 15 am häufigsten blockierten Websites, die in den letzten 24 Stunden verarbeitet wurden. Zeigt Ergebnisse standardmäßig in der Detailansicht an. Die Ergebnisse zeigen Informationen über blockierte Websites, die in den letzten 24 Stunden erkannt wurden. Zeigt Ergebnisse standardmäßig in der Zeitansicht an. Die Ergebnisse zeigen die Webanfragen aus den letzten 24 Stunden, die ein Ereignisprotokoll ausgelöst haben, deren Weiterleitung jedoch zugelassen wurde. Zeigt Ergebnisse standardmäßig in der Zeitansicht an. Die Ergebnisse zeigen die Webanfragen aus den letzten 24 Stunden, aus denen die Appliance eine Bedrohung entfernt hat, bevor sie erfolgreich zugestellt wurden. 46 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

47 Übersicht über Berichtsfunktionen Übersicht über Web-Berichte 2 Tabelle 2-14 sbeschreibungen (Fortsetzung) Blockiert Blockiert (SiteAdvisor) Zeigt Ergebnisse standardmäßig in der Zeitansicht an. Die Ergebnisse zeigen die Webanfragen aus den letzten 24 Stunden, die gestoppt und durch eine Warnung ersetzt wurden, weil die Appliance eine Bedrohung erkannt hat, wie beispielsweise einen Virus oder ein Komprimierungsprogramm. Zeigt Ergebnisse standardmäßig in der Gesamtansicht an. Die Ergebnisse zeigen die Webanfragen aus den letzten 24 Stunden, die vom McAfee SiteAdvisor-Programm aufgrund einer bekannten Bedrohung blockiert wurden. Filtertypen Jeder Bericht ermöglicht Ihnen, die Ergebnisse nach standardmäßigen und erweiterten Kriterien zu filtern. Tabelle 2-15 sbeschreibungen Filteroptionen für Web-Berichte Zeitraum und Ende Protokoll Benutzeranmeldung URL Maßnahme Kategorie Erweiterte en einblenden Quelldomäne Quell-IP Zieldomäne Ziel-IP Prüfungs-ID Zeigt Informationen für einen bestimmten Zeitraum von einer Stunde bis zu einem Monat an, basierend auf dem gewählten Startdatum. Wenn Sie darauf klicken, passen die Schaltflächen Vorherige/r/s und Nächste/r/s beispielsweise das Datum Ab an und gehen zur nächsten Woche oder zum vorhergehenden Tag. Zeigt die Protokolle an, die Sie anzeigen möchten (z. B. HTTP). Zeigt Informationen zu einem Benutzer an. Bei entsprechender Auswahl finden Sie unter den erweiterten en Quelldomäne und Quell-IP weitere Angaben zur Domäne bzw. IP-Adresse, z. B. server1.beispiel.com und Zeigt Informationen zu einem URL (Webadresse) an, z. B. When selected, the advanced options, Destination domain and Destination ID, further specify the recipient's domain or IP address, such as server1.example.com and Zeigt Informationen zur Aktion an, die gegen die Bedrohungen durchgeführt wurden, z. B. Blockierung oder bloße Überwachung von Bedrohungen. Das Menü zeigt keine legitimen Webzugriffe an, da diese zu zahlreich sind. Zeigt Informationen zu bestimmten Datenverkehrskategorien an, beispielsweise "Viren" oder "URL-Filterung". Das Menü zeigt keine legitimen Webzugriffe an, da diese zu zahlreich sind. Durch Klicken auf diese werden die unten stehenden en angezeigt. Klicken Sie auf Erweiterte Einstellungen ausblenden, um die en wieder auszublenden. Der Datenverkehr wird basierend auf der Domäne gefiltert, von der aus der Datenverkehr gesendet wird. Der Datenverkehr wird basierend auf der Domäne gefiltert, von der aus der Datenverkehr gesendet wird. Der Datenverkehr wird basierend auf der Domäne gefiltert, an die der Datenverkehr gesendet wird. Der Datenverkehr wird basierend auf der Domäne gefiltert, an die der Datenverkehr gesendet wird. Während der Verarbeitung von Datenverkehr durch die Appliance kann dem Datenverkehr eine Prüfungs-ID zugewiesen werden. Verwenden Sie dieses Feld, um nach Datenverkehr mit einer bestimmten Prüfungs-ID zu filtern. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 47

48 2 Übersicht über Berichtsfunktionen Übersicht über Web-Berichte Tabelle 2-15 sbeschreibungen Filteroptionen für Web-Berichte (Fortsetzung) Maßnahme Richtlinie Kategorie Ermöglicht Ihnen, Berichte nach bestimmten Aktionen zu filtern, beispielsweise Legitim oder Blockiert. Bietet eine Auswahl an Richtlinien. Zeigt Informationen zu einem bestimmten Erkennungstyp an, z. B. Spam oder Viren. Es werden verschiedene Auswahlmöglichkeiten angezeigt, es sei denn, die Alle wurde ausgewählt. Wenn Sie beispielsweise Inhalt ausgewählt haben, können Sie -Größe wählen. Zusätzliche Kategorien werden hier angezeigt, wenn Sie optionale Software installiert haben. Vorgehensweise Generieren eines Berichts zu Internetaktivitäten für einen bestimmten Benutzer Gehen Sie wie nachfolgend beschrieben vor, um Folgendes zu tun: Einen Bericht zu erstellen, der die globale Internetaktivität in den letzten 24 Stunden zeigt Diese Ergebnisse nach den Aktivitäten eines bestimmten Benutzers zu filtern Den Bericht als neuen bevorzugten Bericht für spätere erneute Ausführungen zu speichern Einen Zeitplan einzurichten, um den Bericht regelmäßig an den Webadministrator zu senden Unteraufgabe Ausführen eines standardmäßigen Berichts zu Internetaktivitäten 1 Klicken Sie auf Berichte Web-Berichte. 2 Wählen Sie in der Liste Favoriten den Bericht Detailansicht (letzte 24 Stunden) aus. 3 Klicken Sie auf Bericht ausführen, um einen Bericht für alle Benutzer zu generieren. Unteraufgabe Filtern nach den Daten für einen bestimmten Benutzer und Speichern des Berichts als neuer bevorzugter Bericht 1 Klicken Sie auf Filter. 2 Geben Sie unter Benutzeranmeldung den System-<Benutzernamen> für den gewünschten Benutzer ein, und klicken Sie auf Übernehmen, um die Daten entsprechend zu filtern. 3 Klicken Sie auf Speichern, geben Sie einen Namen für den Bericht ein, und klicken Sie auf OK. Der Bericht wird in der Liste der Favoriten angezeigt. Unteraufgabe Einrichten eines Zeitplans, um den Bericht regelmäßig an den Webadministrator zu senden 1 Klicken Sie auf Berichte Geplante Berichte. 2 Wählen Sie in der Liste der verfügbaren Berichtsdokumente Bevorzugt aus, und klicken Sie auf Bearbeiten. 3 Wählen Sie Geplante Zustellung aktivieren, und legen Sie fest, dass der Bericht Täglich um 17:00 Uhr ausgeführt werden soll. 4 Geben Sie die -Adresse des Webadministrators ein. 48 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

49 Übersicht über Berichtsfunktionen Übersicht über Web-Berichte 2 5 Klicken Sie auf Berichtsinhalt. 6 Wählen Sie in der Liste der bevorzugten Berichte den von Ihnen erstellten Bericht aus, klicken Sie auf OK, und übernehmen Sie die Änderungen an der Appliance. Vorgehensweise Anzeigen der häufigsten URLs, die in den letzten 24 Stunden besucht wurden Gehen Sie wie nachfolgend beschrieben vor, um Informationen zu jedem URL abzurufen, der in den letzten 24 Stunden besucht wurde, und die Daten mithilfe verschiedener Berichtsansichten zu analysieren: 1 Klicken Sie auf Berichte Web-Berichte. 2 Wählen Sie in der Liste Favoriten den Bericht Liste häufigster URLs aus, und klicken Sie auf Filter. 3 Klicken Sie auf Übernehmen, um den Bericht auszuführen. 4 Wählen Sie Zeitanzeige, um die Aktion, die für jede Webanfrage ausgeführt wurde, in Zeiträume von einer Stunde unterteilt anzuzeigen. 5 Wählen Sie Detailansicht, um nähere Informationen zu jeder Webanfrage anzuzeigen. Interaktive Berichte Gesamtansicht Auf dieser Seite können Sie die Aktionen anzeigen, die die Appliance während des unter Filter festgelegten Zeitraums gegen Bedrohungen unternommen hat. Berichte -Berichte Interaktive -Berichterstattung Gesamtansicht Berichte Web-Berichte Interaktive Web-Berichterstattung Gesamtansicht Die Informationen werden in einem horizontalen Balkendiagramm angezeigt. Wenn Sie keine Informationen sehen, klicken Sie auf der Registerkarte Filter auf Übernehmen, oder ändern Sie den Zeitraum, und klicken Sie auf Übernehmen. Für Informationen zu den Abschnitten Filter oder Favoriten auf der rechten Seite klicken Sie auf die entsprechende Registerkarte, und klicken Sie dann auf die Hilfe-Schaltfläche (?). Tabelle 2-16 sbeschreibungen Maßnahme Anzahl an -Nachrichten Zeigt eine Liste der Aktionen an, die von den Richtlinien der Appliance gegen die einzelnen -Nachrichten oder Web-Zugriffe durchgeführt wurden. Zeigt die Anzahl der -Nachrichten oder Web-Zugriffe an, bei denen diese Aktion angewendet wurde. Interaktive Berichte Zeitanzeige Auf dieser Seite können Sie die Aktionen anzeigen, die die Appliance während des unter Filter festgelegten Zeitraums gegen Bedrohungen unternommen hat. Berichte -Berichte Interaktive -Berichterstattung Zeitanzeige and Web Security Appliances 5.6 Patch 1 Produkthandbuch 49

50 2 Übersicht über Berichtsfunktionen Übersicht über Web-Berichte Berichte Web-Berichte Interaktive Web-Berichterstattung Zeitansicht Die Informationen werden in kleinen Intervallen in einem vertikalen Balkendiagramm angezeigt. Beispielsweise zeigt ein wöchentlicher Bericht die Aktivität für jeden Tag in Abschnitten von sechs Stunden. Wenn Sie keine Informationen sehen, klicken Sie auf der Registerkarte Filter auf Übernehmen, oder ändern Sie den Zeitraum, und klicken Sie auf Übernehmen. Es kann vorkommen, dass Sie manche älteren Daten nicht mehr sehen können, da das Protokoll der Appliance regelmäßig gelöscht wird. Für Informationen zu den Abschnitten Filter oder Favoriten auf der rechten Seite klicken Sie auf die entsprechende Registerkarte, und klicken Sie dann auf die Hilfe-Schaltfläche (?). Tabelle 2-17 sbeschreibungen Starten Legitim, Blockiert Zeigt den Beginn des Zeitraums an, z. B. zur vollen Stunde. Zeigt die Anzahl der -Nachrichten oder Webzugriffe an, die in diesem Zeitraum auf die jeweilige Aktion entfallen. Wenn Aktion nicht auf Alle gesetzt ist, haben die meisten Spalten den Wert 0. Interaktive Berichte Einzelansicht Auf dieser Seite können Sie die Details jeder erkannten Bedrohung anzeigen. Berichte -Berichte Interaktive -Berichterstattung Einzelansicht Berichte Web-Berichte Interaktive Web-Berichterstattung Einzelansicht Die Informationen werden in einem Kreisdiagramm angezeigt. Wenn Sie keine Informationen sehen, klicken Sie auf der Registerkarte Filter auf Übernehmen, oder ändern Sie den Zeitraum, und klicken Sie auf Übernehmen. Für Informationen zu den Abschnitten Filter oder Favoriten auf der rechten Seite klicken Sie auf die entsprechende Registerkarte, und klicken Sie dann auf die Hilfe-Schaltfläche (?). 50 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

51 Übersicht über Berichtsfunktionen Übersicht über Web-Berichte 2 Tabelle 2-18 sbeschreibungen Kreisdiagramm Filterkriterien Zeigt den Prozentsatz aller s oder Webzugriffe an, die den auf der Registerkarte Filter ausgewählten Kriterien entsprechen. Der orangefarbene Sektor des Kreisdiagramms zeigt den Anteil der Daten, die den Kriterien entsprechen. Der grüne Teil zeigt die übrigen Daten. Wenn kein Filter ausgewählt ist, wird das gesamte Kreisdiagramm in Orange angezeigt. Zeigt eine Liste der Kategorien von Aktionen an, die für eine -Nachricht oder einen Web-Zugriff durchgeführt wurden. Klicken Sie auf einen beliebigen der blauen Links, um weitere Informationen zu den im Balkendiagramm gezeigten Daten zu erhalten. Klicken Sie auf Alle Kriterien auflisten, um zum Kreisdiagramm zurückzukehren. Klicken Sie auf einen beliebigen der blauen Links, um detailliertere Informationen zu erhalten. Sobald Sie auf einen Link klicken, werden die Werte auf der Registerkarte Filter aktualisiert. Klicken Sie auf Anwenden, um das Kreisdiagramm erneut anzuzeigen. Anzahl an spezifischen Kriterien in dieser Auswahl Zeigt die Anzahl der -Nachrichten oder Web-Zugriffe an, die diesen Kriterien entsprechen. Interaktive Berichte Detailansicht Auf dieser Seite können Sie Details zu jeder erkannten Bedrohung anzeigen, beispielsweise die genaue Uhrzeit und die IP-Adresse jeder Erkennung, die von der Appliance verarbeitet wurde. Berichte -Berichte Interaktive -Berichterstattung Detailansicht Berichte Web-Berichte Interaktive Web-Berichterstattung Detailansicht Berichte Systemberichte Interaktive Systemberichte Detailansicht Die Informationen enthalten alle Bedrohungen in -Nachrichten oder IP-Adressen. Die Informationen werden in einer Tabelle angezeigt. Wenn Sie keine Informationen sehen, klicken Sie auf der Registerkarte Filter auf Übernehmen, oder ändern Sie den Zeitraum, und klicken Sie auf Übernehmen. Für Informationen zu den Abschnitten Filter oder Favoriten auf der rechten Seite klicken Sie auf die entsprechende Registerkarte, und klicken Sie dann auf die Hilfe-Schaltfläche (?). and Web Security Appliances 5.6 Patch 1 Produkthandbuch 51

52 2 Übersicht über Berichtsfunktionen Übersicht über Web-Berichte Tabelle 2-19 sbeschreibungen Datum und andere Überschriften Daten Zeigt Details zu allen -Nachrichten oder Web-Zugriffen an. Bewegen Sie den horizontalen Schieberegler, um alle Spalten zu sehen. Zum Sortieren der Daten in einer beliebigen Spalte klicken Sie auf die Spaltenüberschrift. Die zuletzt sortierte Spalte ist mit einem roten Pfeil in der Spaltenüberschrift gekennzeichnet. Klicken Sie auf den blauen Link, um weitere Informationen zu einer -Nachricht anzusehen. Diese werden in einer Tabelle oder als Rohdaten (in einem XML-ähnlichen Format) angezeigt. Zum schnellen Navigieren durch die Liste oder zum Anzeigen des Anfangs und des Endes klicken Sie auf die Pfeile rechts unten in der Liste. Auswahl Favoriten Auf dieser Seite können Sie vorhandene bevorzugte Berichte sofort ausführen oder eine Liste mit Links zu Berichten erstellen, die Sie bereits gespeichert haben. Berichte -Berichte Auswahl Favoriten Berichte Web-Berichte Auswahl Favoriten Berichte Systemberichte Auswahl Favoriten Tabelle 2-20 sbeschreibungen Name Bericht ausführen Bearbeiten Löschen Zeigt den Namen jedes Berichts an, den Sie gespeichert haben. Wenn Sie darauf klicken, wird der ausgewählte Bericht geöffnet und links im Bildschirm angezeigt. Öffnet die Seite Filter, von der aus Sie Einstellungen ändern, Berichtsergebnisse testen und die Berichtkriterien in einem neuen bevorzugten Bericht speichern können. Entfernt den bevorzugten Bericht aus der Liste sowie aus den unter "Geplante Berichte" verfügbaren Berichte. Auswahl Filter In diesem Abschnitt der Seite können Sie die Informationen des Berichts verfeinern (oder "filtern"). Berichte -Berichte Auswahl Filter 52 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

53 Übersicht über Berichtsfunktionen Übersicht über Web-Berichte 2 Berichte Web-Berichte Auswahl Filter Berichte Systemberichte Auswahl Filter Sie können beispielsweise Informationen zu den Besuchen eines Benutzers auf unerwünschten Websites am Dienstag letzter Woche oder zu Viren aus allen Quellen des letzten Monats anzeigen. Treffen Sie Ihre Auswahl und klicken Sie dann auf Anwenden. Es kann einige Zeit dauern, bis der neue Bericht angezeigt wird. Sie können diese Auswahlen speichern, um zu einem beliebigen anderen Zeitpunkt einen ähnlichen Bericht zu erstellen, oder die getroffenen Auswahlen aufheben. Tabelle 2-21 sbeschreibungen Filteroptionen für -Berichte Zeitraum und Ende Protokoll Datenverkehr Absender Empfänger Maßnahme Zeigt Informationen für einen bestimmten Zeitraum von einer Stunde bis zu einem Monat an, basierend auf dem gewählten Startdatum. Wenn Sie darauf klicken, passen die Schaltflächen Vorherige/r/s und Nächste/r/s beispielsweise das Datum Ab an und gehen zur nächsten Woche oder zum vorhergehenden Tag. Zeigt die Protokolle an, die Sie ansehen möchten (beispielsweise SMTP). Zeigt den Datenverkehr an, entweder eingehend oder ausgehend. In einem einfachen Netzwerk werden Berichte zur Compliance bei ausgehendem Verkehr und Berichte zu Spam bei eingehendem Verkehr angezeigt. Zeigt Informationen zu einem Absender an, beispielsweise benutzer@example.com. Wenn diese ausgewählt ist, geben die erweiterten en "Quelldomäne" und "Quellen-ID" die Domäne des Absenders oder dessen IP-Adresse an. Beispiele: server1.example.com bzw Zeigt Informationen zu einem Empfänger an, z. B. benutzer@example.com. Bei entsprechender Auswahl finden Sie unter den erweiterten en Zieldomäne und Ziel-IP weitere Angaben zur Domäne bzw. IP-Adresse des Empfängers, z. B. server1.example.com und Ermöglicht Ihnen, Berichte nach bestimmten Aktionen zu filtern, beispielsweise Legitim oder Blockiert. Beispiele: Zum Anzeigen von Informationen zu einem Absender oder Empfänger geben Sie Folgendes ein: <user@example.com> Der Name steht zwischen Winkelklammern. Zum Anzeigen von Informationen zu allen Absendernamen, die mit einem b oder B beginnen, geben Sie Folgendes ein: <b* Zum Anzeigen von Informationen zu allen Absendernamen, die mit einem b, B, e oder E beginnen, geben Sie Folgendes ein: <b*, <e* and Web Security Appliances 5.6 Patch 1 Produkthandbuch 53

54 2 Übersicht über Berichtsfunktionen Übersicht über Web-Berichte Tabelle 2-21 sbeschreibungen Filteroptionen für -Berichte (Fortsetzung) Kategorie Entdeckung Virus/PUPe Erweiterte en einblenden Quelldomäne Quell-IP Zieldomäne Ziel-IP Prüfungs-ID Richtlinie Zeigt Informationen zu einem bestimmten Erkennungstyp an, z. B. Spam oder Viren. Es werden verschiedene Auswahlmöglichkeiten angezeigt, es sei denn, die Alle wurde ausgewählt. Wenn Sie beispielsweise Inhalt ausgewählt haben, können Sie -Größe wählen. Zusätzliche Kategorien werden hier angezeigt, wenn Sie optionale Software installiert haben. Nur Bericht Häufigste Spam-Absender. Wählen Sie aus, ob der Bericht Ergebnisse für Spam-Absender, Phishing-Absender oder beide enthalten soll. Nur Bericht Häufigste Viren. Geben Sie den Namen des Virus oder potentiell unerwünschten Programms ein, um Erkennungsergebnisse für die jeweilige Bedrohung zu erhalten. Durch Klicken auf diese werden die unten stehenden en angezeigt. Klicken Sie auf Erweiterte Einstellungen ausblenden, um die en wieder auszublenden. Der Datenverkehr wird basierend auf der Domäne gefiltert, von der aus die Nachrichten gesendet werden. Der Datenverkehr wird basierend auf der Domäne gefiltert, von der aus die Nachrichten gesendet werden. Der Datenverkehr wird basierend auf der Domäne gefiltert, an die die Nachrichten gesendet werden. Der Datenverkehr wird basierend auf der Domäne gefiltert, an die die Nachrichten gesendet werden. Während der Verarbeitung von Datenverkehr durch die Appliance kann dem Datenverkehr eine Prüfungs-ID zugewiesen werden. Verwenden Sie dieses Feld, um nach Datenverkehr mit einer bestimmten Prüfungs-ID zu filtern. Bietet eine Auswahl an Richtlinien. Tabelle 2-22 sbeschreibungen Filteroptionen für Web-Berichte Zeitraum und Ende Protokoll Benutzeranmeldung URL Maßnahme Kategorie Zeigt Informationen für einen bestimmten Zeitraum von einer Stunde bis zu einem Monat an, basierend auf dem gewählten Startdatum. Wenn Sie darauf klicken, passen die Schaltflächen Vorherige/r/s und Nächste/r/s beispielsweise das Datum Ab an und gehen zur nächsten Woche oder zum vorhergehenden Tag. Zeigt die Protokolle an, die Sie anzeigen möchten (z. B. HTTP). Zeigt Informationen zu einem Benutzer an. Bei entsprechender Auswahl finden Sie unter den erweiterten en Quelldomäne und Quell-IP weitere Angaben zur Domäne bzw. IP-Adresse, z. B. server1.beispiel.com und Zeigt Informationen zu einem URL (Webadresse) an, z. B. When selected, the advanced options, Destination domain and Destination ID, further specify the recipient's domain or IP address, such as server1.example.com and Zeigt Informationen zur Aktion an, die gegen die Bedrohungen durchgeführt wurden, z. B. Blockierung oder bloße Überwachung von Bedrohungen. Das Menü zeigt keine legitimen Webzugriffe an, da diese zu zahlreich sind. Zeigt Informationen zu bestimmten Datenverkehrskategorien an, beispielsweise "Viren" oder "URL-Filterung". Das Menü zeigt keine legitimen Webzugriffe an, da diese zu zahlreich sind. 54 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

55 Übersicht über Berichtsfunktionen Systemberichte 2 Tabelle 2-22 sbeschreibungen Filteroptionen für Web-Berichte (Fortsetzung) Erweiterte en einblenden Quelldomäne Quell-IP Zieldomäne Ziel-IP Prüfungs-ID Maßnahme Richtlinie Kategorie Durch Klicken auf diese werden die unten stehenden en angezeigt. Klicken Sie auf Erweiterte Einstellungen ausblenden, um die en wieder auszublenden. Der Datenverkehr wird basierend auf der Domäne gefiltert, von der aus der Datenverkehr gesendet wird. Der Datenverkehr wird basierend auf der Domäne gefiltert, von der aus der Datenverkehr gesendet wird. Der Datenverkehr wird basierend auf der Domäne gefiltert, an die der Datenverkehr gesendet wird. Der Datenverkehr wird basierend auf der Domäne gefiltert, an die der Datenverkehr gesendet wird. Während der Verarbeitung von Datenverkehr durch die Appliance kann dem Datenverkehr eine Prüfungs-ID zugewiesen werden. Verwenden Sie dieses Feld, um nach Datenverkehr mit einer bestimmten Prüfungs-ID zu filtern. Ermöglicht Ihnen, Berichte nach bestimmten Aktionen zu filtern, beispielsweise Legitim oder Blockiert. Bietet eine Auswahl an Richtlinien. Zeigt Informationen zu einem bestimmten Erkennungstyp an, z. B. Spam oder Viren. Es werden verschiedene Auswahlmöglichkeiten angezeigt, es sei denn, die Alle wurde ausgewählt. Wenn Sie beispielsweise Inhalt ausgewählt haben, können Sie -Größe wählen. Zusätzliche Kategorien werden hier angezeigt, wenn Sie optionale Software installiert haben. Tabelle 2-23 sbeschreibungen Filteroptionen für Systemberichte Zeitraum und Ende Zeigt Informationen für einen bestimmten Zeitraum von einer Stunde bis zu einem Monat an, basierend auf dem gewählten Startdatum. Wenn Sie darauf klicken, passen die Schaltflächen Vorherige/r/s und Nächste/r/s beispielsweise das Datum Ab an und gehen zur nächsten Woche oder zum vorhergehenden Tag. Ereignistyp Ereignis Grund Zeigt Berichte zu bestimmten Ereignistypen an. Zum Beispiel Probleme, die das Netzwerk betreffen. Wählen Sie eínzelne Ereignisse basierend auf dem gewählten Ereignistyp aus. Wählen Sie eínzelne Ursachen basierend auf dem gewählten Ereignis aus. Systemberichte Mithilfe dieser Seite können Sie Echtzeitberichte zu Aktualisierungen der Bedrohungserkennung und zu Systemereignissen erstellen und anzeigen. Berichte Systemberichte Sie können einen Bericht basierend auf mehreren vordefinierten Filtern generieren oder die Filter bearbeiten, die Ergebnisse testen und den Bericht als neuen Bericht speichern. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 55

56 2 Übersicht über Berichtsfunktionen Systemberichte Vorteile der Erstellung von Systemberichten Um in Ihrer Organisation ungestörte und erfolgreiche Betriebsabläufe gewährleisten zu können, ist es unerlässlich, die Bedrohungserkennungsdateien von McAfee stets auf dem neuesten Stand zu halten. GenerierenSie Systemberichte, um Informationen zum Aktualisierungsstatus der Bedrohungserkennungsdateien, Statistiken zur Benutzeranmeldung und Informationen zum Netzwerkund Hardwarestatus zu erhalten. Darüber hinaus können Sie die Funktion "Systemberichte" zusammen mit der Funktion "Geplante Berichte" verwenden, um regelmäßige Berichte zu erstellen und sie sofort oder in regelmäßigen Abständen an andere Personen zu senden. Einführung in die Seite "Systemberichte" Die Seite Systemberichte enthält mehrere Unterseiten, auf die über die Registerkarten unter Interaktive Systemberichte und Auswahl zugegriffen werden kann. Unterhalb von Interaktive Systemberichte befindet sich eine detaillierte Ansicht der Berichtsergebnisse, die Sie über den Typ der durchgeführten Aktualisierung sowie deren Zeitpunkt informiert und darüber, ob die Aktualisierung erfolgreich verlief. Die Spalte "Daten" enthält die Aktualisierungsnummer, mit der Sie auf der McAfee-Website überprüfen können, ob Sie die neueste der verfügbaren Bedrohungserkennungsdateien verwenden. Unter Auswahl stehen zwei Seiten zur Verfügung: Auf der Seite Favoriten können Sie einen Bericht mit vordefinierten Filtern auswählen und ihn sofort generieren. Weitere Informationen hierzu finden Sie unter Berichtstypen. Die Seite Filter ermöglicht Ihnen, in jedem bevorzugten Bericht die Daten näher zu definieren und den Zeitraum festzulegen, für den Sie Daten abrufen möchten. Weitere Informationen hierzu finden Sie unter Filtertypen. Berichtstypen Die Appliance wird mit mehreren Berichten und vordefinierten Filtern ausgeliefert, die auf der Registerkarte Favoriten verfügbar sind. Sie können diese Berichte sofort ausführen oder sie bearbeiten, als neuen bevorzugten Bericht zur zukünftigen Ausführung speichern und anschließend in der Funktion Geplante Berichte verfügbar machen. Sie können die Standardeinstellung für jedem Bericht sehen, indem Sie den Mauszeiger links neben einen Berichtsnamen bewegen. Tabelle 2-24 sbeschreibungen Antiviren-Aktualisierungen (letzte 24 Std.) Antiviren-Aktualisierungen (letzte Woche) Zeigt Ergebnisse standardmäßig in der Detailansicht an. "Ergebnisse" zeigt den Tp der Aktualisierung (Anti-Virus-, Spam-Regel- oder URL-Filter-Definitionen), den Aktualisierungszeitpunkt, die Ergebnisse sowie die der Aktualisierungsdatei zugeordnete Referenznummer an. Zeigt Ergebnisse standardmäßig in der Detailansicht an. "Ergebnisse" zeigt den Tp der Aktualisierung (Anti-Virus-, Spam-Regel- oder URL-Filter-Definitionen), den Aktualisierungszeitpunkt, die Ergebnisse sowie die der Aktualisierungsdatei zugeordnete Referenznummer an. 56 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

57 Übersicht über Berichtsfunktionen Systemberichte 2 Filtertypen Jeder Bericht ermöglicht die Filterung der Ergebnisse. Tabelle 2-25 sbeschreibungen Filteroptionen für Systemberichte Zeitraum und Ende Ereignistyp Ereignis Grund Zeigt Informationen für einen bestimmten Zeitraum von einer Stunde bis zu einem Monat an, basierend auf dem gewählten Startdatum. Wenn Sie darauf klicken, passen die Schaltflächen Vorherige/r/s und Nächste/r/s beispielsweise das Datum Ab an und gehen zur nächsten Woche oder zum vorhergehenden Tag. Zeigt Berichte zu bestimmten Ereignistypen an. Zum Beispiel Probleme, die das Netzwerk betreffen. Wählen Sie eínzelne Ereignisse basierend auf dem gewählten Ereignistyp aus. Wählen Sie eínzelne Ursachen basierend auf dem gewählten Ereignis aus. Vorgehensweise Generieren eines Berichts, der alle Aktualisierungen der Bedrohungserkennungsdatei zeigt Gehen Sie wie nachfolgend beschrieben vor, um Folgendes zu tun: Führen Sie einen Bericht aus, der alle Aktualisierungen aufführt, die in der vergangenen Woche stattgefunden haben, Filtern Sie die Ergebnisse so, dass nur die fehlgeschlagenen Aktualisierungen der URL-Filter angezeigt werden. Speichern Sie den Bericht als neuen bevorzugten Bericht für spätere erneute Ausführungen. 1 Klicken Sie auf Berichte Systemberichte. 2 Wählen Sie in der Liste Favoriten den Bericht Antiviren-Aktualisierungen (letzte Woche) aus. 3 Klicken Sie auf Bericht ausführen, um einen Bericht für alle Aktualisierungen zu generieren. 4 Klicken Sie auf Filter. 5 Wählen Sie in Ereignis die URL-Filter-Aktualisierung fehlgeschlagen, und klicken Sie auf Anwenden, um die Daten entsprechend zu filtern. 6 Klicken Sie auf Speichern, geben Sie einen Namen für den Bericht ein, und klicken Sie auf OK. Der Bericht wird in der Liste der Favoriten angezeigt. Interaktive Berichte Detailansicht Auf dieser Seite können Sie Details zu jeder erkannten Bedrohung anzeigen, beispielsweise die genaue Uhrzeit und die IP-Adresse jeder Erkennung, die von der Appliance verarbeitet wurde. Berichte -Berichte Interaktive -Berichterstattung Detailansicht Berichte Web-Berichte Interaktive Web-Berichterstattung Detailansicht Berichte Systemberichte Interaktive Systemberichte Detailansicht and Web Security Appliances 5.6 Patch 1 Produkthandbuch 57

58 2 Übersicht über Berichtsfunktionen Systemberichte Die Informationen enthalten alle Bedrohungen in -Nachrichten oder IP-Adressen. Die Informationen werden in einer Tabelle angezeigt. Wenn Sie keine Informationen sehen, klicken Sie auf der Registerkarte Filter auf Übernehmen, oder ändern Sie den Zeitraum, und klicken Sie auf Übernehmen. Für Informationen zu den Abschnitten Filter oder Favoriten auf der rechten Seite klicken Sie auf die entsprechende Registerkarte, und klicken Sie dann auf die Hilfe-Schaltfläche (?). Tabelle 2-26 sbeschreibungen Datum und andere Überschriften Daten Zeigt Details zu allen -Nachrichten oder Web-Zugriffen an. Bewegen Sie den horizontalen Schieberegler, um alle Spalten zu sehen. Zum Sortieren der Daten in einer beliebigen Spalte klicken Sie auf die Spaltenüberschrift. Die zuletzt sortierte Spalte ist mit einem roten Pfeil in der Spaltenüberschrift gekennzeichnet. Klicken Sie auf den blauen Link, um weitere Informationen zu einer -Nachricht anzusehen. Diese werden in einer Tabelle oder als Rohdaten (in einem XML-ähnlichen Format) angezeigt. Zum schnellen Navigieren durch die Liste oder zum Anzeigen des Anfangs und des Endes klicken Sie auf die Pfeile rechts unten in der Liste. Auswahl Favoriten Auf dieser Seite können Sie vorhandene bevorzugte Berichte sofort ausführen oder eine Liste mit Links zu Berichten erstellen, die Sie bereits gespeichert haben. Berichte -Berichte Auswahl Favoriten Berichte Web-Berichte Auswahl Favoriten Berichte Systemberichte Auswahl Favoriten Tabelle 2-27 sbeschreibungen Name Bericht ausführen Bearbeiten Löschen Zeigt den Namen jedes Berichts an, den Sie gespeichert haben. Wenn Sie darauf klicken, wird der ausgewählte Bericht geöffnet und links im Bildschirm angezeigt. Öffnet die Seite Filter, von der aus Sie Einstellungen ändern, Berichtsergebnisse testen und die Berichtkriterien in einem neuen bevorzugten Bericht speichern können. Entfernt den bevorzugten Bericht aus der Liste sowie aus den unter "Geplante Berichte" verfügbaren Berichte. 58 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

59 Übersicht über Berichtsfunktionen Systemberichte 2 Auswahl Filter In diesem Abschnitt der Seite können Sie die Informationen des Berichts verfeinern (oder "filtern"). Berichte -Berichte Auswahl Filter Berichte Web-Berichte Auswahl Filter Berichte Systemberichte Auswahl Filter Sie können beispielsweise Informationen zu den Besuchen eines Benutzers auf unerwünschten Websites am Dienstag letzter Woche oder zu Viren aus allen Quellen des letzten Monats anzeigen. Treffen Sie Ihre Auswahl und klicken Sie dann auf Anwenden. Es kann einige Zeit dauern, bis der neue Bericht angezeigt wird. Sie können diese Auswahlen speichern, um zu einem beliebigen anderen Zeitpunkt einen ähnlichen Bericht zu erstellen, oder die getroffenen Auswahlen aufheben. Tabelle 2-28 sbeschreibungen Filteroptionen für -Berichte Zeitraum und Ende Protokoll Datenverkehr Absender Empfänger Zeigt Informationen für einen bestimmten Zeitraum von einer Stunde bis zu einem Monat an, basierend auf dem gewählten Startdatum. Wenn Sie darauf klicken, passen die Schaltflächen Vorherige/r/s und Nächste/r/s beispielsweise das Datum Ab an und gehen zur nächsten Woche oder zum vorhergehenden Tag. Zeigt die Protokolle an, die Sie ansehen möchten (beispielsweise SMTP). Zeigt den Datenverkehr an, entweder eingehend oder ausgehend. In einem einfachen Netzwerk werden Berichte zur Compliance bei ausgehendem Verkehr und Berichte zu Spam bei eingehendem Verkehr angezeigt. Zeigt Informationen zu einem Absender an, beispielsweise benutzer@example.com. Wenn diese ausgewählt ist, geben die erweiterten en "Quelldomäne" und "Quellen-ID" die Domäne des Absenders oder dessen IP-Adresse an. Beispiele: server1.example.com bzw Zeigt Informationen zu einem Empfänger an, z. B. benutzer@example.com. Bei entsprechender Auswahl finden Sie unter den erweiterten en Zieldomäne und Ziel-IP weitere Angaben zur Domäne bzw. IP-Adresse des Empfängers, z. B. server1.example.com und and Web Security Appliances 5.6 Patch 1 Produkthandbuch 59

60 2 Übersicht über Berichtsfunktionen Systemberichte Tabelle 2-28 sbeschreibungen Filteroptionen für -Berichte (Fortsetzung) Maßnahme Ermöglicht Ihnen, Berichte nach bestimmten Aktionen zu filtern, beispielsweise Legitim oder Blockiert. Beispiele: Zum Anzeigen von Informationen zu einem Absender oder Empfänger geben Sie Folgendes ein: Der Name steht zwischen Winkelklammern. Zum Anzeigen von Informationen zu allen Absendernamen, die mit einem b oder B beginnen, geben Sie Folgendes ein: <b* Zum Anzeigen von Informationen zu allen Absendernamen, die mit einem b, B, e oder E beginnen, geben Sie Folgendes ein: <b*, <e* Kategorie Entdeckung Virus/PUPe Erweiterte en einblenden Quelldomäne Quell-IP Zieldomäne Ziel-IP Prüfungs-ID Richtlinie Zeigt Informationen zu einem bestimmten Erkennungstyp an, z. B. Spam oder Viren. Es werden verschiedene Auswahlmöglichkeiten angezeigt, es sei denn, die Alle wurde ausgewählt. Wenn Sie beispielsweise Inhalt ausgewählt haben, können Sie -Größe wählen. Zusätzliche Kategorien werden hier angezeigt, wenn Sie optionale Software installiert haben. Nur Bericht Häufigste Spam-Absender. Wählen Sie aus, ob der Bericht Ergebnisse für Spam-Absender, Phishing-Absender oder beide enthalten soll. Nur Bericht Häufigste Viren. Geben Sie den Namen des Virus oder potentiell unerwünschten Programms ein, um Erkennungsergebnisse für die jeweilige Bedrohung zu erhalten. Durch Klicken auf diese werden die unten stehenden en angezeigt. Klicken Sie auf Erweiterte Einstellungen ausblenden, um die en wieder auszublenden. Der Datenverkehr wird basierend auf der Domäne gefiltert, von der aus die Nachrichten gesendet werden. Der Datenverkehr wird basierend auf der Domäne gefiltert, von der aus die Nachrichten gesendet werden. Der Datenverkehr wird basierend auf der Domäne gefiltert, an die die Nachrichten gesendet werden. Der Datenverkehr wird basierend auf der Domäne gefiltert, an die die Nachrichten gesendet werden. Während der Verarbeitung von Datenverkehr durch die Appliance kann dem Datenverkehr eine Prüfungs-ID zugewiesen werden. Verwenden Sie dieses Feld, um nach Datenverkehr mit einer bestimmten Prüfungs-ID zu filtern. Bietet eine Auswahl an Richtlinien. Tabelle 2-29 sbeschreibungen Filteroptionen für Web-Berichte Zeitraum und Ende Protokoll Zeigt Informationen für einen bestimmten Zeitraum von einer Stunde bis zu einem Monat an, basierend auf dem gewählten Startdatum. Wenn Sie darauf klicken, passen die Schaltflächen Vorherige/r/s und Nächste/r/s beispielsweise das Datum Ab an und gehen zur nächsten Woche oder zum vorhergehenden Tag. Zeigt die Protokolle an, die Sie anzeigen möchten (z. B. HTTP). 60 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

61 Übersicht über Berichtsfunktionen Systemberichte 2 Tabelle 2-29 sbeschreibungen Filteroptionen für Web-Berichte (Fortsetzung) Benutzeranmeldung URL Maßnahme Kategorie Erweiterte en einblenden Quelldomäne Quell-IP Zieldomäne Ziel-IP Prüfungs-ID Maßnahme Richtlinie Kategorie Zeigt Informationen zu einem Benutzer an. Bei entsprechender Auswahl finden Sie unter den erweiterten en Quelldomäne und Quell-IP weitere Angaben zur Domäne bzw. IP-Adresse, z. B. server1.beispiel.com und Zeigt Informationen zu einem URL (Webadresse) an, z. B. When selected, the advanced options, Destination domain and Destination ID, further specify the recipient's domain or IP address, such as server1.example.com and Zeigt Informationen zur Aktion an, die gegen die Bedrohungen durchgeführt wurden, z. B. Blockierung oder bloße Überwachung von Bedrohungen. Das Menü zeigt keine legitimen Webzugriffe an, da diese zu zahlreich sind. Zeigt Informationen zu bestimmten Datenverkehrskategorien an, beispielsweise "Viren" oder "URL-Filterung". Das Menü zeigt keine legitimen Webzugriffe an, da diese zu zahlreich sind. Durch Klicken auf diese werden die unten stehenden en angezeigt. Klicken Sie auf Erweiterte Einstellungen ausblenden, um die en wieder auszublenden. Der Datenverkehr wird basierend auf der Domäne gefiltert, von der aus der Datenverkehr gesendet wird. Der Datenverkehr wird basierend auf der Domäne gefiltert, von der aus der Datenverkehr gesendet wird. Der Datenverkehr wird basierend auf der Domäne gefiltert, an die der Datenverkehr gesendet wird. Der Datenverkehr wird basierend auf der Domäne gefiltert, an die der Datenverkehr gesendet wird. Während der Verarbeitung von Datenverkehr durch die Appliance kann dem Datenverkehr eine Prüfungs-ID zugewiesen werden. Verwenden Sie dieses Feld, um nach Datenverkehr mit einer bestimmten Prüfungs-ID zu filtern. Ermöglicht Ihnen, Berichte nach bestimmten Aktionen zu filtern, beispielsweise Legitim oder Blockiert. Bietet eine Auswahl an Richtlinien. Zeigt Informationen zu einem bestimmten Erkennungstyp an, z. B. Spam oder Viren. Es werden verschiedene Auswahlmöglichkeiten angezeigt, es sei denn, die Alle wurde ausgewählt. Wenn Sie beispielsweise Inhalt ausgewählt haben, können Sie -Größe wählen. Zusätzliche Kategorien werden hier angezeigt, wenn Sie optionale Software installiert haben. Tabelle 2-30 sbeschreibungen Filteroptionen für Systemberichte Zeitraum und Ende Zeigt Informationen für einen bestimmten Zeitraum von einer Stunde bis zu einem Monat an, basierend auf dem gewählten Startdatum. Wenn Sie darauf klicken, passen die Schaltflächen Vorherige/r/s und Nächste/r/s beispielsweise das Datum Ab an und gehen zur nächsten Woche oder zum vorhergehenden Tag. Ereignistyp Zeigt Berichte zu bestimmten Ereignistypen an. Zum Beispiel Probleme, die das Netzwerk betreffen. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 61

62 2 Übersicht über Berichtsfunktionen Systemberichte Tabelle 2-30 sbeschreibungen Filteroptionen für Systemberichte (Fortsetzung) Ereignis Grund Wählen Sie eínzelne Ereignisse basierend auf dem gewählten Ereignistyp aus. Wählen Sie eínzelne Ursachen basierend auf dem gewählten Ereignis aus. 62 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

63 3 Übersicht über -Funktionen Dieses Thema bietet einen Überblick über die Funktionen der and Web Security Appliances, die den -Verkehr betreffen. Inhalt Lebenszyklus einer -Nachricht Nachrichtensuche -Zusammenfassung -Konfiguration -Richtlinien Quarantäne-Konfiguration Lebenszyklus einer -Nachricht In diesem Thema wird erläutert, wie die Appliance die empfangenen -Nachrichten verarbeitet. Eine Appliance bearbeitet eine -Nachricht nach folgenden Punkten: Wer hat die -Nachricht gesendet? Wer wird die -Nachricht erhalten? Der Inhalt der -Nachricht. Die Appliance bearbeitet eine -Nachricht beim Erhalt in folgender Reihenfolge: Verarbeitungsreihenfolge von -Nachrichten CONNECT Blockieren des Kernel-Modus Absender zulassen [Verbindung] Absender verweigern [Verbindung] Listen für Zulassen und Verweigern auf Seite 93 Listen für Zulassen und Verweigern auf Seite 93 Listen für Zulassen und Verweigern auf Seite 93 Realtime Blackhole Lists (RBL) Absenderauthentifizierungseinstellungen RBL-Konfiguration auf Seite 134 EHLO/MAIL FROM Absender zulassen Listen für Zulassen und Verweigern auf Seite 93 Absender verweigern Validierung des Tags für die Bounce-Adresse Listen für Zulassen und Verweigern auf Seite 93 Validierung des Tags für die Bounce-Adresse auf Seite 103 and Web Security Appliances 5.6 Patch 1 Produkthandbuch 63

64 3 Übersicht über -Funktionen Lebenszyklus einer -Nachricht Empfangsbestätigung an: Adressmaskierung Adressenmaskierung (SMTP) auf Seite 85 SPF (Sender Policy Framework) Absenderauthentifizierungseinstellungen SPF, Absender-ID und DKIM auf Seite 135 Anti-Relay Anti-Relay-Einstellungen auf Seite 96 Greylisting Empfängerauthentifizierung auf Seite 100 Adressen-Aliasing (Maskierung) Adressenmaskierung (SMTP) auf Seite 85 Zugelassene Empfängerliste Empfängerauthentifizierung auf Seite 100 LDAP-Empfängerprüfung Empfängerauthentifizierung auf Seite 100 Directory Harvest-Prävention Empfängerauthentifizierung auf Seite 100 DATA RBL Absenderauthentifizierungseinstellungen RBL-Konfiguration auf Seite 134 Falls hinter einem MTA. SPF Absenderauthentifizierungseinstellungen SPF, Absender-ID und DKIM auf Seite 135 Falls hinter einem MTA. Scannen McAfee Global Threat Intelligence -Reputation Einstellungen für Absenderauthentifizierung -Reputation auf Seite 133 Absender-ID Absenderauthentifizierungseinstellungen SPF, Absender-ID und DKIM auf Seite 135 Domain Keys Identified Mail (DKIM) Anti-Spam Absenderauthentifizierungseinstellungen SPF, Absender-ID und DKIM auf Seite 135 Anti-Spam-Einstellungen Grundlegende en auf Seite 128 Anti-Spam-Einstellungen Erweiterte en auf Seite 130 Anti-Spam-Einstellungen Blacklists und Whitelists auf Seite 130 Anti-Phishing Anti-Phishing-Einstellungen auf Seite 131 Mail-Größenfilter Mail-Größen-Filtereinstellungen Nachrichtengröße auf Seite 140 Mail-Größen-Filtereinstellungen Anhangsgröße auf Seite 141 Mail-Größen-Filtereinstellungen Anhangszähler auf Seite 141 Beschädigter Inhalt Inhaltsverarbeitungseinstellungen Beschädigter oder unleserlicher Inhalt Beschädigter Inhalt auf Seite 153 Anmeldeprüfung Inhaltsverarbeitungseinstellungen Beschädigter oder unleserlicher Inhalt Signierte Nachrichten auf Seite 155 Dateifilter Dateifiltereinstellungen auf Seite 136 Verschlüsselter Inhalt Inhaltsverarbeitungseinstellungen Beschädigter oder unleserlicher Inhalt Verschlüsselter Inhalt auf Seite and Web Security Appliances 5.6 Patch 1 Produkthandbuch

65 Übersicht über -Funktionen Lebenszyklus einer -Nachricht 3 HTML-Prüfung Inhaltsverarbeitungseinstellungen HTML-en auf Seite 152 Compliance Compliance-Einstellungen auf Seite 142 DLP Anti-Virus [Einschließlich McAfee Global Threat Intelligence-Datei-Reputation, PUPe, Komprimierungsprogramme] Data Loss Prevention-Einstellungen auf Seite 138 Virenschutzeinstellungen Grundlegende en auf Seite 125 Der Virenscanner wird immer ausgeführt, auch wenn einige andere Scanner nicht verwendet werden. Virenschutzeinstellungen McAfee Anti-Spyware auf Seite 126 Virenschutzeinstellungen Komprimierungsprogramme auf Seite 127 Virenschutzeinstellungen Benutzerdefinierte Malware-en auf Seite 128 Zustellung Proxy-Modus Transparenter Modus Domänen-Relay DNS Fallback-Relay Wenn die -Nachricht die Scan-Phase durchläuft, hängt der nächste Schritt von den Scannern ab, die ausgelöst werden, sowie von den primären Aktionen, die für jeden Scanner definiert wurden. Primäre Aktionen werden wie folgt priorisiert: Verbindung verweigern Verweigern Akzeptieren und verwerfen Ersetzen Durchlassen Betrachten Sie beispielsweise einmal die folgenden Umstände: Die Appliance scannt eine -Nachricht und löst sowohl aufgrund eines Virus als auch aufgrund von Spam aus. Der Antiviren-Scanner ist für das Blockieren bei Erkennung konfiguriert, während der Anti-Spam-Scanner für das Blockieren konfiguriert ist. In dieser Situation meldet die Appliance, dass die -Nachricht infizierte Inhalte enthält, da dies die primäre Aktion mit der höchsten Priorität ist. Die Appliance scannt eine -Nachricht und löst erneut sowohl aufgrund eines Virus als auch aufgrund von Spam aus. Dieses Mal ist jedoch die primäre Aktion sowohl beim Antiviren-Scanner als auch beim Anti-Spam-Scanner auf "Blockieren" gesetzt. In diesem Fall meldet die Appliance den Anti-Spam-Auslöser (der Spam-Scan wird vor dem Virenscan ausgeführt); da jedoch bei beiden Scannern die primäre Aktion mit derselben Priorität konfiguriert ist, wird ebenfalls gemeldet, dass die -Nachricht infizierte Inhalte enthält. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 65

66 3 Übersicht über -Funktionen Nachrichtensuche Nachrichtensuche Verwenden Sie diese Seite, um s zu suchen, die an die DATA-Phase der Appliance übergeben wurden. Diese Funktion steht in epolicy Orchestrator nicht zur Verfügung. Nachrichtensuche Mit der Nachrichtensuche können Sie in Ihrer Appliance bequem nach s suchen. Wenn die Appliance den Nachrichtentext nicht erhalten hat, kann die Nachricht nicht mit der Nachrichtensuche gefunden werden. Die Appliance empfängt den Nachrichtentext beispielsweise nicht, wenn eine von den Realtime Blackhole Lists (RBLs) blockiert wurde. Verwenden Sie in diesem Fall Berichte -Berichte, um weitere Informationen zu der zu erhalten. Vorteile der Nachrichtensuche Eine häufige Anfrage von Benutzern lautet: "Wo ist die , die ich gestern versendet habe?" oder "Warum ist die nicht angekommen, die mir vor einigen Tagen gesendet wurde?". Mit der Nachrichtensuche können Sie von einer einzigen Stelle der Benutzeroberfläche aus den Status von s bestätigen, die die Appliance durchlaufen haben. Es werden folgende Informationen über die angezeigt: Wurde sie zugestellt? Wurde sie blockiert? Wurde die Nachricht gebounct? Wurde die Nachricht isoliert? Befindet sich die Nachricht in der Warteschlange für ausstehende weitere Aktionen? Sie können viele unterschiedliche Suchkriterien verwenden, beispielsweise: Nachrichtenstatus Informationen zum Absender, Empfänger oder Betreff Kategorie Datumsbereich Prüfungs-ID Quell-IP -Disposition Ob die geändert wurde oder nicht Der verwendete virtuelle Host Wenn Sie Maskierung der Absenderadresse oder Aliasing der Empfängeradresse konfiguriert haben, werden bei der Nachrichtensuche die maskierten -Adressen (Aliasnamen) angezeigt. 66 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

67 Übersicht über -Funktionen Nachrichtensuche 3 Tabelle 3-2 Nachrichtensuchparameter Nachrichtenstatus Wählen Sie Alle aus, um alle s zu durchsuchen. Wenn Sie vermuten, dass eine Nachricht einen bestimmten Status hat, können Sie auch nur nach Nachrichten mit folgenden Statuswerten suchen: Blockiert Unzustellbar Zugestellt Isoliert Absender, Empfänger, Betreff In diese Kategorie fallen auch isolierte Elemente, für die ausstehende Anfragen für Entlassen aus der Quarantäne vorliegen. In der Warteschlange Sie können auch mehrere en auswählen, um gleichzeitig in mehreren Statuskategorien nach Nachrichten zu suchen. Sie können s von einem bestimmten Absender oder Empfänger oder mit einem bestimmten Betreff suchen. Die Appliance ändert möglicherweise den Betreff einiger s, üblicherweise durch Hinzufügen des Präfixes [spam] oder [phish] zur Betreffzeile. Bei dem Betreff, der auf der Seite Nachrichtensuche angezeigt wird, handelt es sich jedoch um die ursprüngliche, nicht von der Appliance geänderte Betreffzeile der . Sie können "*" und "?" als Platzhalterzeichen in den Suchen verwenden. Um in diesem Feldern nach einem Zeichen "*", "?" oder "\# zu suchen, fügen Sie vor dem Suchbegriff einen umgekehrten Schrägstrich (\) ein. Beispiel: Mit "\*" können Sie nach dem Zeichen "*" suchen. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 67

68 3 Übersicht über -Funktionen Nachrichtensuche Tabelle 3-2 Nachrichtensuchparameter (Fortsetzung) Kategorie Alle Daten/ Datumsbereich Wenn Sie blockierte oder isolierte Elemente suchen, können Sie die Suche eingrenzen, indem Sie die Kategorie auswählen, mit der die Nachricht von der Appliance blockiert oder isoliert wurde. Bei der Anzeige von blockierten Nachrichten sind die folgenden en für Kategorie verfügbar: Absenderauthentifizierung Vertrauenswürdige Quelle Absenderauthentifizierung Absender-ID Absenderauthentifizierung Domänenschlüssel Absenderauthentifizierung Schwellenwert Spam-Schutz Anti-Phishing Nachrichtengröße Beschädigter Inhalt Signierter Inhalt Dateifilter Verschlüsselter Inhalt Compliance DLP Anti-Virus - McAfee GTI-Datei-Reputation,PUPe, Komprimierungsprogramme Mail-Filterung (extern, Teilnachricht) Für Nachrichten, die von der Appliance isoliert wurden, sind die folgenden en für Kategorie verfügbar: Spam-Schutz Anti-Phishing Nachrichtengröße Beschädigter Inhalt Signierter Inhalt Dateifilter Verschlüsselter Inhalt Compliance DLP Anti-Virus Artemis, PUPe, Komprimierungsprogramme Mail-Filterung (extern, Teilnachricht) Sie können auch mehrere en auswählen, um gleichzeitig in mehreren Kategorien nach Nachrichten zu suchen. Siehe Quarantäneoptionen auf Seite 173 für weitere Informationen zum Zusammenhang der Kategorien mit den in McAfee Quarantine Manager gemeldeten Kategorien. Sie können nach Alle Daten suchen oder einen Datumsbereich mit den en Von und Bis festlegen. 68 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

69 Übersicht über -Funktionen Nachrichtensuche 3 Tabelle 3-2 Nachrichtensuchparameter (Fortsetzung) Audit-ID Wenn eine durch die Appliance geleitet wird, wird ein Received-Header mit Informationen zur Audit-ID zum Nachrichten-Header hinzugefügt. Dies ist ein Beispiel für einen Received-Header: Received: from (mta1.example.com [ ]) by ews_appliance1.example.com with smtp id 1448_0004_4d37a0e8_93e1_11df_b43f_ c271 Tue, 20 Jul :29: Anhand den Informationen zur Prüfungs-ID kann die Nachricht bei ihrem Weg durch die Appliance verfolgt werden. Quell-IP Disposition Typ Virtueller Host Empfänger anzeigen Suchen/ Aktualisieren Parameter löschen Das ist die Quell-IP-Adresse des ursprünglichen -Servers. Wenn die Appliance hinter einem oder mehreren Mailübertragungsagenten (MTAs) konfiguriert ist, wird die korrekte Quell-IP anhand der -Header ermittelt. Wenn Ihnen die IP-Adresse bekannt ist, die s an Sie sendet, können Sie diese Adresse für die Suche verwenden. Es kann entweder eine einzelne Adresse (z. B ) oder eine Netzwerkadresse/Netzwerkmaske (z. B / ) angegeben werden. Hier können Sie für die Nachrichtensuche Alle auswählen oder Eines oder mehr aus wählen und Eingehend, Ausgehend oder Intern angeben. Beim Bearbeiten von isolierten s können Sie hiermit nach "Alle", "Nachrichten", "Ursprüngliche " oder Nachrichten suchen, die von der Appliance geändert wurden. Außerdem können Sie mit dieser Nachrichten suchen, für die Benutzer Ausgewählte Elemente entlassen angefordert haben. Wenn für die Appliance die Nutzung virtueller Hosts aktiviert ist, können Sie s protokollieren oder anzeigen, die von einem individuellen virtuellen Host der Appliance verarbeitet werden. Wählen Sie hierzu in der Dropdown-Liste Virtueller Host den entsprechenden Host-Namen aus. Durch Klicken auf einen der markierten Links im Bereich Empfänger anzeigen sehen Sie entweder Alle Nachrichten oder eine Liste der Empfänger und die Anzahl der Elemente der einzelnen Empfänger, die mit dem ausgewählten Zeichen beginnen. Beispiel: Es wird angezeigt, dass für einen Empfänger gegenwärtig vier verzögerte Nachrichten, eine isolierte Nachricht und drei zugestellte Nachrichten vorliegen. Klicken Sie auf einen bestimmten Empfänger, um alle seine relevanten Elemente anzuzeigen. Sie kehren zur Gesamtansicht der Nachrichten zurück, indem Sie auf Schließen klicken. Klicken Sie hier, um in der Appliance s zu suchen, die mit Ihren Suchparametern übereinstimmen, oder um die Liste zu aktualisieren, falls Sie Parameter geändert haben. Setzt alle Suchparameter auf ihren Standardstatus zurück. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 69

70 3 Übersicht über -Funktionen Nachrichtensuche Tabelle 3-3 Ergebnisse der Nachrichtensuche en Wenn Sie nach den erforderlichen -Typen gesucht haben, können Sie Aktionen ausführen, die auf dem Nachrichtentyp basieren. Zu diesen Aktionen gehören: Nachrichtenstatus lautet Alle: Ausgewählte löschen Alle löschen Ausgewählte Elemente weiterleiten Nur verfügbar, wenn sich alle ausgewählten Nachrichten in der Warteschlange oder in Quarantäne befinden. Nachrichtenstatus lautet Isoliert: Ausgewählte löschen Alle löschen Ausgewählte Elemente weiterleiten Nur verfügbar, wenn sich alle ausgewählten Nachrichten in der Warteschlange oder in Quarantäne befinden. Ausgewählte Elemente aus Quarantäne entlassen Nur verfügbar, wenn alle ausgewählten Nachrichten auf dem Gerät isoliert sind und keine infizierten Inhalte enthalten. Alle entlassen Nachrichtenstatus lautet In der Warteschlange: Ausgewählte löschen Alle löschen Ausgewählte Elemente weiterleiten Ausgewählte Elemente erneut versuchen Nur verfügbar, wenn sich alle ausgewählten Nachrichten in der Warteschlange befinden. Alle erneut versuchen Wenn Sie konfiguriert haben, dass die Appliance die Quarantäne mit McAfee Quarantine Manager außerhalb des Computers ausführt, können Sie in der Nachrichtensuche keine Anfragen für Entlassen aus der Quarantäne initiieren. Echtzeit-Neuversuch Sie können die Zustellung eines in der Warteschlange befindlichen Elements erneut versuchen und dann die Ergebnisse der SMTP-Konversation mit dem Ziel-MTA anzeigen, indem Sie auf Echtzeit-Neuversuch klicken. Sie können Echtzeit-Neuversuch nur verwenden, wenn Sie eine einzelne verzögerte Nachricht auswählen. 70 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

71 Übersicht über -Funktionen Nachrichtensuche 3 Tabelle 3-3 Ergebnisse der Nachrichtensuche (Fortsetzung) Nachricht anzeigen Wenn die Nachricht noch für die Appliance verfügbar ist (z. B. wenn die sich auf der Appliance in der Warteschlange befindet oder dort isoliert wurde), können Sie die ausgewählte Nachricht anzeigen. In der Nachrichtenansicht können Sie folgende Schritte ausführen: Die Nachricht von der Appliance löschen. Die Nachricht von der Appliance entlassen. (Nur bei isolierten Nachrichten.) Die Nachricht wiederholen, um sie von der Appliance zu senden. (Nur bei verzögerten Nachrichten.) Die Nachricht an eine andere -Adresse weiterleiten. Die Nachricht im EML-Format auf das lokale Dateisystem herunterladen. Mit Header anzeigen können Sie die im -Header enthaltenen Informationen anzeigen. Download-Meldung Lädt die ausgewählte verzögerte oder isolierte Nachricht im EML-Format auf das lokale Dateisystem herunter. Tabelle 3-4 Verwendete Symbole im Feld "Eigenschaften" Zeigt an, dass es eine eingehende ist. Zeigt an, dass es eine ausgehende ist. Zeigt an, dass es eine interne ist. Interne s sind Warnmeldungen und Quarantäne-Digest-Nachrichten. Dies ist die ursprüngliche Version der isolierten Nachricht. Dies ist die Version der isolierten Nachricht, die von der Appliance geändert wurde. Diese befindet sich gegenwärtig in der Warteschlange, aber es wird nicht aktiv versucht, die Nachricht zuzustellen. Die Appliance versucht, diese Nachricht zuzustellen. Für diese Nachricht ist eine ausstehende Anfrage für Entlassen aus Quarantäne vorhanden. Befindet sich in der Warteschlange für die Zustellung an den McAfee Quarantine Manager-Server. Vorgehensweise Ermitteln, welche s isoliert sind So zeigen Sie eine Liste aller isolierten Nachrichten an: 1 Klicken Sie auf Nachrichtensuche. 2 Wählen Sie Isoliert in der Dropdown-Liste Nachrichtenstatus aus. 3 Klicken Sie auf Suchen/Aktualisieren. Alle isolierten Nachrichten werden im unteren Bereich der Seite angezeigt. Unteraufgabe Eingrenzen der Suche, um zu sehen, welche s aufgrund von Compliance-Problemen isoliert wurden and Web Security Appliances 5.6 Patch 1 Produkthandbuch 71

72 3 Übersicht über -Funktionen Nachrichtensuche Sie können die Suche nach isolierten s weiter eingrenzen, sodass nur Nachrichten angezeigt werden, die aufgrund von bestimmten Auslösern isoliert wurden. Gehen Sie wie folgt vor, um in diesem Beispiel die s zu finden, die aufgrund von Compliance-Problemen in Quarantäne verschoben wurden: 1 Führen Sie die unter Vorgehensweise Ermitteln, welche s isoliert sind beschriebenen Schritte aus. 2 Wählen Sie Compliance in der Dropdown-Liste Kategorie aus. 3 Klicken Sie auf Suchen/Aktualisieren. Der untere Bereich des Bildschirms wird aktualisiert, um nur die Nachrichten anzuzeigen, die aufgrund von Compliance-Problemen isoliert wurden. Unteraufgabe Anzeigen der s, die aufgrund von Compliance-Problemen isoliert wurden 1 Führen Sie die unter Vorgehensweise Eingrenzen der Suche, um zu sehen, welche s aufgrund von Compliance-Problemen isoliert wurden beschriebenen Schritte aus. 2 Aktivieren Sie links auf der Seite das Kontrollkästchen, um die entsprechende isolierte Nachricht auszuwählen. 3 Klicken Sie auf Nachricht anzeigen. Die ausgewählte Nachricht wird in einem neuen Fenster angezeigt. In diesem Fenster können Sie den Inhalt der lesen. Außerdem können Sie alternativ die detaillierten Informationen des -Headers anzeigen. Sobald Sie die Nachricht gelesen haben, können Sie weitere Aktionen für die auswählen, indem Sie auf die entsprechenden Schaltflächen klicken. Unteraufgabe Entlassen der isolierten s 1 Führen Sie die unter Vorgehensweise Anzeigen der s, die aufgrund von Compliance-Problemen isoliert wurden beschriebenen Schritte aus. 2 Klicken Sie auf Ausgewählte Elemente aus Quarantäne entlassen. Die ausgewählte wird aus der Quarantäne entlassen. s mit infiziertem Inhalt können nicht aus der Quarantäne entlassen werden, da dies Schäden auf Ihren Systemen verursachen könnte. Vorgehensweise Ermitteln, welche s sich in der Warteschlange befinden So zeigen Sie eine Liste aller Nachrichten an, die sich auf der Appliance in der Warteschlange befanden: 1 Klicken Sie auf Nachrichtensuche. 2 Wählen Sie In der Warteschlange in der Dropdown-Liste Nachrichtenstatus aus. 3 Klicken Sie auf Suchen/Aktualisieren. Alle in der Warteschlange befindlichen Nachrichten werden im unteren Bereich der Seite angezeigt. Unteraufgabe Ermitteln, welche s sich in der Warteschlange für die -Zustellung befinden 72 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

73 Übersicht über -Funktionen Nachrichtensuche 3 Sie können die Suche nach in der Warteschlange befindlichen s weiter eingrenzen, sodass nur Nachrichten angezeigt werden, die sich in der Warteschlange für die Zustellung oder den Versand von s befinden. So zeigen Sie die verzögerten Nachrichten an, die auf die Zustellung warten 1 Führen Sie die unter Vorgehensweise Ermitteln, welche s sich in der Warteschlange befinden beschriebenen Schritte aus. 2 Wählen Sie Eingehend in der Dropdown-Liste Disposition aus. 3 Klicken Sie auf Suchen/Aktualisieren. Alle in der Warteschlange für die -Zustellung befindlichen Nachrichten werden im unteren Bereich der Seite angezeigt. Unteraufgabe Zustellung der s in der Warteschlange Nachdem Sie die s in der Warteschlange gefunden und untersucht haben, warum die Nachrichten in die Warteschlange gestellt wurden, müssen Sie anschließend erzwingen, dass die Appliance einen erneuten Zustellversuch unternimmt: 1 Führen Sie die unter Vorgehensweise Ermitteln, welche s sich in der Warteschlange für die -Zustellung befinden beschriebenen Schritte aus. 2 Aktivieren Sie die Kontrollkästchen links auf der Seite, um die relevanten isolierten Nachrichten auszuwählen. 3 Wählen Sie eine der folgenden en aus: Wählen Sie in der Dropdown-Liste en die Ausgewählte Elemente erneut versuchen aus. Klicken Sie bei einer einzelnen Nachricht auf Nachricht anzeigen und anschließend auf die Schaltfläche Wiederholen. Klicken Sie auf Echtzeit-Neuversuch, um den Zustellversuch für die Nachrichten zu wiederholen und anschließend die Ergebnisse anzuzeigen. Vorgehensweise Ermitteln, welche s blockiert werden So zeigen Sie eine Liste aller Nachrichten an, die auf der Appliance blockiert wurden: 1 Klicken Sie auf Nachrichtensuche. 2 Wählen Sie Blockiert in der Dropdown-Liste Nachrichtenstatus aus. 3 Klicken Sie auf Suchen/Aktualisieren. Alle blockierten Nachrichten werden im unteren Bereich der Seite angezeigt. s können aus verschiedenen Gründen blockiert werden. Die Tabelle, in der alle blockierten Nachrichten angezeigt werden, zeigt in der Spalte Status/Kategorie an, aus welchem Grund die einzelnen Nachrichten blockiert wurden. Vorgehensweise Ermitteln der erfolgreich zugestellten s Möglicherweise haben Benutzer angefragt, ob Sie überprüfen können, dass eine erfolgreich an den gewünschten Empfänger zugestellt worden war. Sie können dies wie folgt überprüfen: 1 Klicken Sie auf Nachrichtensuche. 2 Wählen Sie Zugestellt in der Dropdown-Liste Nachrichtenstatus aus. 3 Klicken Sie auf Suchen/Aktualisieren. Alle erfolgreich zugestellten Nachrichten werden im unteren Bereich der Seite angezeigt. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 73

74 3 Übersicht über -Funktionen Nachrichtensuche Vorgehensweise Ermitteln, wo die von mit dem Betreff "abc" ist, die am Vortag versendet wurde Die Suchoptionen auf der Seite "Nachrichtensuche" können miteinander kombiniert werden, um die Suche nach s einzugrenzen. Im folgenden Beispiel wird gezeigt, wie Sie anhand von mehreren Kriterien eine Nachricht suchen: 1 Klicken Sie auf Nachrichtensuche. 2 Geben Sie "benutzer@domäne" im Feld Absender ein. 3 Geben Sie "abc" im Feld Betreff ein. 4 Wählen Sie Datumsbereich aus. 5 Klicken Sie im Bereich Von auf das Kalendersymbol. 6 Wählen Sie das erforderliche Datum aus. 7 Klicken Sie auf OK. 8 Geben Sie im Zeitfeld Von den Wert "00:00" ein. 9 Klicken Sie im Bereich Bis auf das Kalendersymbol. 10 Wählen Sie das erforderliche Datum aus. 11 Klicken Sie auf OK. 12 Geben Sie im Zeitfeld Bis den Wert "23:59" ein. 13 Klicken Sie auf Suchen/Aktualisieren. Im unteren Bereich der Seite werden Informationen zu allen Nachrichten angezeigt, die am ausgewählten Datum von "benutzer@domäne" mit dem Betreff "abc" gesendet wurden. Vorgehensweise Ein Benutzer hat angefordert, dass ich eine seiner isolierten s entlasse Wenn eine in Quarantäne verschoben wird, erhalten die Benutzer eine Digest-Nachricht, in der verschiedene en für die isolierten Nachrichten ausgewählt werden können. So können Sie nach der entsprechenden Anforderung eines Benutzers eine anzeigen und entlassen: 1 Klicken Sie auf Nachrichtensuche. 2 Wählen Sie Isoliert in der Dropdown-Liste Nachrichtenstatus aus. 3 Wählen Sie Ausgewählte Elemente entlassen in der Dropdown-Liste Typ aus. 4 Klicken Sie auf Suchen/Aktualisieren. 5 Wählen Sie die zu entlassenden s aus. 6 Klicken Sie auf Nachricht anzeigen. 74 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

75 Übersicht über -Funktionen -Zusammenfassung 3 7 Wenn Sie sich vergewissert haben, dass die ausgewählte Nachricht kein Sicherheitsrisiko enthält, wählen Sie Ausgewählte Elemente aus Quarantäne entlassen in der Dropdown-Liste en aus. 8 Klicken Sie auf Los. Im Bereich Dashboard -Warteschlangen können Sie sehen, wie viele Anfragen für Entlassen aus Quarantäne von den Benutzern gestellt wurden. Durch Klicken auf den Link auf dieser Seite wird die Seite Nachrichtensuche geöffnet. In die Felder werden automatisch die Informationen eingefügt, die erforderlich sind, um diese Nachrichten zu entlassen. -Zusammenfassung Verwenden Sie diese Seite, um zu sehen, wie gut die Appliance die Zustellung von s und die Bedrohungen von eingehenden s verarbeitet. Diese Funktion steht in epolicy Orchestrator nicht zur Verfügung. -Übersicht Tabelle 3-5 sbeschreibungen Zusammenfassung für eingehende s Aktualisieren Mail-Host Gesamt Akzeptiert Blockiert Weitere Spalten Die obersten [Zahl] Aufzeichnungen für die letzten [Zeitraum] anzeigen Durch Klicken auf diese werden alle Informationen in dieser Tabelle aktualisiert. Die Informationen werden nicht automatisch aktualisiert. Zeigt den Namen des Computers an, der die versendet hat. Zeigt die Gesamtanzahl der verarbeiteten -Nachrichten an. Dies ist die Summe aus Akzeptiert und Blockiert. Zeigt die Anzahl der zugestellten -Nachrichten an. Zeigt die Gesamtanzahl der blockierten -Nachrichten an. Die Richtlinien für -Scans bestimmen, ob eine blockiert wird. Zeigt die Anzahl von erkannten Bedrohungen an, wie beispielsweise Spam und potenziell unerwünschte Programme (PUPe). Bei Auswahl dieser können Sie die Ansicht der Informationen ändern. Sie können beispielsweise die obersten 20 Aufzeichnungen der letzten Woche anzeigen. Tabelle 3-6 sbeschreibungen Zusammenfassung für in der Warteschlange eingereihte Aktualisieren Domänen s Aktive Empfänger Durch Klicken auf diese werden alle Informationen in dieser Tabelle aktualisiert. Die Informationen werden nicht automatisch aktualisiert. Zeigt das Ziel der an. Dabei handelt es sich um einen Namen wie " Zeigt die Anzahl der -Nachrichten an, die auf eine Zustellung warten. Zeigt die Anzahl der Empfänger an, die Teil dieser Domäne sind und deren s sich in der Zustellungswarteschlange befinden. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 75

76 3 Übersicht über -Funktionen -Konfiguration Tabelle 3-6 sbeschreibungen Zusammenfassung für in der Warteschlange eingereihte (Fortsetzung) Soft-Bounces Die obersten [Zahl] Aufzeichnungen anzeigen Zeigt die Anzahl der Antworten an, die den Absender dazu auffordern, einen erneuten Versendeversuch zu unternehmen. Diese Antworten weisen SMTP-Antwortcodes der folgenden Form auf: 4nn. Bei Auswahl dieser können Sie die Ansicht der Informationen ändern. Die zeigt beispielsweise die obersten 40 Aufzeichnungen an. Information zu Statistiken, die in der Liste " -Warteschlangen" angezeigt werden Diese Informationen gelten für die Warteschlangen In der Warteschlange, Isoliert und Anfragen für Entlassen aus Quarantäne. Wenn eine Nachricht an zwei Empfänger gesendet und in die Zustellungswarteschlange gestellt wird (beispielsweise, weil der weiterführende MTA ausgefallen ist), gilt Folgendes: Die Anzahl der Elemente in der Warteschlange ist 1, da die Appliance eine Nachricht empfangen hat. Die Anzahl der Empfänger ist 2, da die Nachricht zwei Empfänger hat. Wenn Sie auf den Link In der Warteschlange klicken, werden zwei Elemente angezeigt, da für jeden Empfänger eine Nachricht vorhanden ist. Wenn zwei Nachrichten an einen Empfänger gesendet und in die Zustellungswarteschlange gestellt werden (beispielsweise, weil der weiterführende MTA ausgefallen ist), gilt Folgendes: Die Anzahl der Elemente in der Warteschlange ist 2, da die Appliance zwei Nachrichten empfangen hat. Die Anzahl der Empfänger ist 2, da jede Nachricht einen Empfänger hat. Wenn Sie auf den Link In der Warteschlange klicken, werden zwei Elemente angezeigt. -Konfiguration Auf dieser Seite können Sie die -Protokollkonfiguration sowie die Einstellungen für den Empfang und das Versenden von s festlegen. Auf den -Konfigurationsseiten können Sie Funktionen wie die Protokolleinstellung für SMTP- und POP3- -Nachrichten, Anti-Relay-Einstellungen, die Empfängerauthentifizierung, Listen zum Zulassen und Verweigern sowie andere Bereiche wie beispielsweise die DKIM-Signierung, Domänen für die -Zustellung und Fallback-Relays konfigurieren. Inhalt Protokollkonfiguration Empfangen von s Senden von s 76 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

77 Übersicht über -Funktionen -Konfiguration 3 Protokollkonfiguration Über die Registerkarte "Protokollkonfiguration" unter " -Konfiguration" können Sie protokollabhängige Einstellungen konfigurieren. Über die weiteren Registerkarten können Sie Verbindungs- und Protokolleinstellungen für SMTP- und POP3-Protokolle sowie Adressenmaskierung und Transport Layer Security für das SMTP-Protokoll konfigurieren. Inhalt Verbindungseinstellungen (SMTP) Protokolleinstellungen (SMTP) Adressenmaskierung (SMTP) Transport Layer Security (SMTP) Verbindungs- und Protokolleinstellungen (POP3) Verbindungseinstellungen (SMTP) Die Seite "Verbindungseinstellungen (SMTP)" bietet Links zu Konfigurationsbereichen, in denen Einstellungen für SMTP-Verbindungen auf der Appliance eingerichtet werden, beispielsweise Ports, Warnungsschwellenwerte und Zeitüberschreitungen. -Konfiguration Protokollkonfiguration Verbindungseinstellungen (SMTP) Seitenbereich Grundlegende SMTP-Einstellungen auf Seite 77 Warnungsschwellenwerte für die Nachrichtenrate auf Seite 78 Zeitüberschreitungen auf Seite 79 Zusammenfassung In diesem Bereich können Sie grundlegende Verbindungseinstellungen für das SMTP-Protokoll eingeben, beispielsweise Port-Nummern. Verwenden Sie diesen Bereich, um bestimmte Schwellenwerte anzugeben, oberhalb derer Sie darauf hingewiesen werden, dass sich die Nachrichtenrate erhöht hat. Verwenden Sie diesen Bereich, um die Zeitlimits anzugeben, die für SMTP-Konversationen gelten. Grundlegende SMTP-Einstellungen In diesem Bereich können Sie grundlegende Verbindungseinstellungen für das SMTP-Protokoll eingeben, beispielsweise Port-Nummern. -Konfiguration Protokollkonfiguration Verbindungseinstellungen (SMTP) Grundlegende SMTP-Einstellungen Das Ändern dieser Einstellungen kann sich auf die Leistung beim Scannen auswirken. Wenden Sie sich an Ihren Netzwerkexperten, wenn Sie sich bzgl. der Auswirkungen beim Vornehmen von Änderungen nicht sicher sind. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 77

78 3 Übersicht über -Funktionen -Konfiguration Tabelle 3-7 sbeschreibungen SMTP-Protokoll aktivieren Abhör-Ports Transparente Abfang-Ports Wenn diese deaktiviert ist, wird jeglicher SMTP-Verkehr ignoriert. Anderer Datenverkehr ist nicht betroffen. Gibt eine Port-Nummer an. Der Standardwert ist 25. Gibt eine Port-Nummer an. Der Standardwert ist 25. Sichere Ports Gibt den Porttyp an. Der Standardwert ist 465. SMTPS verwendet einen sicheren Port. Klicken Sie auf diese Symbole und die Port-Headings, um Symbole zum Verwalten der Port-Informationen anzuzeigen: Gibt die Port-Nummer an. Weist darauf hin, dass der Verkehr abgefangen wird. Gibt einen Zeitraum an, während dessen der Verkehr nicht gescannt wird. Umgekehrte DNS-Suchen aktivieren Wenn diese aktiviert ist, kann die Appliance Suchen durchführen. Der Standardwert lautet "Ja". Gehen Sie beim Deaktivieren dieser mit Umsicht vor. Wenn Sie umgekehrte DNS-Suchen verweigern, können einige Funktionen möglicherweise nicht ordnungsgemäß ausgeführt werden. Warnungsschwellenwerte für die Nachrichtenrate Verwenden Sie diesen Bereich, um bestimmte Schwellenwerte anzugeben, oberhalb derer Sie darauf hingewiesen werden, dass sich die Nachrichtenrate erhöht hat. -Konfiguration Protokollkonfiguration Verbindungseinstellungen (SMTP) Warnungsschwellenwerte für die Nachrichtenrate Sie können in der Appliance konfigurieren, ob bei einer Erhöhung der Nachrichtenrate eine Warnung oder ein Warnhinweis ausgegeben wird. Tabelle 3-8 sbeschreibungen Warnen, wenn die Nachrichtenrate den folgenden Wert überschreitet: Warnung ausgeben, wenn die Nachrichtenrate den folgenden Wert überschreitet: Standardwert = "Unbegrenzt" Standardwert = "Unbegrenzt" 78 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

79 Übersicht über -Funktionen -Konfiguration 3 Zeitüberschreitungen Verwenden Sie diesen Bereich, um die Zeitüberschreitungen anzugeben, die für SMTP-Konversationen gelten. -Konfiguration Protokollkonfiguration Verbindungseinstellungen (SMTP) Zeitüberschreitungen Diese Einstellungen sind standardmäßig so konfiguriert, dass für die meisten Appliance- und Netzwerkkonfigurationen beste SMTP-Leistung gewährleistet werden kann. Das Ändern dieser Einstellungen kann sich auf die Leistung auswirken. Wenden Sie sich an Ihren Netzwerkexperten, wenn Sie sich bzgl. der Auswirkungen beim Vornehmen von Änderungen nicht sicher sind. Protokollvoreinstellung Wählen Sie die erforderliche Protokollvoreinstellung, oder erstellen Sie mithilfe der Dropdown-Liste, die sich rechts auf der Seite befindet, eine neue Voreinstellung. Maximale Wartezeiten beim Empfangen von s Gibt an, wie lange die Appliance auf Antworten von dem -Server wartet, der die -Nachricht sendet. Tabelle 3-9 sbeschreibungen Zwischen Befehlen Zwischen dem Empfangen von Datenblöcken Bestätigung aller Daten Der Standardwert beträgt 60 Minuten. Der Standardwert beträgt 180 Minuten. Der Standardwert beträgt 360 Minuten. Maximale Wartezeiten beim Senden von s Gibt an, wie lange die Appliance auf Antworten von dem -Server wartet, der die -Nachricht empfängt. Tabelle 3-10 sbeschreibungen Einrichten einer Verbindung Antwort auf einen MAIL-Befehl Antwort auf einen RCPT-Befehl Antwort auf einen DATA-Befehl Zwischen dem Senden von Datenblöcken Bestätigung des letzten Punktes Der Standardwert beträgt 60 Minuten. Der Standardwert beträgt 60 Minuten. Der Standardwert beträgt 60 Minuten. Der Standardwert beträgt 60 Minuten. Der Standardwert beträgt 180 Minuten. Der Standardwert beträgt 300 Minuten. Protokolleinstellungen (SMTP) Die Seite "Protokolleinstellungen (SMTP)" bietet Links zu Bereichen, sodass Sie die Einstellungen für das SMTP-Protokoll auf der Appliance konfigurieren können. -Konfiguration Protokollkonfiguration Protokolleinstellungen (SMTP) and Web Security Appliances 5.6 Patch 1 Produkthandbuch 79

80 3 Übersicht über -Funktionen -Konfiguration Seitenbereich en für DATA-Befehl auf Seite 80 Denial-of-Service-Schutz auf Seite 80 Nachrichtenverarbeitung auf Seite 82 Transparenzoptionen (nur Routerund Bridge-Modus) auf Seite 83 Parsing-en für Adresse auf Seite 84 Zusammenfassung Verwenden Sie diesen Bereich, um anzugeben, wie die Appliance während der DATA-Phase beim Verarbeiten von SMTP- s antwortet. Verwenden Sie diesen Bereich, um anzugeben, wie die Appliance mögliche Denial-of-Service-Angriffe auf den -Server verhindert. In diesem Bereich können Sie Nachrichtenverarbeitungsoptionen im SMTP-Protokoll konfigurieren. In diesem Bereich können Sie en konfigurieren, die nur in den transparenten Betriebsmodi "Transparenter Router" oder "Transparente Bridge" verfügbar sind. In diesem Bereich können Sie en hinsichtlich des Parsings von -Adressen konfigurieren. en für DATA-Befehl Verwenden Sie diesen Bereich, um anzugeben, wie die Appliance während der DATA-Phase beim Verarbeiten von SMTP- s antwortet. Tabelle 3-11 sbeschreibungen Maximale Nachrichtendatengröße Maximale Länge einer einzelnen Zeile Maximale Anzahl an Hops Wenn diese Grenzen überschritten werden Maximale Zeilenlänge, bevor die Nachricht erneut codiert wird Verhindert große Nachrichten. Der Standardwert lautet "Unbegrenzt". Verhindert eine übermäßig lange Zeilenlänge. Der Standardwert lautet "Unbegrenzt". Gibt die maximal zulässige Anzahl an Hops an, also die maximal zulässige Anzahl an Received-Zeilen im -Header. Der Standardwert ist 100. Gibt an, wie die Appliance antwortet. Der Standardwert lautet Verbindung schließen. Der Standardwert lautet "Unbegrenzt". Denial-of-Service-Schutz Verwenden Sie diesen Bereich, um anzugeben, wie die Appliance mögliche Denial-of-Service-Angriffe auf den -Server verhindert. Tabelle 3-12 sbeschreibungen Minimaler Datendurchsatz Maximale Anzahl an trivialen Befehlen Verhindert einen durchschnittlichen Datendurchsatz, der zu niedrig ist. Angreifer verarbeiten möglicherweise Teile der SMTP-Verbindung absichtlich langsam. Der Standardwert lautet "Keine Untergrenze". Verhindert, dass die Appliance zu viele triviale Befehle vor einem erfolgreichen DATA-Befehl empfängt. Angreifer senden möglicherweise wiederholt Befehle wie HELO, EHLO, NOOP, VRFY und EXPN. Der Standardwert ist and Web Security Appliances 5.6 Patch 1 Produkthandbuch

81 Übersicht über -Funktionen -Konfiguration 3 Tabelle 3-12 sbeschreibungen (Fortsetzung) Maximale Anzahl an AUTH-Versuchen Maximale Befehlslänge Maximale Dauer einer SMTP-Konversation Null-Absender zulassen Empfänger ablehnen, wenn die Domäne nicht geroutet werden kann Maximale Anzahl an Empfängern, bevor eine Fehlerantwort ausgegeben wird Maximale Anzahl an Empfängern, bevor eine Verzögerung erzwungen wird Verzögerungszeitraum Sperrzeitraum erzwingen Bericht für Zustellfehler bei nicht zustellbarer erzeugen Verhindert zu viele AUTH-Konversationsversuche. (Gilt nur für den Modus "Transparente Bridge".) Beim AUTH-Befehl in SMTP handelt es sich um eine Anforderung an den -Server nach einem Authentifizierungsmechanismus. Der Standardwert lautet "Unbegrenzt". Verhindert übermäßig lange Befehle. Hierbei könnte es sich um einen Pufferüberlaufangriff handeln. Gemäß RFC 2821 beträgt die maximale Gesamtlänge eines Befehls inklusive Befehlswort und CR-LF 512 Zeichen. Der Standardwert ist 999. Schränkt die Zeit zwischen dem Herstellen der Verbindung und dem Empfangen des finalen Punktbefehls (.) ein. Der Standardwert lautet "Unbegrenzt". Mit dieser werden leere From-Adressen akzeptiert. Der Standardwert lautet "Ja". Der Standardwert lautet "Nein". Verhindert eine übermäßig große Anzahl an Empfängern. Während Spam- oder Directory Harvest-Angriffen übertrifft die Anzahl der Empfänger häufig die Anzahl, die für gewöhnlich unternehmensweite Nachrichten erhalten. Berücksichtigen Sie beim Festlegen einer Zahl für diese dieses typische Maximum und rechnen Sie noch eine bestimmte Menge hinzu, um mögliche Steigerungen zuzulassen. Denken Sie daran, diese Zahl zu ändern, wenn das Netzwerk neu konfiguriert wird oder sich das typische Maximum ändert. Der Standardwert lautet "Unbegrenzt". Verhindert eine übermäßig große Anzahl an Empfängern. Der Standardwert lautet "Unbegrenzt". Gibt einen Zeitraum an, der verstreichen muss, bevor Verbindungen wieder aufgenommen werden können. Der Standardwert lautet "Nicht eingestellt". Gibt eine Verzögerung an, um eine sofortige Neuverbindung zu verhindern. Der Standardwert liegt bei 600 Sekunden. Der Standardwert lautet "Ja". and Web Security Appliances 5.6 Patch 1 Produkthandbuch 81

82 3 Übersicht über -Funktionen -Konfiguration Nachrichtenverarbeitung In diesem Bereich können Sie Nachrichtenverarbeitungsoptionen im SMTP-Protokoll konfigurieren. Tabelle 3-13 sbeschreibungen Begrüßung speichern und weiterleiten, wenn Gibt den Text an, der einem Host beim Verbinden mit der Appliance im Modus "Expliziter Proxy" angezeigt wird. Die Standardnachricht lautet: [Appliance-Name und Domäne] [Produktnummer] / SMTP Ready Im Proxy-Modus werden Nachrichten, die innerhalb der angegebenen Grenzen liegen, von der Appliance immer angenommen und in die Warteschlange eingereiht, bevor die weitere Zustellung versucht wird. Bei Nachrichten, die unterhalb der angegebenen Grenzen liegen, wird die Zustellung sofort versucht (während der Client noch verbunden ist). Standardwerte: Die Nachrichtengröße überschreitet Unbegrenzt Die Anzahl an Empfängern überschreitet Unbegrenzt Maximale Anzahl an verwendeten MX-Einträgen Maximale Anzahl an verwendeten A-Einträgen Gibt die Reaktion auf Nachrichten an, die MX-Einträge (Mail Exchange) über Gebühr verwenden. Der Standardwert ist 100. Gibt die Reaktion auf Nachrichten an, die A-Einträge (Address) über Gebühr verwenden. Der Standardwert ist 100. Erweiterte en Verwenden Sie diesen Abschnitt, um weitere Einstellungen für die Nachrichtenverarbeitung anzugeben. Die Einstellungen müssen in der Regel nicht geändert werden. Tabelle 3-14 sbeschreibungen Port für SMTP-Kommunikationen Maximale Anzahl an Richtlinien per Die IP-Adresse des verbundenen Servers zum Received-Header hinzufügen Den Domänennamen des verbundenen Servers zum Received-Header hinzufügen HELO-Befehl impliziert ein Zurücksetzen Gibt die übliche Port-Nummer an. Die Standard-Port-Nummer ist 25. Schränkt die Anzahl an Richtlinien ein, die pro -Nachricht angewendet werden können. Eine größere Zahl kann die Leistung beim Scannen beeinträchtigen. Der Standardanzahl lautet "5". Deaktivieren Sie diese Funktion, wenn Sie nicht möchten, dass die IP-Adresse des Servers verfügbar gemacht wird. Der Standardwert lautet "Ja". Deaktivieren Sie diese Funktion, wenn Sie nicht möchten, dass die Domänenadresse des Servers verfügbar gemacht wird. Der Standardwert lautet "Nein". Erzwingt, dass der HELO-Befehl automatisch eine Zurücksetzung (RSET-Befehl) durchführt. Der RSET-Befehl löscht den Puffer, der Daten wie den Absender, die Empfänger und die -Nachricht speichert. Der Standardwert lautet "Ja". 82 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

83 Übersicht über -Funktionen -Konfiguration 3 Tabelle 3-14 sbeschreibungen (Fortsetzung) HELO- oder EHLO-Befehl ist erforderlich Erzwingt die Verwendung des HELO- bzw. EHLO-Befehls bei jeder SMTP-Kommunikation. Die meisten SMTP-Konversationen beginnen mit diesen Befehlen. Diese Funktion wird nur benötigt, wenn der Absender den Befehl nicht verwendet. Der Standardwert lautet "Nein". Eingehende s auf Festplatte ausgeben Ausgehende s auf Festplatte ausgeben Bietet Informationen zur Fehlerbehebung. Wählen Sie diese nur aus, wenn Sie dazu aufgefordert werden. Andernfalls wird die Leistung beeinträchtigt. Der Standardwert lautet "Nein". Bietet Informationen zur Fehlerbehebung. Wählen Sie diese nur aus, wenn Sie dazu aufgefordert werden. Andernfalls wird die Leistung beeinträchtigt. Der Standardwert lautet "Nein". Transparenzoptionen (nur Router- und Bridge-Modus) In diesem Bereich können Sie en konfigurieren, die nur in den transparenten Betriebsmodi "Transparenter Router" oder "Transparente Bridge" verfügbar sind. Tabelle 3-15 sbeschreibungen Begrüßung vom -Server verwenden Prepend bei folgendem Text Keepalives (NOOP-Befehle) während der DATA-Phase senden und Keepalive-Intervall Gibt die Willkommensnachricht an, die angezeigt wird, wenn ein Host mit SMTP eine Verbindung mit der Appliance in einem transparenten Modus herstellt. Bei Auswahl dieser wird die Willkommensnachricht des -Servers am anderen Ende der Verbindung angezeigt. Falls dies in der nächsten angegeben ist, wird zusätzlicher Text vorangestellt. Wenn diese nicht ausgewählt ist, wird die eigene Willkommensnachricht der Appliance (im Abschnitt Nachrichtenverarbeitung) angezeigt. Der Standardwert lautet "Ja". Gibt den Text für die Nachricht an. Beim Standardwert wird kein Text vorangestellt. Verhindert, dass eine Zeitüberschreitung bei der Verbindung zwischen der Appliance und dem weiterleitenden -Server auftritt, wenn die Appliance große -Nachrichten scannt, indem ein Keepalive-Befehl an den Zielserver gesendet wird. Dadurch wird die Verbindung so lange aufrechterhalten, bis die DATA-Phase vom sendenden -Server zur Appliance abgeschlossen ist. Nach dem Übertragen der Daten an die Appliance beendet die Appliance das Senden der Befehle und startet die DATA-Phase zwischen der Appliance und dem Ziel- -Server. Der Standardwert lautet "Nein". Geben Sie an, wie häufig Keepalive-Befehle (NOOP-Befehle) während der DATA-Phase gesendet werden sollen. Der Standardwert für das Intervall beträgt 55 Sekunden. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 83

84 3 Übersicht über -Funktionen -Konfiguration Erweiterte en Verwenden Sie diesen Abschnitt, um weitere Einstellungen für die Transparenzoptionen anzugeben. Diese Einstellungen müssen in der Regel nicht geändert werden. Tabelle 3-16 sbeschreibungen Zulassen, dass die Appliance zusätzliche Scan-Warnungen generiert Mehrere Richtlinien pro zulassen Einen Received-Header zu s hinzufügen ESMTP-Erweiterungen Generiert zusätzliche Scan-Warnungen, um Netzwerkadministratoren oder andere Benutzer beim Auftreten bestimmter Ereignisse zu warnen. Der Standardwert lautet "Ja". Die Aktionen, die von der Appliance beim Auftreten dieser Ereignisse durchgeführt werden, hängen davon ab, welche Erkennung ausgelöst wurde und wie die Richtlinien für jedes Protokoll eingerichtet wurden. Standardmäßig sind die meisten sekundären Aktionen nicht verfügbar, wenn die Appliance in einem transparenten Modus ausgeführt wird. Standardmäßig sind nur die Quarantäneaktionen verfügbar. Ermöglicht die Verwendung mehrerer Richtlinien für -Nachrichten, die mehrere Empfänger aufweisen. Der Standardwert lautet "Nein". Wenn eine -Nachricht mehrere Empfänger aufweist, können Sie die Appliance so konfigurieren, dass verschiedene Richtlinien für jeden der Empfänger angewendet werden. Wenn mehrere Richtlinien nicht zugelassen sind, wendet die Appliance gemäß der Reihenfolge der Richtlinie nur die Richtlinie der höchsten Priorität an. Fügt den -Headern den RCPT-Befehl ("Empfangen") hinzu. Der Standardwert lautet "Ja". Scannt Funktionen des Extended Simple Mail Transfer Protocol. Standardwerte: ESMTP-Erweiterungen aktivieren Ja DSN (Delivery Sender Notification, Zustellsenderbenachrichtigung), 8BITMIME (8-Bit-Datenübertragung), AUTH (Authentifizierung) Ja GRÖSSE Nein Microsoft Exchange ESMTP-Erweiterungen Verhindert das Scannen bestimmter Erweiterungen. Standardwerte: X-EPS, X-LINK2STATE, XEXCH50, CHUNKING Nein Wenn die Appliance zwischen zwei Microsoft Exchange-Servern eingesetzt wird, muss die Appliance zulassen, dass diese -Header ohne Scannen ausgetauscht werden. Parsing-en für Adresse In diesem Bereich können Sie en hinsichtlich des Parsings von -Adressen konfigurieren. Diese Einstellungen müssen in der Regel nicht geändert werden. Ändern Sie die Einstellungen nur, wenn Sie sich über die möglichen Auswirkungen im Klaren sind oder einen Experten befragt haben. Éine -Adresse wie besteht aus zwei Teilen: Der lokale Teil befindet sich vor user. Der Teil der Domäne kommt nach example.com. 84 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

85 Übersicht über -Funktionen -Konfiguration 3 Tabelle 3-17 sbeschreibungen Maximale Länge des lokalen Teils Maximale Länge des Domänenteils Nicht-RFC-Zeichen im Domänenteil erlauben Gibt an, wie viele Zeichen im lokalen Teil verwendet werden können. Die RFC-Beschränkung beträgt 64 Zeichen. Gibt an, wie viele Zeichen im Domänenteil verwendet werden können. Die RFC-Beschränkung beträgt 255 Zeichen. Standardmäßig sind Zeichen, die nicht im ASCII-Zeichensatz enthalten sind, in -Adressen nicht zugelassen. Adressenmaskierung (SMTP) Verwenden Sie die Abschnitte auf dieser Seite, um die Adressen in den Headern ein- und ausgehender s zu konvertieren. Beispiel: -Konfiguration Protokollkonfiguration Adressenmaskierung (SMTP) Senden und Empfangen von s für allgemeine Anfragen mit einer anonymen Adresse wie info@beispiel.com anstelle der spezifischen Adresse einer Person. Umleiten von s für verschiedene Personen an einen Benutzer. Ändern der -Header zum Verbergen von Informationen zu internen Domänen. Vornehmen von Änderungen an der "Von"-Adresse ausgehender s unter Maskierung der Absenderadresse. Vornehmen von Änderungen an der "An"-Adresse eingehender s unter Aliasing der Empfängeradresse. Die Adressmaskierung wirkt sich auf alle s aus. Achten Sie darauf, dass sich die Mustersuche nicht mit Richtlinien überschneidet, die -Adressen beeinflussen. Hilfreiche Websites Reguläre Ausdrücke: Seitenbereich Zusammenfassung Maskierung der Absenderadresse Verwenden Sie diesen Bereich, um die Maskierung der Absenderadresse zu konfigurieren. Aliasing der Empfängeradresse Verwenden Sie diesen Bereich, um das Aliasing der Empfängeradresse zu konfigurieren. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 85

86 3 Übersicht über -Funktionen -Konfiguration Maskierung der Absenderadresse Verwenden Sie diesen Bereich, um die Maskierung der Absenderadresse zu konfigurieren. Tabelle 3-18 sbeschreibungen Suchmuster Ersetzung Testen Legt ein Suchmuster fest, das reguläre Ausdrücke einsetzt, um die ursprünglichen -Adressen in maskierte -Adressen zu konvertieren. Seien Sie vorsichtig bei der Verwendung der Zeichen ^ und $ in einem regulären Ausdruck. Falls die -Header Sonderzeichen wie beispielsweise Winkelklammern (< >) enthalten, ersetzt der reguläre Ausdruck die -Adresse nicht, wie zu erwarten wäre. Zeigt die Adresse an, die Sie anstatt der ursprünglichen -Adresse einsetzen möchten. Durch Klicken auf diese wird ein weiteres Fenster geöffnet, in dem Sie testen können, ob der reguläre Ausdruck die richtige Ersetzungsadresse erstellt. Geben Sie eine -Adresse ein, und klicken Sie auf Aktivieren, um die resultierende Ausgabeadresse anzuzeigen. Header durchsuchen (erweitert) Verwenden Sie diesen Bereich, um anzugeben, wie die Appliance nach -Headern sucht. Tabelle 3-19 sbeschreibungen Mail-Header, die durchsucht werden sollen Gibt neue -Header für ausgehende -Nachrichten an. Sie müssen nur dann neue Header hinzuzufügen, wenn Ihr -Server eigene eindeutige Header anfügt oder wenn spezielle Header in neuen -Spezifikationen definiert sind. Aliasing der Empfängeradresse Verwenden Sie diesen Bereich, um das Aliasing der Empfängeradresse zu konfigurieren. Tabelle 3-20 sbeschreibungen Suchmuster Ersetzung Testen Legt ein Suchmuster fest, das reguläre Ausdrücke einsetzt, um die ursprünglichen Empfänger in Alias- -Adressen zu konvertieren. Seien Sie vorsichtig bei der Verwendung der Zeichen ^ und $ in einem regulären Ausdruck. Falls die -Header Sonderzeichen, wie etwa Winkelklammern (< >), enthält, ersetzt der reguläre Ausdruck die -Adresse nicht, wie zu erwarten wäre. Zeigt die Adresse an, die Sie anstatt der ursprünglichen Empfänger- -Adresse einsetzen möchten. Durch Klicken auf diese wird ein weiteres Fenster geöffnet, in dem Sie testen können, ob der reguläre Ausdruck die richtige Ersetzungsadresse erstellt. Geben Sie eine -Adresse ein und klicken Sie auf Aktivieren, um die resultierende Ausgabeadresse anzuzeigen. 86 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

87 Übersicht über -Funktionen -Konfiguration 3 Transport Layer Security (SMTP) Verwenden Sie diese Seite, um anzugeben, wie Geräte verschlüsselte Kommunikation verwenden und ihre digitalen Zertifikate verwalten sollen. -Konfiguration Protokollkonfiguration Transport Layer Security (SMTP) Importieren Sie die vertrauenswürdigen Zertifizierungsstellen und Zertifikate der teilnehmenden Organisationen, bevor Sie mit dieser Konfiguration beginnen. RSA-Schlüssel können sowohl zum Verschlüsseln als auch zum Signieren verwendet werden. DSA-Schlüssel können nur zum Signieren verwendet werden. Tabelle 3-21 sbeschreibungen Seitenbereich TLS-Verbindungen auf Seite 87 Zertifikatsverwaltung auf Seite 88 TLS-en (erweitert) auf Seite 90 Zusammenfassung Verwenden Sie diesen Bereich, um Hosts anzugeben, die die TLS-Verschlüsselung verwenden. Verwenden Sie diesen Bereich, um digitale TLS-Zertifikate zu verwalten, die zur sicheren Übertragung von s erforderlich sind. Verwenden Sie diesen Bereich, um den Verschlüsselungstyp für die TLS-Verschlüsselung anzugeben. TLS-Verbindungen Verwenden Sie diesen Bereich, um Hosts anzugeben, die die TLS-Verschlüsselung verwenden. Tabelle 3-22 sbeschreibungen Quelle (Appliance fungiert als Server) Zeigt die Details an, z. B.: / / server1.beispiel.net *.example.net TLS verwenden Client authentifizieren Server-Zertifikat Immer Weist s von teilnehmenden Organisationen ab, wenn deren Kommunikation nicht versucht, eine Verschlüsselung zu starten. Nie Legt fest, dass die Verbindungen zum Quellserver keine TLS-Verschlüsselung verwenden. Wenn verfügbar Die Verbindung verwendet die TLS-Verschlüsselung, falls verfügbar. Gibt an, ob das andere Gerät ebenfalls Authentifizierungsvorgänge durchführen muss. Wählt das Zertifikat aus, das für diese TLS-Verbindung verwendet werden soll. Der Name entspricht einem der Zertifikat-IDs aus dem Abschnitt Zertifikatsverwaltung. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 87

88 3 Übersicht über -Funktionen -Konfiguration Tabelle 3-22 sbeschreibungen (Fortsetzung) Quelle (Appliance fungiert als Client) Zeigt die Details an, z. B.: / / server1.beispiel.net *.example.net TLS verwenden Selbst authentifizieren Clientzertifikat Immer Weist s von teilnehmenden Organisationen ab, wenn deren Kommunikation nicht versucht, eine Verschlüsselung zu starten. Nie Legt fest, dass die Verbindungen zum Quellserver keine TLS-Verschlüsselung verwenden. Wenn verfügbar Die Verbindung verwendet die TLS-Verschlüsselung, falls verfügbar. Gibt an, ob sich der Client beim Empfänger vor dem Versenden von s selbst authentifizieren muss. Der Client benötigt ein eigenes Zertifikat. Wählt das Zertifikat aus, das für diese TLS-Verbindung verwendet werden soll. Der Name entspricht einem der Zertifikat-IDs aus dem Abschnitt Zertifikatsverwaltung. Zertifikatsverwaltung Verwenden Sie diesen Bereich, um digitale TLS-Zertifikate zu verwalten, die zur sicheren Übertragung von s erforderlich sind. Zertifikate weisen für gewöhnlich eine Gültigkeitsdauer von mehreren Monaten oder Jahren auf, sodass diese nicht häufig verwaltet werden müssen. Diese Informationen sind auch durch die Auswahl von System Zertifikatsverwaltung Zertifikat TLS-Zertifikate und -Schlüssel in der Navigationsleiste verfügbar. Tabelle 3-23 sbeschreibungen Zertifikats-ID Betreff Aussteller Läuft ab Löschen Anzeigen Zeigt den Namen des Zertifikats an. Zeigt Details zum Zertifikat an. Zeigt die Stelle an, die das Zertifikat herausgibt, z. B. Thawte oder Verisign. Zeigt das Ablaufdatum des Zertifikats an, z. B. 5. Mai 2010 um 12:15:00 Uhr. Durch Klicken auf diese wird das ausgewählte Zertifikat gelöscht. Durch Klicken auf diese werden Details zum ausgewählten Zertifikat angezeigt, beispielsweise dessen Version, Aussteller und öffentlicher Schlüssel. 88 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

89 Übersicht über -Funktionen -Konfiguration 3 Tabelle 3-23 sbeschreibungen (Fortsetzung) Exportieren Zertifikat und Schlüssel importieren Wenn Sie hierauf klicken, wird ein anderes Fenster geöffnet, indem Sie auswählen können, ob das Zertifikat oder eine ganze Zertifikatskette exportiert werden soll, und das Zertifikatsformat angeben. Die Dateinamenserweiterung lautet in der Regel CRT. Durch Klicken hierauf wird ein anderes Fenster geöffnet, in dem Sie eine Datei auswählen können. Das importierte Zertifikat kann eines dieser Formate aufweisen: Binäre (oder DER-codierte) Zertifikatsdatei PEM (Base64)-codierte Zertifikate Binäre PKCS#12-Datei PEM-codierte PKCS#12-Datei Um ein kennwortgeschütztes Zertifikat zu importieren, geben Sie den Kennwortsatz ein, um den privaten Schlüssel zu entsperren. Die Appliance speichert das entschlüsselte Zertifikat an einem sicheren internen Speicherort. Nachdem Sie auf das Symbol zum Übernehmen Ihrer Änderungen geklickt haben, verifiziert die Appliance das Zertifikat und stellt es so Benutzern zur Verfügung: Wenn ein gelbes Ausrufezeichen neben dem Zertifikat angezeigt wird, nachdem Sie auf das grüne Häkchen geklickt haben, um die Änderung zu übernehmen, wird das Zertifikat als derzeit nicht vertrauenswürdig angesehen. Importieren Sie das verknüpfte CA-Zertifikat, bevor Sie das neue Zertifikat verwenden. Zertifikat und Schlüssel importieren In diesem Thema werden die Felder des Dialogfelds "Zertifikat und Schlüssel importieren" für Transport Layer Security beschrieben. -Konfiguration Protokollkonfiguration Transport Layer Security (SMTP) Zertifikatsverwaltung Wenn Sie die Erstellung Ihrer TLS-Zertifikate anfordern, empfiehlt McAfee, den Host-Namen und die IP-Adresse der Appliance anzugeben, die die TLS-verschlüsselten s entschlüsseln soll. Falls Ihre Appliance Teil eines Clusters und im Modus "Transparent Router" oder "Expliziter Proxy" konfiguriert ist, geben Sie den virtuellen Host-Namen und die virtuelle IP-Adresse des Clusters statt der physischen IP-Adressen an. Tabelle 3-24 sbeschreibungen Durchsuchen Kennwortsatz zum Entsperren des privaten Schlüssels Format Klicken Sie auf Durchsuchen, um die Datei mit dem TLS-Zertifikat und -Schlüssel zu finden. Geben Sie den Kennwortsatz ein, den Sie bei der Anforderung des Zertifikats angegeben haben. Wählen Sie Base64-codierte Zertifikate und privater Schlüssel oder PKCS#12-gesicherte Schlüsseldatei, je nach verwendetem Format. Sie können auch angeben, dass alle CA-Zertifikate, die sich in der Importdatei befinden, importiert werden sollen. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 89

90 3 Übersicht über -Funktionen -Konfiguration TLS-en (erweitert) Verwenden Sie diesen Bereich, um den Verschlüsselungstyp für die TLS-Verschlüsselung anzugeben. Tabelle 3-25 sbeschreibungen Verschlüsselungsstärke Keine Verschlüsselung zulassen Anonymen Schlüsselaustausch zulassen Bietet eine Auswahl von Verschlüsselungsstärken. Standardmäßig werden Schlüssel mit einer Vielzahl von Stärken unterstützt. Falls erforderlich, kann der Bereich unterstützter Verschlüsselungsstärken auf 128 Bit oder höher beschränkt werden. Falls ausgewählt, werden Schlüssel ohne Verschlüsselung nicht unterstützt. Die Verwendung unverschlüsselter TLS-Verbindungen wird nicht empfohlen, sodass diese Einstellung standardmäßig deaktiviert ist. Falls ausgewählt, werden Schlüssel ohne Authentifizierung nicht unterstützt. Die Verwendung nicht authentifizierter TLS-Verbindungen wird nicht empfohlen, weshalb diese Einstellung standardmäßig deaktiviert ist. Wenn nicht authentifizierte Schlüssel unterstützt werden, wählen einige Zielserver möglicherweise diese Schlüssel statt authentifizierter Schlüssel. Verbindungs- und Protokolleinstellungen (POP3) In diesem Bereich können Sie Einstellungen für das POP3-Protokoll angeben, wie Port-Nummern und Zeitüberschreitungen. -Konfiguration Protokollkonfiguration Verbindungs- und Protokolleinstellungen (POP3) al können Sie Zeiträume angeben, während deren einige Teile des Netzwerks nicht gescannt werden. Bevor Sie das Scannen beliebigen Datenverkehrs deaktivieren, sollten Sie die Sicherheitsrisiken bedenken. Die sicherste besteht darin, den gesamten Datenverkehr zu scannen. Wenn sich eine Appliance im transparenten Modus befindet, verwenden Sie diese Funktion, um einige Teile des Netzwerks auszuschließen, sodass der Datenverkehr in einem Protokoll während bestimmter Zeiträume nicht gescannt wird. Diese Einstellungen müssen Sie möglicherweise vornehmen, wenn Sie regelmäßig viele große Dateien über die Appliance übertragen. Das Ändern dieser Einstellungen kann sich auf die Leistung beim Scannen auswirken. Wenden Sie sich an Ihren Netzwerkexperten, wenn Sie sich bzgl. der Auswirkungen beim Vornehmen von Änderungen nicht sicher sind. Tabelle 3-26 sbeschreibungen Seitenbereich Zusammenfassung Grundlegende POP3-Einstellungen In diesem Bereich können Sie die grundlegende Einstellung für die Verwendung des POP3-Protokolls konfigurieren. Zeitüberschreitungen POP3-Protokolleinstellungen Verwenden Sie diesen Bereich, um Zeitüberschreitungswerte für das POP3-Protokoll anzugeben. Verwenden Sie diesen Bereich, um Einstellungen anzugeben, die sich ausschließlich auf das POP3-Protokoll beziehen. 90 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

91 Übersicht über -Funktionen -Konfiguration 3 Grundlegende POP3-Einstellungen In diesem Bereich können Sie die grundlegende Einstellung für die Verwendung des POP3-Protokolls konfigurieren. Tabelle 3-27 sbeschreibungen POP3-Protokoll aktivieren Wenn diese deaktiviert ist, wird jeglicher POP3-Verkehr ignoriert. Anderer Datenverkehr ist nicht betroffen. Abhör-Ports Gibt eine Port-Nummer an. Der Standardwert ist 110. Transparente Abfang-Ports Gibt eine Port-Nummer an. Der Standardwert ist 110. Dedizierte POP3-Proxy-Ports Gibt Verbindungen zu dedizierten POP-Servern an. Geben Sie für jeden Server eine eindeutige Port-Nummer an. Wählen Sie Port-Nummern zwischen 1024 und aus, da die Zahlen unter 1024 in der Regel anderen Protokollen zugewiesen sind. Der Server muss über einen FQDN verfügen, beispielsweise pop3server.example.com. Klicken Sie auf diese Symbole und die Port-Headings, um Symbole zum Verwalten der Port-Informationen anzuzeigen: Gibt die Port-Nummer an. Weist darauf hin, dass der Verkehr abgefangen wird. Gibt einen Zeitraum an, während dessen der Verkehr nicht gescannt wird. Gibt einen dedizierten Port an. Umgekehrte DNS-Suchen aktivieren Wenn diese aktiviert ist, kann die Appliance Suchen durchführen. Der Standardwert lautet "Ja". Gehen Sie beim Deaktivieren dieser mit Umsicht vor. Wenn Sie umgekehrte DNS-Suchen verweigern, können einige Funktionen möglicherweise nicht ordnungsgemäß ausgeführt werden. Zeitüberschreitungen Verwenden Sie diesen Bereich, um Zeitüberschreitungswerte für das POP3-Protokoll anzugeben. Diese Werte müssen nicht häufig geändert werden. Tabelle 3-28 sbeschreibungen Maximale Wartezeiten bei der Kommunikation mit einem POP3-Client Gibt an, wie lange die Appliance auf Antworten von dem Computer wartet, der die -Nachricht versendet. Standardwerte: Zwischen Befehlen 600 Sekunden Datentransfer abschließen 60 Sekunden Maximale Wartezeiten bei der Kommunikation mit einem POP3-Server Gibt an, wie lange die Appliance auf Antworten von dem -Server wartet, der die -Nachricht empfängt. Standardwerte: Einrichten einer Verbindung 60 Sekunden Datentransfer abschließen 60 Sekunden and Web Security Appliances 5.6 Patch 1 Produkthandbuch 91

92 3 Übersicht über -Funktionen -Konfiguration POP3-Protokolleinstellungen Verwenden Sie diesen Abschnitt, um Einstellungen anzugeben, die sich ausschließlich auf das POP3-Protokoll beziehen. Tabelle 3-29 sbeschreibungen Server-Keepalives aktivieren Gibt Werte an, um die Serververbindung beizubehalten. Die Appliance kann wiederholt POP3-Befehle senden, um zu verhindern, dass eine Zeitüberschreitung bei der Verbindung zwischen der Appliance und dem -Server auftritt. Standardwerte: Server-Keepalives aktivieren Nein Keepalive-Intervall 60 Sekunden Keepalive-Befehl Nicht eingestellt Client-Keepalives aktivieren Gibt Werte an, um die Clientverbindung beizubehalten. Die Appliance kann wiederholt POP3-Befehle senden, um zu verhindern, dass eine Zeitüberschreitung bei der Verbindung zwischen der Appliance und dem POP3-Mail-Client auftritt. Standardwerte: Client-Keepalives aktivieren Nein Keepalive-Intervall 60 Sekunden Adressbegrenzung Gibt die Zeichen an, die jeden Teil einer -Adresse bestimmen. Beispiel: [Benutzername]#[Host-Name]:[Port-Nummer]. Standardwerte: # Benutzer-Trennzeichen : Host-Trennzeichen Sie müssen die Trennzeichen nur ändern, wenn der POP3-Anbieter andere Zeichen verwendet. Antwort auf CAPA-Anfragen Antwortet auf einen POP3-CAPA-Befehl, der eine Liste mit Funktionen zurückgibt, die vom POP3-Server unterstützt werden. Der Standardwert lautet "Nein". Weitere Informationen finden Sie bei RFC Empfangen von s Über die Registerkarte "Empfangen von s" unter " -Konfiguration" können Sie protokollabhängige Einstellungen konfigurieren. Über die weiteren Registerkarten können Sie Listen für Zulassen und Verweigern und Anti-Relay-Einstellungen sowie die Empfängerauthentifizierung und die Validierung des Tags für die Bounce-Adresse konfigurieren. Inhalt Listen für Zulassen und Verweigern Anti-Relay-Einstellungen Empfängerauthentifizierung Validierung des Tags für die Bounce-Adresse 92 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

93 Übersicht über -Funktionen -Konfiguration 3 Listen für Zulassen und Verweigern Verwenden Sie diese Seite, um eine Liste mit IP-Adressen, Netzwerken und Benutzern zu erstellen, die für das Herstellen einer Verbindung mit der Appliance zugelassen sind, denen dies verweigert wird bzw. denen dies vorübergehend verweigert wird. -Konfiguration Empfangen von Listen für Zulassen und Verweigern Die Seite verfügt über folgende Abschnitte: Zugelassene und blockierte Verbindungen Zugelassene und blockierte Absender Vorteile der Verwendung von Listen für Zulassen und Verweigern Die Listen für Zulassen und Verweigern für Verbindungen und Absender befinden sich auf derselben Seite der Benutzeroberfläche und ermöglichen ein problemloses Konfigurieren dieser Einstellungen. Nach der Einrichtung können Sie mit den Listen zum Zulassen und Verweigern Benutzer davor bewahren, von unerwünschten s überschwemmt zu werden. Gleichzeitig wird sichergestellt, dass nicht versehentlich s von vertrauenswürdigen Absendern blockiert werden. Zugelassene und blockierte Verbindungen Verwenden Sie diesen Abschnitt, um IP-Adressen anzugeben, die stets für das Herstellen einer Verbindung mit der Appliance zugelassen sind bzw. denen dies verweigert wird. Tabelle 3-30 sbeschreibungen IP-Adresse (Zulässige Verbindungen) IP-Adresse (Blockierte Verbindungen) Port VLAN-ID Verbleibende Sekunden Aktualisieren Die Appliance akzeptiert s von diesen Adressen auch dann, wenn eine erkannte Bedrohung eine "Verbindung verweigern"-aktion ausgelöst hat. Diese Einstellung stellt sicher, dass die Appliance keine s von vertrauenswürdigen Absendern verzögert. Zeigt die IP-Adressen für Verbindungen an, die aktuell von der Appliance blockiert werden. Die Adressen werden für einen festgelegten Zeitraum, in dem keine s akzeptiert werden, in dieser Liste gespeichert. Das Zulassen einer Verbindung hebt keine durch die Richtlinie, die die Verbindungen blockiert, festgelegten zeitlichen Einschränkungen auf. Falls eine Richtlinie beispielsweise festlegt, dass eine Verbindung für die Dauer von 600 Sekunden blockiert wird, und Sie die Verbindung innerhalb dieses Zeitraums als zulässig festlegen, wird die Verbindung weiterhin blockiert, bis die 600 Sekunden verstrichen sind. Daher kann eine Verbindung vorübergehend sowohl in der Liste "Verweigerte Verbindungen" als auch in der Liste "Zulässige Verbindungen" angezeigt werden. Zeigt die Nummer des Ports an, an dem die Nachricht empfangen wurde. Dies ist meist Port 25. Zeigt die ID des virtuellen LAN an, in dem die Nachricht empfangen wurde. Dabei handelt es sich für gewöhnlich um eine ID im Bereich 1 bis Dies trifft nur im Modus "Transparente Bridge" zu. Zeigt die Zeit an, die verstreichen muss, bevor die Appliance wieder eine Verbindung von dieser IP-Adresse aus zulässt. Durch Klicken auf diese wird die Liste der Verbindungen aktualisiert. Die Liste wird nicht automatisch aktualisiert. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 93

94 3 Übersicht über -Funktionen -Konfiguration Tabelle 3-30 sbeschreibungen (Fortsetzung) Blockierung aufheben Maximal [Zahl] Elemente in der Liste der blockierten Verbindungen speichern Liste importieren Exportliste Durch Klicken auf diese wird es der ausgewählten IP-Adresse ermöglicht, erneut einen Verbindungsversuch zu unternehmen. Wenn die Grenze erreicht wird, kann die Appliance erst dann wieder weitere IP-Adressen zur Liste hinzufügen, wenn eine vorhandene Adresse abläuft oder manuell durch Klicken auf Blockierung aufheben entfernt wird. Der Standardwert ist Sie können eine Liste der zulässigen Verbindungen importieren, um diese nicht einzeln in jede Appliance eingeben zu müssen. Nachdem Sie die Liste der zulässigen Verbindungen für eine Ihrer Appliances konfiguriert haben, können Sie sie exportieren und anschließend in andere Appliances importieren. Die Datei wird im CSV-Format erstellt. Zugelassene und blockierte Absender Verwenden Sie diesen Abschnitt, um Absender, Netzwerke und Domänen anzugeben, die stets für das Herstellen einer Verbindung mit der Appliance zugelassen sind bzw. denen dies verweigert wird. Tabelle 3-31 sbeschreibungen Werttyp (Zugelassene Absender) Wert (Zugelassene Absender) Werttyp (Blockierte Absender) Wert (Blockierte Absender) Reaktion, wenn sich ein Empfänger auf der Blockierungsliste befindet Zugelassene/blockierte Host-Namen für IP-Adressen auflösen IP-Adresse des Absenders der umgekehrten Suche Wenn eine von einem zulässigen Absender stammt, werden die Absender-Authentizitätsprüfungen umgangen, und der Absender wird akzeptiert. Zeigt Details zum Absender an: -Adresse Beispielsweise example.com IP-Adresse Beispielsweise Domänenname Beispielsweise Wenn eine von einem blockierten Absender stammt, wird sie abgelehnt, sofern in der Liste der zugelassenen Absender kein entsprechender Eintrag vorhanden ist. Zeigt die Details zu den Absendern an ( -Adresse, IP-Adresse und Domänenname). Bietet verschiedene Aktionen: Durchlassen Akzeptieren und verwerfen Ablehnen Ablehnen und schließen Ablehnen, schließen und verweigern Bei Auswahl dieser verwendet die Appliance DNS, um Host-Namen von Domänennamen in IP-Adressen aufzulösen. Diese Suchen werden beim Initialisieren des SMTP-Proxys durchgeführt. Der Standardwert lautet "Ja". Bei Auswahl dieser verwendet die Appliance DNS, um umgekehrte Suchen zu IP-Adressen durchzuführen, von denen der Sendevorgang ausgeht, und mit Domänen in der Liste abzugleichen. Dieser Vorgang kann sich auf die Leistung auswirken, da hierfür für jede Verbindung eine zusätzliche Suche erforderlich ist. Der Standardwert lautet "Nein". 94 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

95 Übersicht über -Funktionen -Konfiguration 3 Tabelle 3-31 sbeschreibungen (Fortsetzung) Liste importieren Exportliste Sie können die Listen der zulässigen oder verweigerten Absender importieren, um diese nicht einzeln in jede Appliance eingeben zu müssen. Nachdem Sie die Liste der zulässigen oder verweigerten Absender für eine Ihrer Appliances konfiguriert haben, können Sie die Informationen exportieren und anschließend in andere Appliances importieren. Die Dateien werden im CSV-Format erstellt. Vorgehensweise Wie füge ich eine zulässige Verbindung hinzu? So fügen Sie eine zulässige Verbindung hinzu 1 Navigieren Sie zu -Konfiguration Empfangen von s Listen für Zulassen und Verweigern Zugelassene und blockierte Verbindungen Zulässige Verbindungen. 2 Klicken Sie auf Hinzufügen. 3 Geben Sie die IP-Adresse und die Netzwerkmaske für die Verbindung ein, die als zulässig gelistet werden soll. 4 Speichern Sie die Änderungen. Vorgehensweise Wie exportiere ich meine Listen mit den zulässigen oder verweigerten Einstellungen? Nachdem Sie in Ihrer Appliance die zulässigen oder verweigerten Einstellungen konfiguriert haben, können Sie eine Liste dieser Einstellungen exportieren, entweder als Sicherung oder zum Importieren in andere Appliances. 1 Navigieren Sie zu -Konfiguration Empfangen von s Listen für Zulassen und Verweigern. 2 Klicken Sie auf Exportliste für den relevanten Bereich (Zulässige Verbindungen, Zugelassene Absender oder Blockierte Absender). 3 Klicken Sie auf den angezeigten Link, um sie in das lokale Dateisystem herunterzuladen. 4 Klicken Sie auf Schließen. Vorgehensweise Wie importiere ich eine Liste, die ich von einer anderen Appliance exportiert habe? Mit and Web Security Appliances können Sie eine Liste der zulässigen oder verweigerten Absender bzw. der zulässigen Verbindungen in Ihre Appliance importieren, sodass Sie nicht immer wieder dieselben Daten in jede Ihrer Appliances eingeben müssen. 1 Vergewissern Sie sich, dass Sie die erforderliche Liste exportiert haben und dass sie in einem Verzeichnis gespeichert ist, auf das Sie über die Benutzeroberfläche zugreifen können. 2 Navigieren Sie zu -Konfiguration Empfangen von s Listen für Zulassen und Verweigern. 3 Klicken Sie im relevanten Bereich (Zulässige Verbindungen, Zugelassene Absender oder Blockierte Absender auf Liste importieren. 4 Navigieren Sie zu der erforderlichen Datei. 5 Klicken Sie auf OK. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 95

96 3 Übersicht über -Funktionen -Konfiguration Anti-Relay-Einstellungen Verwenden Sie diese Seite, um zu verhindern, dass die Appliance als offenes Relay verwendet wird. -Konfiguration Empfangen von Anti-Relay-Einstellungen Vorteile durch das Verhindern der Verwendung der Appliance als offenes Relay Standardmäßig ist die Appliance als offenes Relay konfiguriert, sodass jede Person Nachrichten darüber senden kann. Sie müssen die Domänen angeben, die Nachrichten senden und empfangen können. Es sind Anti-Relay-Einstellungen erforderlich, um sicherzustellen, dass die Appliance nur s für autorisierte Benutzer verarbeitet, und zu verhindern, dass andere Personen, wie zum Beispiel Spammer, die Appliance zum Weiterleiten ihrer Nachrichten verwenden. Wenn Sie sich zum ersten Mal bei der Appliance anmelden, werden in den Systemstatusbereichen ein Warnhinweissymbol und in der unteren rechten Ecke des Dashboards eine Warnmeldung angezeigt, die Sie darauf hinweisen, dass die Appliance als offenes Relay verwendet werden kann. Sie müssen mindestens eine lokale Domäne erstellen, um zu verhindern, dass die Appliance als offenes Relay verwendet wird. Auch wenn Sie eine Liste von Domänen haben, die als zulässige Domänen oder verweigerte Domänen kategorisiert sind, bedeutet das Nichtvorhandensein einer lokalen Domäne, dass die Appliance als offenes Relay verwendet werden kann. Die Seite verfügt über folgende Abschnitte: Weiterleiten der Anti-Relay-en Ein typisches Szenario ist, dass für die lokale Domäne, wie zum Beispiel *.local.dom, Nachrichten zur Zustellung durch die Appliance akzeptiert werden. Darüber hinaus haben Sie ein Netzwerk, aus dem Sie Nachrichten akzeptieren, wie zum Beispiel /24. Die Anti-Relay-Funktion überprüft den Inhalt von drei Listen, um zu ermitteln, ob ein Empfänger akzeptiert werden kann. Reihenfolge der Anti-Relay-Prüfungen Die Appliance führt Anti-Relay-Prüfungen in der "RCPT TO"-Phase der SMTP-Konversation durch. Es ist wichtig, die Reihenfolge zu kennen, in der die Anti-Relay-Prüfungen ablaufen: Ist die Liste der lokalen Domänen leer? Ja. Die Appliance wird als offenes Relay ausgeführt und lässt zu, dass der Empfänger die Nachricht erhält. Nein. Die Appliance führt die nächste Prüfung durch. Befindet sich der Empfänger oder die Verbindung in der Liste der zulässigen Domänen? Ja. Die Appliance lässt zu, dass der Empfänger die Nachricht erhält. Nein. Die Appliance führt die nächste Prüfung durch. 96 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

97 Übersicht über -Funktionen -Konfiguration 3 Befindet sich der Empfänger oder die Verbindung in der Liste der verweigerten Domänen? Ja. Die Appliance lehnt den Empfänger ab. Nein. Die Appliance führt die nächste Prüfung durch. Befindet sich der Empfänger oder die Verbindung in der Liste der lokalen Domänen? Ja. Die Appliance prüft, ob der Empfänger mit einem zugelassenen Routing-Zeichen übereinstimmt. Ja. Die Appliance akzeptiert den Empfänger. Nein. Die Appliance prüft, ob der Empfänger mit einem abgelehnten Routing-Zeichen übereinstimmt. Ja. Die Appliance lehnt den Empfänger ab. Nein. Die Appliance akzeptiert den Empfänger. Nein. Die Appliance lehnt den Empfänger ab. Weiterleiten der Verwenden Sie diesen Abschnitt, um Domänen und Netzwerke anzugeben, die die Appliance zum Verarbeiten ihrer s verwenden können. Tabelle 3-32 sbeschreibungen Domäne hinzufügen Klicken Sie hier, um die Domänen anzugeben, die Nachrichten über die Appliance an den Empfänger weiterleiten können. Folgende en stehen zur Auswahl: Lokale Domäne Hierbei handelt es sich um die Domänen oder Netzwerke, für die s zur Zustellung akzeptiert werden. Zur Erleichterung Ihrer Arbeit stehen die en Listen importieren und Listen exportieren zur Verfügung, mit denen Sie eine Liste der Namen Ihrer lokalen Domänen importieren können. McAfee empfiehlt, alle Domänen oder Netzwerke hinzuzufügen, die als lokale Domänen Nachrichten weiterleiten dürfen. Zulässige Domäne s werden akzeptiert. Verwenden Sie "Zulässige Domänen" zum Verwalten von Ausnahmen. Verweigerte Domäne s werden abgelehnt. Verwenden Sie "Verweigerte Domänen" zum Verwalten von Ausnahmen. Bewegen Sie den Mauszeiger auf das Feld, damit das empfohlene Format angezeigt wird. Sie müssen mindestens eine lokale Domäne einrichten. MX-Suche hinzufügen Ausgewählte Elemente löschen Domänenname/ Netzwerkadresse/ MX-Eintrag Klicken Sie hier, um eine Domäne anzugeben, die von der Appliance zum Identifizieren aller Mailserver-IP-Adressen verwendet wird, von denen sie Nachrichten zustellt. Entfernt das ausgewählte Element aus der Tabelle. Sie müssen die Änderungen übernehmen, bevor das Element vollständig aus der Appliance-Konfiguration entfernt wird. Zeigt die Domänennamen, Platzhalter-Domänennamen, Netzwerkadressen und MX-Suchen an, von denen die Appliance s akzeptiert oder ablehnt. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 97

98 3 Übersicht über -Funktionen -Konfiguration Tabelle 3-32 sbeschreibungen (Fortsetzung) Typ Domänenname zum Beispiel example.dom. Wird von der Appliance verwendet, um die -Adresse des Empfängers und die Verbindung mit einer Suche nach A-Einträgen zu vergleichen. Netzwerkadresse zum Beispiel /32 oder /24. Wird von der Appliance verwendet, um die IP-Literal- -Adresse des Empfängers, wie zum Beispiel oder die Verbindung zu vergleichen. MX-Eintrag-Suche zum Beispiel example.dom. Wird von der Appliance verwendet, um die Verbindung mit einer Suche nach MX-Einträgen zu vergleichen. Platzhalter-Domänenname zum Beispiel *.example.dom. Die Appliance verwendet diese Informationen nur, um die -Adresse des Empfängers zu vergleichen. Kategorie Oben stehende Domänennamen in IP-Adressen auflösen Wenn ein Absender oder Empfänger abgelehnt wird Listen importieren/ exportieren Lokale Domäne Zulässige Domäne Verweigerte Domäne Bei Auswahl dieser kann die Appliance zum Auflösen der IP-Adressen der Domänen DNS verwenden. Diese Suchen werden nur beim Initialisieren des SMTP-Proxy durchgeführt. Verweigern Sendet die Antwort "SMTP 550" (dauerhafter Fehler) und schließt die Verbindung. ablehnen und die Verbindung schließen Sendet den ablehnenden Antwortcode "SMTP 550" (dauerhafter Fehler) oder "SMTP 421" (Dienst vorübergehend wegen potenziell bedrohlicher Nachricht nicht verfügbar), und schließt die Verbindung dann. Akzeptieren und Empfänger ignorieren Sendet den Code "SMTP 250" (OK), der das Akzeptieren der Nachricht bestätigt. McAfee empfiehlt, diese nicht zu verwenden, da dem Absender vermittelt wird, dass die Nachricht wie beabsichtigt empfangen wurde. Klicken Sie auf einer Appliance, von der Sie eine Liste von Domänen für die Anti-Relay-Spezifikation speichern möchten, auf Listen exportieren, um eine kommagetrennte CSV-Datei zu erstellen, die Details aller Domänen enthält, die Sie auf dieser Seite angegeben haben, unabhängig davon, ob diese lokal, zulässig oder verweigert sind. Klicken Sie auf einer Appliance, auf der Sie die Liste der Domänen ablegen möchten, auf Listen importieren. Informationen zum Erstellen einer eigenen Liste finden Sie weiter unten auf dieser Seite unter Formate für Exportlisten. Anti-Relay-en Die Verwendung von Routing-Zeichen (z. B. %,! und ) ist eine Methode zum Austausch von Nachrichten zwischen Computern. Mithilfe dieser Zeichen können unbefugte Benutzer -Nachrichten (häufig Spam) weiterleiten, indem sie Computer innerhalb des Netzwerks 98 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

99 Übersicht über -Funktionen -Konfiguration 3 einsetzen. Um diese Form des Weiterleitens zuzulassen oder zu blockieren, geben Sie die Routing-Zeichen an, die sich in -Adressen im Teil vor dem befinden. Standardmäßig unterstützt die Appliance keine Routing-Zeichen in -Adressen. Tabelle 3-33 sbeschreibungen Zulässige Routing-Zeichen Standard verwenden (Zulässige Routing-Zeichen) Abgelehnte Routing-Zeichen Standard verwenden (Abgelehnte Routing-Zeichen) Routing-Zeichen-Überprüfung für Absender aktivieren Protokollvoreinstellung Gibt zugelassene Routing-Zeichen an. Im Normalfall müssen Sie hier keine Zeichen eingeben. Bei Auswahl dieser wird die Verwendung der folgenden Routing-Zeichen verhindert: *!* *%* * * Akzeptiert die folgenden Zeichen: *%* Rechtsbindendes Routing-Zeichen (%-Exploit). *!* Lokales oder Mail-Gateway-Routing. * * Der senkrechte Strich wird von manchen -Servern zum Ausführen von Befehlen verwendet. *[*]* Klammern, die eine durch Punkte getrennte Domänenadresse in Dezimalangabe umschließen, z. B *:* Doppelpunkt für mehrere Hops. Um beispielsweise das Weiterleiten von Adressen des Typs "benutzer@host"@relay.com zu blockieren, fügen Sie *@* zur Liste der abgelehnten Zeichen hinzu. Bei Auswahl dieser wird die Verwendung der folgenden Routing-Zeichen verhindert: *!* *%* * * Bei Auswahl dieser werden Routing-Zeichen in ausgehenden Mails überprüft. Listet alle verbindungsbasierten Richtlinien auf, für die die Routing-Zeichen-Einstellung gilt. Klicken Sie hier, um den Bildschirm Protokollvoreinstellungen zu öffnen und zusätzliche Richtlinien zuzuweisen oder neue Richtlinien oder Netzwerkgruppen zu erstellen, für die die Routing-Zeichen-Einstellung gilt. Vorschlag einer einfachen Konfiguration Sie können die Weiterleitung eingehender Nachrichten an Ihre Domäne zulassen, indem Sie eine Platzhalterdomäne hinzufügen. Wenn Sie die Weiterleitung ausgehender Nachrichten von Ihrer Domäne zulassen möchten, fügen Sie die IP-Adresse oder die Netzwerkadresse des MTA (Message Transfer Agent) hinzu: 1 Wählen Sie -Konfiguration Empfangen von Anti-Relay-Einstellungen. 2 Klicken Sie auf Domäne hinzufügen. 3 Geben Sie den Domänennamen mit einem Platzhalter ein, beispielsweise *example.dom. 4 Wählen Sie unter "Kategorie" die Lokale Domäne, und klicken Sie auf OK. 5 Klicken Sie auf Domäne hinzufügen, und geben Sie die Netzwerkadresse oder die IP-Adresse ein, von der Sie Nachrichten erwarten (beispielsweise /32 oder /24). 6 Wählen Sie unter "Kategorie" die Lokale Domäne, und klicken Sie auf OK. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 99

100 3 Übersicht über -Funktionen -Konfiguration Erstellen einer zulässigen Subdomäne basierend auf einer größeren verweigerten Domäne Sie können eine kleine, zulässige Subdomäne innerhalb einer größeren, verweigerten Domäne erstellen, indem Sie die Hauptdomäne als verweigerte Domäne erstellen und die Subdomäne als zulässige Domäne hinzufügen. 1 Wählen Sie -Konfiguration Empfangen von Anti-Relay-Einstellungen. 2 Klicken Sie auf Domäne hinzufügen. 3 Geben Sie den Domänennamen, der verweigert werden soll, mit einem Platzhalter ein (beispielsweise *example.dom), um alle an diese Domäne gesendeten Nachrichten abzulehnen. 4 Wählen Sie unter "Kategorie" die Verweigerte Domäne, und klicken Sie auf OK. 5 Klicken Sie erneut auf Domäne hinzufügen, und geben Sie den Namen der Subdomäne ein, die Sie akzeptieren möchten, beispielsweise sub.example.dom. 6 Wählen Sie unter "Kategorie" die Zulässige Domäne, und klicken Sie auf OK. Vorgehensweise Erstellen einer Liste von Domänen und Exportieren der Liste in eine andere Appliance 1 Wählen Sie auf einer Master-Appliance -Konfiguration Empfangen von , um die lokale Domäne und alle zulässigen oder verweigerten Domänen einzurichten. 2 Klicken Sie auf Listen exportieren, um eine CSV-Datei zu erstellen, die eine Liste aller Domänen enthält, die in der Liste "Weiterleiten der " angezeigt werden. 3 Klicken Sie auf den Link, um die Datei herunterzuladen, und speichern Sie sie in Ihrem Netzwerk. 4 Wählen Sie auf einer sekundären Appliance -Konfiguration Empfangen von , und klicken Sie auf Listen importieren. Formate für Exportlisten Geben Sie zum Erstellen einer Liste von Domänen für eine Exportliste die Domänen in den folgenden Formaten in eine Datei mit kommagetrennten Werten ein: Geben Sie zum Hinzufügen einer lokalen Domäne LD *<Domänenname> ein. Geben Sie zum Hinzufügen einer lokalen Netzwerkadresse LN <IP-Adresse>/<CIDR> ein. Geben Sie zum Hinzufügen einer zulässigen Domäne PD *<Domänenname> ein. Geben Sie zum Hinzufügen einer verweigerten Domäne DD *<Domänenname> ein. Beispiel: LD *inbri.bs.dom, LN /24, PD *qa.ext.bs.dom, DD *ext.bs.dom Empfängerauthentifizierung Verwenden Sie diese Seite, um Angriffe von Botnetzen, gefälschten Empfängernamen sowie Directory Harvesting zu verhindern. -Konfiguration Empfangen von Empfängerauthentifizierung 100 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

101 Übersicht über -Funktionen -Konfiguration 3 Die Seite verfügt über folgende Abschnitte: Greylisting Empfängerprüfungen Directory Harvest-Prävention Vorteile der Verwendung der Empfängerauthentifizierung Durch Greylisting der s von unbekannten Absendern werden die Meldungen dieser Absender für einen gewissen Zeitraum abgelehnt. Wenn das sendende -System legitim ist, befolgt es die korrekten Protokolle für die erneute Zustellung von zuvor abgelehnten Nachrichten. Die meisten "Zombie"-Netzwerke, über die Spam-Nachrichten gesendet werden, halten diese Protokolle nicht ein, sodass von diesen Netzwerken ausgehende Nachrichten blockiert werden. Empfängerprüfungen sind sinnvolle Hilfsmittel, um Directory Harvest-Angriffe und Flooding-Angriffe zu verhindern. Bei Flooding-Angriffen werden eine Vielzahl von s an -Server in der Hoffnung übertragen, dass einige davon gültige -Adressen erreichen. Empfängerprüfungen funktionieren, indem Sie Informationen zu echten Empfängern der -Nachrichten in Ihrem Unternehmen bereitstellen. Diese Informationen liegen auf Ihren LDAP-Servern möglicherweise bereits vor. Sie können auch Listen mit Empfänger- -Adressen aus einer Datei importieren. Bei der Directory Harvest-Prävention wird die Anzahl der gesendeten s mit der Anzahl der bekannten und unbekannten -Adressen in Ihrem Unternehmen verglichen. Aus diesen Werten kann die Appliance erkennen, wenn ein Directory Harvest-Angriff ausgeübt wird, und kann Schritte unternehmen, um die Auswirkung des Angriffs auf ein Minimum zu beschränken. Greylisting Verwenden Sie diesen Abschnitt, um eine Greylist zu erstellen, die Angriffe von unbekannten Absendern wie Botnetzen effektiv abwehrt. Durch Greylisting werden vorübergehend s von neuen Absendern abgelehnt, um Spam-Angriffe abzuwehren. Tabelle 3-34 sbeschreibungen Protokollvoreinstellung SMTP Callback-Anfragen akzeptieren Verzögerung bei erstem erneutem Versuch Aufzeichnungs-Lebensdauer ohne erneute Versuche Gibt die Richtlinie (und Netzwerkgruppe) an, für die diese Einstellungen gelten. Durch Auswahl dieser werden von Geräten verursachte Verzögerungen abgewehrt, die zur Verhinderung von Spam SMTP-Callbacks verwenden. Gibt an, wie lange ein verfrühter Versuch zum erneuten Versenden der abgewiesen werden soll. Der Standardwert beträgt 3600 Sekunden (1 Stunde). Viele -Server machen in der Regel nach einer Stunde einen erneuten Versendeversuch. Die Bereich beträgt bis zu Sekunden (1 Tag). Gibt an, wie lange eine Aufzeichnung gespeichert werden soll, bei der ein Absender keinen Versendeversuch für eine weitere Nachricht unternommen hat. Nach diesem Zeitraum löscht die Appliance die Aufzeichnung aller Triplets, bei denen kein erneuter Versuch gemacht wurde. Wir empfehlen einen Wert von unter 8 Stunden. Die Bereich beträgt bis zu 96 Stunden (4 Tage). Der Standardwert beträgt 4 Stunden. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 101

102 3 Übersicht über -Funktionen -Konfiguration Tabelle 3-34 sbeschreibungen (Fortsetzung) Lebensdauer der Greylisting-Aufzeichnung Maximale Anzahl an Aufzeichnungen Gibt an, wie lange Greylisting-Aufzeichnungen gespeichert werden. Die Appliance löscht die Aufzeichnung aller Triplets, die über einen bestimmten Zeitraum nicht als Referenz verwendet wurden. Die Bereich beträgt bis zu 2160 Stunden (90 Tage). Der Standardwert beträgt 864 Stunden (36 Tage), was für gelegentliche Mails wie monatliche Newsletter geeignet ist. Gibt die maximale Anzahl an Greylisting-Aufzeichnungen an. Wenn die Anzahl der Aufzeichnungen diesen Wert erreicht, beginnt die Appliance mit dem Löschen alter Datensätze. Der Bereich reicht von bis Der Standardwert ist Empfängerprüfungen Verwenden Sie diesen Abschnitt, um Directory Harvest-Angriffe sowie Angriffe zu vermeiden, bei denen eine große Anzahl an -Nachrichten erstellt wird (so genanntes Flooding). Sie können eine Liste mit zugelassenen Empfängern für die Appliance erstellen. Diese Informationen liegen im Netzwerk auf den LDAP-Servern möglicherweise bereits vor. Alternativ können Sie eine Liste mit -Adressen aus einer Textdatei importieren. Tabelle 3-35 sbeschreibungen Protokollvoreinstellung Wenn sich der Empfänger nicht in der folgenden Liste befindet -Adresse Oder wenn der Empfänger nicht in LDAP aufgeführt ist Soll die folgende Aktion durchgeführt werden Gibt die Richtlinie (und Netzwerkgruppe) an, für die diese Einstellungen gelten. Bei Auswahl dieser wird die Empfängeradresse mit den -Adressen in der Liste verglichen. Führt die zulässigen -Adressen auf. Platzhalter können verwendet werden, z. B.: Wir empfehlen, Platzhalter umsichtig zu verwenden, da sonst die Absicht des Schutzes unterlaufen wird. Bei Auswahl dieser wird die Empfängeradresse mit den -Adressen im LDAP verglichen. Um eine Verbindung zu einem LDAP-Server herzustellen, wählen Sie in der Navigationsleiste System Benutzer, Gruppen und Dienste Verzeichnisdienste aus. Akzeptieren und Empfänger ignorieren Akzeptiert die -Nachricht und ignoriert sie. Die Appliance versendet einen Code, der das Akzeptieren der Nachricht bestätigt (SMTP 250 OK). Wir empfehlen, diese nicht zu verwenden, da dem Absender vermittelt wird, dass die Nachricht wie beabsichtigt empfangen wurde. Verweigern Die Appliance sendet einen Ablehnungscode (SMTP 550 Fail). Wir empfehlen diese, da der Absender in der Regel informiert wird, dass die Nachricht verweigert wurde. Directory Harvest-Prävention Verwenden Sie diesen Abschnitt, um Directory Harvest-Angriffe zu verhindern. Die Appliance untersucht die Anzahl bekannter und unbekannter -Adressen, um zu ermitteln, ob ein Angriff unternommen wird. Bei der Verwendung mit manchen -Servern liefert die Directory Harvest-Prävention nicht die erwarteten Ergebnisse and Web Security Appliances 5.6 Patch 1 Produkthandbuch

103 Übersicht über -Funktionen -Konfiguration 3 Tabelle 3-36 sbeschreibungen Protokollvoreinstellung Wenn sich die Appliance im transparenten Modus befindet Gibt die Richtlinie (und Netzwerkgruppe) an, für die diese Einstellungen gelten. Keine Es wird keine Aktion durchgeführt. Tarpit Verzögert eine Antwort auf s, die mehrere Empfängeradressen aufweisen. Tarpit, dann Verbindung ablehnen Verzögert eine Antwort auf s und fügt dann den Absender zur Liste "Abgelehnte Verbindungen" hinzu. Verbindung verweigern Fügt den Absender zur Liste "Abgelehnte Verbindungen" hinzu. Der Standardwert lautet Verbindung verweigern. Wenn sich die Appliance im Proxy-Modus befindet Wenn eine zurückgestellt wurde und ein erneuter Versuch gestartet wird Keine Es wird keine Aktion durchgeführt. Verbindung verweigern Fügt den Absender zur Liste "Abgelehnte Verbindungen" hinzu. Der Standardwert lautet Verbindung verweigern. Keine Es wird keine Aktion durchgeführt. Verbindung verweigern Fügt den Absender zur Liste "Abgelehnte Verbindungen" hinzu. Verbindung verweigern und isolieren Fügt den Absender zur Liste "Abgelehnte Verbindungen" hinzu und leitet die dann an einen Quarantänebereich weiter. Der Standardwert lautet Verbindung verweigern und isolieren. Antwortverzögerung Maximale Anzahl an Empfängern Ein Directory Harvest-Angriff wird so definiert, dass mehr als [Zahl] fehlgeschlagene Empfänger und weniger als [Zahl] % akzeptierte Empfänger vorliegen. Bei einer ausgewählten Tarpit-Aktion wird mit dieser die Verzögerung beim Antworten auf diese angegeben. Der Standardwert liegt bei 5 Sekunden. Dieser Zeitraum reicht in den meisten Fällen aus, um einen Angriff abzuwehren. Bei einer ausgewählten Tarpit-Aktion wird mit dieser angegeben, wie viele Empfängeradressen jede aufweist. Der Standardwert ist 10. Mit dieser wird eine Verzögerung angewendet, falls die -Nachricht zu viele Empfängeradressen aufweist. Definiert diesen Angriffstyp. Die Standardwerte lauten 5 fehlgeschlagene Empfänger und 10 % akzeptierte Empfänger. s, bei denen diese Angaben nicht zutreffen, werden nicht als Angriff eingestuft, sodass keine Aktion durchgeführt wird. Validierung des Tags für die Bounce-Adresse Verwenden Sie diese Seite, um Backscatter zu bekämpfen, also gebouncte s, die ursprünglich nicht von Ihrem Unternehmen gesendet wurden. -Konfiguration Empfangen von Validierung des Tags für die Bounce-Adresse and Web Security Appliances 5.6 Patch 1 Produkthandbuch 103

104 3 Übersicht über -Funktionen -Konfiguration Wenn ein Mailübertragungsagent (MTA) eine nicht zustellen kann, sendet er die Nachricht an den Absender zurück (er bounct sie), wobei die Rücksendeadresse in der Nachricht verwendet wird. Leider weisen Spam- s häufig gefälschte Rücksendeadressen auf. Die gebouncte wird häufig an eine unbeteiligte Organisation gesendet. Diese Art von nennt man Backscatter. Während eines Spam-Angriffs erhält Ihre Organisation möglicherweise viele solcher Nachrichten. Vorteile der Verwendung der Validierung des Tags für die Bounce-Adresse Mit der Validierung des Tags für die Bounce-Adresse (BATV, Bounce Address Tag Validation) kann Ihre Organisation sämtliche Backscatter- s ignorieren, indem überprüft wird, ob Ihre Organisation der ursprüngliche Absender war. Die Appliance kann eine verschlüsselte digitale Signatur (oder Tag) an die SMTP-MailFrom-Adresse jeder ausgehenden anhängen. Wenn eine gebouncte eingeht, sucht die Appliance nach der digitalen Signatur und lehnt sämtliche Nachrichten ohne (oder ohne gültige) digitale Signatur ab. Eine solche Nachricht kann keine echte, gebouncte -Nachricht sein. Weitere Informationen zur BATV finden Sie unter Wenn eine von mehreren Appliances verarbeitet wird, zum Beispiel wenn eine Appliance ausgehende und eine andere eingehende s verarbeitet, benötigen alle Appliances Informationen über die Signatur-Seeds und die Signatur-Gültigkeitsdauer. Um die Informationen zwischen Ihren Appliances zu verteilen, verwenden Sie die Import- und Exportfunktionen in der Benutzeroberfläche. Tabelle 3-37 sbeschreibungen Wenn die Validierung fehlschlägt Gültigkeitsdauer der Signatur Signatur-Seed Generieren Einstellungen importieren Einstellungen exportieren Gibt an, wie die Appliance jede ungültige gebouncte Nachricht behandeln soll. Gibt an, wie lange der Signatur-Seed für das Signieren ausgehender s verwendet wird. Mail-Server versuchen typischerweise, s bis zu vier Tage lang zuzustellen. McAfee empfiehlt einen Wert von vier bis sieben Tagen. Gibt einen Seed für das Signieren der Absenderadresse an. Verwenden Sie nur Buchstaben, Ziffern und Leerzeichen. Die zulässige Schlüssellänge beträgt 4 bis 64 Zeichen. Geben Sie einen Seed ein, der nicht leicht zu erraten ist. Wenn Sie hierauf klicken, wird ein Signatur-Seed erzeugt, der aus 20 zufällig gewählten Buchstaben und Ziffern besteht. Sie können diese Methode statt des Eingebens Ihres eigenen Signatur-Seeds verwenden. Wenn Sie hierauf klicken, wird ein Dateibrowser für das Importieren einer Textdatei geöffnet, die BATV-Einstellungen einer anderen Appliance enthält. Wenn Sie hierauf klicken, wird ein Dateibrowser für das Erstellen einer Textdatei geöffnet, die BATV-Einstellungen zur Verwendung durch eine andere Appliance enthält. Senden von s Verwenden Sie diese Seite, um anzugeben, wie die Appliance -Nachrichten zustellt. -Konfiguration Senden von Die Seite verfügt über folgende Abschnitte: Zustellen der Postmaster-Adresse 104 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

105 Übersicht über -Funktionen -Konfiguration 3 DKIM-Signierung Zustellung von in der Warteschlange Zustellen der Verwenden Sie diesen Abschnitt, um anzugeben, wie die Appliance basierend auf dem Domänenteil der Empfängeradresse die zustellt. Im Feld An lautet der Domänenteil einer Adresse wie aaa@example.com example.com. Die Appliance verwendet die Domäne des Empfängers sowie folgende Logik, um über die Art der Zustellung der Nachrichten zu entscheiden: Wenn die Domäne des Empfängers mit einer der unter Bekannte Domänen und Relay-Hosts aufgeführten Domänen übereinstimmt, wird die Nachricht über diese Relays übermittelt. Wenn die Domäne des Empfängers nicht mit einer der unter Bekannte Domänen und Relay-Hosts aufgeführten Domänen übereinstimmt, kann konfiguriert werden, dass für die Zustellung eine MX-Eintrag-Suche mit DNS verwendet wird. Wenn keine MX-Einträge verfügbar sind, wird versucht, die Zustellung über eine Suche nach A-Einträgen auszuführen. Die MX-Zustellung wird für Hosts in der vom DNS-Server zurückgegebenen Reihenfolge der Prioritäten versucht. Wenn eine Zustellung mit keiner der vorherigen Methoden möglich ist, werden für die Zustellung Ersatz-Relays verwendet (vorausgesetzt, dass die Domäne des Empfängers mit den im Feld Ersatz-Relays aufgeführten Domänen übereinstimmt). Wenn die Domäne nicht vorhanden ist, generiert die Appliance einen Non-Delivery-Report und sendet ihn an den Verfasser. Wenn der Empfängerserver die Zustellung nicht akzeptieren kann oder keine IP-Adressen vorhanden sind, um die Zustellung durchzuführen, wird die Nachricht in die Warteschlange gestellt. Tabelle 3-38 sbeschreibungen Listen importieren Listen exportieren Klicken Sie auf den Link, um das Dialogfeld Listen importieren zu öffnen. Klicken Sie auf den Link, um das Dialogfeld Listen exportieren zu öffnen. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 105

106 3 Übersicht über -Funktionen -Konfiguration Tabelle 3-38 sbeschreibungen (Fortsetzung) Bekannte Domänen und Relay-Hosts Zeigt eine Liste der Domänen an. In der Liste können Sie bestimmte Relays/mehrere Relays angeben, die zum Zustellen von Nachrichten verwendet werden können, die für bestimmte Domänen bestimmt sind. Domänen können anhand von exakten Übereinstimmungen oder Musterübereinstimmungen wie z. B. *.example.com identifiziert werden. Klicken Sie auf Relay-Liste hinzufügen, um in die Tabelle Bekannte Domänen und Relay-Hosts eine Liste der Host-Namen oder IP-Adressen für die Zustellung zu übernehmen. Die Zustellung wird in der angegebenen Reihenfolge versucht, es sei denn, Sie wählen die Round-Robin der obenstehenden Hosts, durch die die Last zwischen den angegebenen Hosts verteilt wird. DNS-Suche für Domänen, die oben nicht aufgeführt sind, aktivieren Host-Namen/IP-Adressen können eine Port-Nummer enthalten. Klicken Sie auf MX-Suche hinzufügen, um in die Tabelle Bekannte Domänen und Relay-Hosts eine Suche nach MX-Einträgen für die Ermittlung der IP-Adressen für die Zustellung aufzunehmen. Es wird versucht, eine Zustellung an die Host-Namen durchzuführen, die von der MX-Suche zurückgegeben wurden. Dabei wird die durch den DNS-Server vorgegebene Reihenfolge der Prioritäten eingehalten. Verwenden Sie eine IP-Adresse mit einer optionalen Port-Nummer oder einen vollqualifizierten Domänennamen. Beispiel: , :25 oder mailrelay.mydomain1.dom. Wenn Sie einen vollqualifizierten Domänennamen angeben, sucht die Appliance nach A-Einträgen, um die IP-Adresse zu ermitteln. Sie können für eine Domäne mehrere Relays angeben, indem Sie sie durch ein Leerzeichen voneinander trennen. Falls das erste Mail-Relay akzeptiert, werden alle -Nachrichten an dieses erste Relay gesendet. Sobald das Relay keine s mehr akzeptiert, werden die nachfolgenden s an das nächste Relay in der Liste gesendet. Ist diese ausgewählt, verwendet die Appliance stattdessen DNS, um -Nachrichten an andere, nicht näher spezifizierte Domänen weiterzuleiten. Die DNS-Zustellung versucht, eine Suche nach MX-Einträgen durchzuführen. Wenn keine MX-Einträge vorhanden sind, wird nach A-Einträgen gesucht. Wenn Sie das Kontrollkästchen deaktivieren, stellt die Appliance nur an Domänen zu, die unter Bekannte Domänen und Relay-Hosts angegeben sind. Fallback-Relays für nicht erreichbare Domänen Gibt die Fallback-Relays an. Wenn die Zustellung mit einer anderen Methode nicht erfolgreich ist und die Domäne mit einem Eintrag in der Liste übereinstimmt, ermittelt die Appliance anhand der Informationen in dieser Liste einen Host für die Zustellung. Klicken Sie auf Relay-Liste hinzufügen, um in die Tabelle Bekannte Domänen und Relay-Hosts eine Liste der Host-Namen oder IP-Adressen für die Zustellung zu übernehmen. Die Zustellung an die Hosts wird in der angegebenen Reihenfolge versucht, es sei denn, Sie wählen die Round-Robin der obenstehenden Hosts, durch die die Last zwischen den angegebenen Hosts verteilt wird. Host-Namen/IP-Adressen können eine Port-Nummer enthalten. Klicken Sie auf MX-Suche hinzufügen, um in die Tabelle "Bekannte Domänen und Relay-Hosts" eine Suche nach MX-Einträgen für die Ermittlung der IP-Adressen für die Zustellung zu übernehmen. Es wird versucht, eine Zustellung an die Host-Namen durchzuführen, die von der MX-Suche zurückgegeben wurden. Dabei wird die durch den DNS-Server vorgegebene Reihenfolge der Prioritäten eingehalten and Web Security Appliances 5.6 Patch 1 Produkthandbuch

107 Übersicht über -Funktionen -Konfiguration 3 Postmaster-Adresse McAfee empfiehlt, einen Postmaster zu bestimmen, so dass die Abfragen der Benutzer umgehend bearbeitet werden. Beim Postmaster muss es sich um einen Benutzer handeln, der seine s häufig überprüft. Sie können den Namen eines einzelnen Benutzers oder eine Verteilerliste verwenden. Tabelle 3-39 sbeschreibungen Postmaster-Adresse Gibt eine -Adresse an, an die die Appliance s mit dem Empfänger Postmaster zustellt. Es wird empfohlen, an dieser Stelle eine -Adresse anzugeben, damit alle Zustellprobleme umgehend bearbeitet werden. Sie können eine Verteilerliste oder einen einzelnen Benutzer angeben, der die s regelmäßig liest. DKIM-Signierung Die Domain Keys Identified Mail (DKIM)-Technik verwendet private und öffentliche RSA-Schlüssel sowie DNS TXT-Datensätze, um es dem Empfänger zu ermöglichen, die Identität des -Absenders zu überprüfen. Der Absender signiert die -Nachricht mit einem privaten Schlüssel, indem er einen zusätzlichen Header, den DKIM-Signatur-Header, hinzufügt. Der Header versieht die -Nachricht mit einer kryptographischen Signatur. Die Signatur wird normalerweise aus dem Nachrichtentext und den -Headern, wie etwa "Von" und "Betreff", abgeleitet und mithilfe des privaten Schlüssels des Absenders verschlüsselt. Empfänger können überprüfen, ob die Nachricht echt ist, indem sie eine Abfrage der Domäne des Unterzeichners machen, um seinen öffentlichen Schlüssel aus einem DNS-TXT-Eintrag abzurufen. Der Empfänger überprüft dann die und die Übereinstimmung der Signatur. Auf diese Weise kann er sicherstellen, dass die tatsächlich vom angegebenen Absender stammt und während der Übertragung nicht geändert wurde. Die Appliance kann sowohl Signaturen eingehender s überprüfen als auch in ausgehenden s Signaturen anhängen. Informationen zu DKIM (Domain Keys Identified Mail) finden Sie auf der Internet Engineering Task Force-Website unter und Verwenden Sie diesen Abschnitt, um einen DKIM-Schlüssel (DKIM, Domain Keys Identified Mail) zu erstellen. Tabelle 3-40 sbeschreibungen DKIM-Signatur aktivieren Bei Auswahl dieser wird jeder -Nachricht beim Senden ein DKIM-Header (dieser ähnelt einer digitalen Signatur) hinzugefügt. Sie müssen einen Schlüssel hinzufügen, bevor Sie die DKIM-Signatur aktivieren können. Domänenname und Markierer Signaturschlüssel Bei einer Verifizierung extrahiert der Empfänger Ihren Domänennamen und Markierer aus der Signatur, um den öffentlichen Schlüssel abzurufen, der dem privaten Signierungsschlüssel der Appliance zugeordnet ist. Lautet Ihr Markierer beispielsweise "mail" und der Domänenname "example.com", muss der Empfänger eine DNS-Abfrage nach dem TXT-Eintrag "mail._domainkey.example.com" ausführen. Wählen Sie den Schlüssel, mit dem die Nachrichten signiert werden sollen. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 107

108 3 Übersicht über -Funktionen -Konfiguration Tabelle 3-40 sbeschreibungen (Fortsetzung) DKIM-Signatur-Schlüssel Exportieren Öffentlichen Schlüssel anzeigen Schlüssel importieren Erweiterte en Diese ermöglicht Ihnen, mithilfe vieler Parameter Signaturschlüssel zu erstellen. Durch Klicken auf diese können Sie den privaten Schlüssel in eine Datei speichern, für den Fall, dass der ursprüngliche private Schlüssel verloren geht oder gelöscht wird. Speichern Sie den öffentlichen Schlüssel auf dem DNS-Server oder geben Sie diesen an Ihren Dienstanbieter weiter, so dass Empfänger s Ihres Unternehmens prüfen können. Wählen Sie diese, um einen vorhandenen DKIM-Schlüssel in Ihr System zu importieren. In diesem Abschnitt können Sie bestimmte erweiterte en auswählen, die Auswirkungen darauf haben, wie die Appliance DKIM-Prüfungen durchführt. In diesem Abschnitt können Sie Folgendes auswählen: Was signiert wird Signiert werden Alle Header oder Ausgewählte Header. Klicken Sie auf den verlinkten Text, um einzelne Header zum Signieren auszuwählen. Header-Kanonisierung Sie können für die Header-Kanonisierung zwischen Einfach oder Ungenau wählen. Text-Kanonisierung Sie können für die Text-Kanonisierung zwischen Einfach oder Ungenau wählen. Ablaufdatum für Schlüssel Sie können angeben, dass ein Schlüssel nicht abläuft, oder ein Ablaufdatum für den Schlüssel festlegen. Signaturidentität Fügen Sie optional eine Signaturidentität zu Ihren DKIM-Schlüsseln hinzu. Zustellung von in der Warteschlange Verwenden Sie diesen Abschnitt, um anzugeben, wie die Appliance s verarbeitet, wenn der erste Zustellungsversuch fehlschlägt. Diese Einstellungen müssen in der Regel nicht geändert werden. Um die s in der Warteschlange anzuzeigen, wählen Sie in der Navigationsleise Nachrichtensuche aus. Verwenden Sie den Abschnitt Einstellungen pro Domäne, um festzulegen, wie die Appliance für bekannte Domänen zustellen soll. Die en außerhalb dieses Abschnitts beziehen sich auf für alle anderen Ziele. Tabelle 3-41 sbeschreibungen Maximale Anzahl an Verbindungen, die gleichzeitig geöffnet werden sollen. Zeit, bevor ein NDR ausgegeben wird Domänen Der Standardwert ist 500. Gibt an, wie lange die Appliance versucht, eine -Nachricht zuzustellen, bevor ein NDR (Non-Delivery Report, Bericht bei nicht zugestellter Nachricht) an den Absender gesendet wird. Der Standardwert beträgt 108 Stunden (4,5 Tage). Gibt eine Domäne an, an die die Appliance zahlreiche -Nachrichten während einer einzigen Sitzung zustellt. Klicken Sie auf die Symbole in der Spalte Verschieben, um die Zustellungspriorität zu ändern. Ein Stern (*) gibt Alle Domänen an and Web Security Appliances 5.6 Patch 1 Produkthandbuch

109 Übersicht über -Funktionen -Konfiguration 3 Tabelle 3-41 sbeschreibungen (Fortsetzung) Wiederholungsintervall (Erfolg) und Wiederholungsintervall (Fehler) Maximal offene Verbindungen und s pro Verbindung Gibt an, wie oft die Zustellung an eine ausgewählte Domäne erneut versucht werden soll. Standardmäßig werden weitere s im Abstand von jeweils einer Minute gesendet, wenn die vorhergehende erfolgreich gesendet wurde. Wenn ein vorhergehender Versuch fehlgeschlagen ist, wartet die Appliance zehn Minuten, bevor sie es erneut versucht. Gibt andere en an, die die Rate für die Zustellung von s an diese Domäne steuern. Vorgehensweise Zustellen aller s mit der MX-Eintrag-Zustellung 1 Verwenden Sie die Standardeinstellungen. Vorgehensweise Zustellen aller s an eine bestimmte Domäne mit der Round-Rrobin-Zustellung 1 Navigieren Sie zu -Konfiguration Senden von s. 2 Klicken Sie unter Zustellen der auf Relay-Liste hinzufügen. 3 Geben Sie unter Domänenname example.com ein. 4 Klicken Sie auf Host hinzufügen, und geben Sie internal1.mailserver.com und internal2.mailserver.com ein. 5 Klicken Sie auf Round-Robin der obenstehenden Hosts. Vorgehensweise Verwenden von MX zur Verwaltung der Zustellung an eine bestimmte Domäne Sie können Ihre eigene MX-Umgebung verwenden, um Ihre Infrastruktur extern zu verwalten. Beispiel: mx.mailserver.com kann Priorität zugewiesen oder für die Round-Robin-Zustellung konfiguriert werden. 1 Navigieren Sie zu -Konfiguration Senden von s. 2 Klicken Sie unter Zustellen der auf MX-Suche hinzufügen. 3 Geben Sie unter Domänenname example.com ein. 4 Geben Sie unter MX-Eintrag mx.mailserver.com ein. Vorgehensweise Zustellen aller fehlgeschlagenen Zustellungen an einen bestimmten Server 1 Navigieren Sie zu -Konfiguration Senden von s. 2 Klicken Sie unter Fallback-Relays für nicht erreichbare Domänen auf Relay-Liste hinzufügen. 3 Geben Sie unter Domänenname * ein. 4 Klicken Sie auf Host hinzufügen, und geben Sie internal3.mailserver.com ein. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 109

110 3 Übersicht über -Funktionen -Richtlinien -Richtlinien Auf dieser Seite können Sie Richtlinien für Ihren -Verkehr festlegen und anzeigen. Einführung in die Richtlinien Die Appliance verwendet Richtlinien zur der Aktionen, die die Appliance bei Bedrohung durch Viren, Spam, unerwünschte Dateien und Verlust kritischer Informationen ausführen muss. -Richtlinien Web Web-Richtlinien Richtlinien sind Sammlungen von Regeln oder Einstellungen, die auf bestimmte Arten von Datenverkehr oder auf Benutzergruppen angewendet werden können. SMTP-Richtlinien Die Appliance bietet die folgenden Funktionen beim Scannen des SMTP-Protokolls: -Richtlinien Scan-Richtlinien SMTP Antivirus, einschließlich: McAfee Anti-Spyware Erkennung von Komprimierungsprogrammen Spam, einschließlich: Phishing Absenderauthentifizierung Compliance, einschließlich: Dateifilterung Datenverlustprävention Mail-Größenfilterung Scanner-en, einschließlich: Scan-Grenzen Inhaltsverarbeitung Warnungseinstellungen Benachrichtigung und Routing Bedrohungs-Feedback 110 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

111 Übersicht über -Funktionen -Richtlinien 3 POP3-Richtlinien Die Appliance bietet beim Scannen des POP3-Protokolls die folgenden Funktionen: -Richtlinien Scan-Richtlinien POP3 Antivirus, einschließlich: McAfee Anti-Spyware Erkennung von Komprimierungsprogrammen Spam, einschließlich: Phishing Compliance, einschließlich: Mail-Größenfilterung Scanner-en, einschließlich: Scan-Grenzen Inhaltsverarbeitung Warnungseinstellungen Menü "Scan-Richtlinien für s" Mithilfe dieser Seite können Sie Richtlinien für den Umgang mit Bedrohungen in s erstellen. Links unter den folgenden Überschriften verweisen auf weitere Seiten, auf denen Sie die Funktionen der Appliance konfigurieren können. Virenschutz Spam Compliance Scanner-en Virenschutz -Richtlinien Scan-Richtlinien [Antivirus] Diese Spalte auf der Seite enthält die folgenden Links, die zu weiteren Seiten führen, auf denen Sie die Funktionen der Appliance steuern können. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 111

112 3 Übersicht über -Funktionen -Richtlinien Link Virus Spyware Komprimierungsprogramme Was Sie von diesem Teil der Benutzeroberfläche aus tun können Verwenden Sie diese Seite, um grundlegende en für den Antivirenscanner anzugeben. Verwenden Sie diese Seite, um die Aktionen anzugeben, die bei potenziell unerwünschten Programmen durchgeführt werden sollen. Verwenden Sie diese Seite, um die Aktionen anzugeben, die gegen Komprimierungsprogramme durchgeführt werden sollen. Komprimierungsprogramme komprimieren Dateien, wodurch die binäre Signatur von ausführbaren Dateien geändert wird. Komprimierungsprogramme können Trojaner komprimieren, wodurch diese schwerer zu erkennen sind. Spam -Richtlinien Scan-Richtlinien [Spam] Diese Spalte auf der Seite enthält die folgenden Links, die zu weiteren Seiten führen, auf denen Sie die Funktionen der Appliance steuern können. Link Spam Phishing Was Sie von diesem Teil der Benutzeroberfläche aus tun können Auf diesen Seiten können Sie Spam verwalten, indem Sie Schwellenwerte und Blacklists angeben. Verwenden Sie diese Seite, um anzugeben, wie Phishing- s verarbeitet werden. Bei Phishing handelt es sich um die illegale Verwendung gefälschter -Nachrichten, um arglose Benutzer zur Herausgabe von Informationen zu ihrer persönlichen Identität und zu ihren Finanzen zu bewegen. Kriminelle können die gestohlenen Daten verwenden, um in betrügerischer Absicht Waren und Dienstleistungen zu erwerben und um direkt von den Bankkonten Geldmittel zu entwenden. Absenderauthentifizierung Compliance Mithilfe dieser Seiten können Sie die Verwendung von Authentifizierungssystemen wie DKIM und SPF verwalten. -Richtlinien Scan-Richtlinien [Compliance] Diese Spalte auf der Seite enthält die folgenden Links, die zu weiteren Seiten führen, auf denen Sie die Funktionen der Appliance steuern können and Web Security Appliances 5.6 Patch 1 Produkthandbuch

113 Übersicht über -Funktionen -Richtlinien 3 Link Dateifilterung Was Sie von diesem Teil der Benutzeroberfläche aus tun können Verwenden Sie diese Seite, um eine Regel zu erstellen, die das Verschieben von Dateien gemäß deren Kategorie, Namen oder Größe steuert. Durch das Einschränken großer Dateien und einiger anderer Dateitypen können Sie dazu beitragen, die Bandbreitennutzung im Netzwerk zu steuern. (Nicht mit POP3 verfügbar.) Mail-Größenfilterung Inhaltsscans Verwenden Sie diese Seite, um anzugeben, wie umfangreiche -Nachrichten verarbeitet werden. Verwenden Sie diese Seite, um anzugeben, wie die Appliance Elemente verarbeitet, die gesperrten Inhalt enthalten. Die gesperrten Begriffe befinden sich in einem oder mehreren Wörterbüchern. (Nicht mit POP3 verfügbar.) Scanner-en -Richtlinien Scan-Richtlinien [Scanner-en] Diese Spalte auf der Seite enthält die folgenden Links, die zu weiteren Seiten führen, auf denen Sie die Funktionen der Appliance steuern können. Link Scan-Grenzen Inhaltsverarbeitung Warnungseinstellungen Benachrichtigung und Routing Was Sie von diesem Teil der Benutzeroberfläche aus tun können Auf dieser Seite können Sie Einschränkungen für das Scannen festlegen, um Angriffe sowie verschiedene andere Leistungsprobleme zu vermeiden. Verwenden Sie diese Seiten, um anzugeben, wie die Appliance bestimmte -Inhaltstypen verarbeitet. Verwenden Sie diese Seite, um das Format und Erscheinungsbild der Warnmeldung zu bestimmen, die die Benutzer bei Ermittlung von Bedrohungen durch die Appliance empfangen. Mithilfe dieser Seiten können Sie das Senden von s, die die Appliance automatisch generiert, sowie das Umleiten von s zur besonderen Verarbeitung verwalten. (Nicht mit POP3 verfügbar.) Einstellungen für das Scannen auf Viren und ähnliche Bedrohungen Die Antiviren-Einstellungen in einer Richtlinie schützen das Netzwerk und seine Benutzer. -Richtlinien Scan-Richtlinien [Antivirus] Web Web-Richtlinien Scan-Richtlinien [Antivirus] Es bestehen folgende Bedrohungen für Ihr Netzwerk und Ihre Benutzer: Viren Spyware Adware Verschiedene Arten von Malware (schädliche Software) und andere potenziell unerwünschte Software. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 113

114 3 Übersicht über -Funktionen -Richtlinien Spyware kann Ihnen Informationen und Kennwörter stehlen. Diese Kategorie umfasst potenziell unerwünschte Programme (PUPe), d.h. sämtliche Software, von der ein vorsichtiger Netzwerkadministrator Kenntnis haben und die er möglicherweise entfernen möchte, wie Kennwort-Cracker. Auch Adware gehört zu diesen Störprogrammen, da sie Mitarbeiter von ihrer normalen Arbeit abhält. Antiviren-Funktionen Die Antiviren-Software der Appliance bietet viele Möglichkeiten zum Schutz des Netzwerks und der Benutzer. -Richtlinien Scan-Richtlinien [Antivirus] Web Web-Richtlinien Scan-Richtlinien [Antivirus] Die Antiviren-Software kann: Viren erkennen und säubern. Ihr Netzwerk vor potenziell unerwünschten Programmen (PUPe) schützen. Die Appliance kann folgendermaßen konfiguriert werden: Die Erkennung potenziell unerwünschter Programme aktivieren oder deaktivieren. Spezifische Typen potenziell unerwünschter Programme, wie Mass-Mailer oder Trojaner, erkennen. Namentlich bekannte Malware erkennen. Spezifische Maßnahmen ergreifen, wenn Malware erkannt wird. Ihr Netzwerk schützen vor namentlich bekannten Komprimierungsprogrammen. Sie können Namen von Komprimierungsprogrammen zur Liste der zu erkennenden Komprimierungsprogramme hinzufügen oder daraus löschen. Komprimierungsprogramm komprimieren Dateien und können ausführbare Programme effektiv verbergen. Sie können auch Trojaner komprimieren, damit diese schwerer erkannt werden können. Die Appliance kann folgendermaßen konfiguriert werden: Namentlich bekannte Komprimierungsprogramme erkennen. Namentlich bekannte Komprimierungsprogramme von der Erkennung ausschließen. Spezifische Aktionen ergreifen, wenn ein Komprimierungsprogramm erkannt wird. Ihr Netzwerk vor PUPe schützen. Vorsichtige Benutzer möchten möglicherweise über PUPe informiert werden und diese entfernen. McAfee Anti-Spyware erkennt und entfernt (mit Ihrer Zustimmung) potenziell unerwünschte Programme. Manche gekauften oder absichtlich heruntergeladenen Programme arbeiten für andere potenziell unerwünschte Programme als Host. Die Entfernung dieser potenziell unerwünschten Programme kann die Funktionalität der Hosts möglicherweise außer Kraft setzen. Vergewissern Sie sich, dass Sie die Lizenzvereinbarungen für diese Hostprogramme auf weitere Informationen überprüfen. McAfee ruft weder zu Verstößen gegen irgendeine Lizenzvereinbarung auf, noch duldet es solche Verstöße. Bitte lesen Sie die Informationen in Lizenzvereinbarungen und Datenschutzrichtlinien sorgfältig, bevor Sie Software herunterladen oder installieren. Automatisch innerhalb komprimierter Dateien scannen. Dekomprimiert und scannt automatisch Dateien, die sich in PKZip-, LHA- und ARJ-Paketen befinden and Web Security Appliances 5.6 Patch 1 Produkthandbuch

115 Übersicht über -Funktionen -Richtlinien 3 Erkennen von Makroviren. Erkennen von polymorphen Viren. Neue Viren mithilfe einer als heuristische Analyse bezeichneten Technik in ausführbaren Dateien und OLE-Dokumenten erkennen. Kann einfach auf die neue Technologie zum Schutz vor Viren aktualisiert werden. Was ist ein potenziell unerwünschtes Programm (PUP)? Potenziell unerwünschte Programme (PUPe) werden nicht wie Viren und Trojaner als Malware angesehen. -Richtlinien Scan-Richtlinien [Antivirus] McAfee Anti-Spyware Einige Software-Programme, die von seriösen Unternehmen geschrieben wurden, ändern die Sicherheitsstufe oder den Datenschutz auf dem Computer, auf dem sie installiert sind. Diese Software kann Spyware, Adware und Dialer enthalten und unbewusst mit einem Programm heruntergeladen werden, das der Benutzer haben möchte. Auf Sicherheit bedachte Benutzer informieren sich über solche Programme und entfernen diese in einigen Fällen. Typen von Virenscannern In diesem Thema werden verschiedene Typen von Virenscannern erläutert. -Richtlinien Scan-Richtlinien [Antivirus] Antivirus Grundlegende en Standardmäßige Dateitypen scannen Normalerweise prüft der Scanner nur die standardmäßigen Dateitypen mit anderen Worten, er konzentriert sich darauf, diejenigen Dateien zu scannen, die anfällig für Viren sind. Beispielsweise sind viele häufig vorkommende Text- und Grafikformate nicht für Viren anfällig. Derzeit prüft der Scanner standardmäßig über 100 Dateitypen, einschließlich.exe und.com. Alle Dateien scannen Einige Betriebssysteme wie Microsoft Windows verwenden den Erweiterungsnamen einer Datei, um ihren Typ zu bestimmen. Dateien mit der Erweiterung.exe sind beispielsweise Programme. Wenn eine infizierte Datei jedoch mit einer harmlosen Erweiterung wie.txt umbenannt wird, kann sie nicht erkannt werden. Das Betriebssystem kann die Datei nicht als Programm ausführen, außer sie wird später umbenannt. Durch diese wird gewährleistet, dass alle Dateien gescannt werden. Dateien entsprechend ihrem Dateityp scannen Einige Betriebssysteme wie Microsoft Windows verwenden Dateinamenserweiterungen, um den Dateityp zu bestimmen. Dateien mit der Erweiterung.exe sind beispielsweise Programme, Dateien mit der Erweiterung.txt sind einfache Textdateien. Sie können die Dateitypen angeben, die Sie entsprechend ihrer Dateinamenserweiterungen scannen möchten. Innerhalb von Archivdateien scannen Standardmäßig scannt der Scanner nicht innerhalb von Dateiarchiven, wie.zip- oder.lzh-dateien, da sämtliche darin enthaltenen mit einem Virus infizierten Dateien nicht aktiv werden können, bis sie extrahiert werden. Unbekannte Viren finden Ein Antiviren-Scanner erkennt typischerweise Viren, indem er nach der Virensignatur sucht, einem binären Muster, das sich in einer mit einem Virus infizierten Datei befindet. Durch diesen Ansatz können keine neuen Viren erkannt werden, da ihre Signaturen noch nicht bekannt sind, weshalb der Scanner eine andere Technik anwendet die heuristische Analyse. Programmdateiheuristiken scannen Programmdateien und identifizieren potenziell neue Dateiviren. Makroheuristiken scannen auf Makros in den Anlagen (wie diejenigen, die von Microsoft Word, Microsoft Excel und Microsoft Office verwendet werden) und identifizieren potenziell neue Makroviren. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 115

116 3 Übersicht über -Funktionen -Richtlinien Alle Makros als infiziert behandeln Makros in Dokumenten sind ein beliebtes Ziel bei Virenautoren. Um zusätzliche Sicherheit zu gewährleisten, sollten Sie deshalb darüber nachdenken, alle Dateien auf Makroviren zu scannen und optional sämtliche gefundenen Makros zu entfernen, unabhängig davon, ob diese Dateien infiziert sind oder nicht. Komprimierte Programmdateien scannen Komprimierte Dateien (wie beispielsweise diejenigen, die mit PKLITE komprimiert wurden). Wenn Sie nur die ausgewählten Dateierweiterungen scannen, nehmen Sie erforderliche Erweiterungen komprimierter Dateien mit in die Liste der zu scannenden Erweiterungen auf. Benutzerdefinierte Antiviren-Einstellungen Neben der Möglichkeit, verschiedene Scan-Ebenen einzustellen (wie standardmäßige Dateitypen, wodurch nur die risikoreichsten Dateien gescannt werden), erlaubt es die Appliance außerdem, verschiedene en für das Scannen auf Viren anzugeben. -Richtlinien Scan-Richtlinien [Antivirus] Antivirus Grundlegende en Web Web-Richtlinien Scan-Richtlinien [Antivirus] Antivirus Grundlegende en Mehr en können zwar größere Sicherheit gewährleisten, das Scannen dauert jedoch länger. Die Scan-en sind: Mögliche neue Viren in Programmen und Dokumenten erkennen. Dokumente, die einen Virus enthalten, weisen häufig charakteristische Merkmale auf, wie eine häufig angewendete Technik, sich selbst zu reproduzieren. Der Scanner analysiert unter Verwendung bestimmter Heuristiken das Dokument, um diese Arten von Computeranweisungen zu erkennen. Programmdateiheuristiken scannen Programmdateien und identifizieren potenziell neue Dateiviren. Makroheuristiken scannen auf Makros in den Anlagen (wie diejenigen, die von Microsoft Word, Microsoft Excel und Microsoft Office verwendet werden) und identifizieren potenziell neue Makroviren. Innerhalb von Archivdateien scannen. Standardmäßig scannt der Scanner nicht innerhalb von Dateiarchiven, wie.zip- oder.lzh-dateien, da sämtliche darin enthaltenen infizierten Dateien nicht aktiv werden können, bis sie extrahiert werden. Standardmäßige Dateitypen scannen. Normalerweise prüft der Scanner nur die standardmäßigen Dateitypen er scannt nur diejenigen Dateien, die anfällig für eine Infektion sind. Beispielsweise sind viele häufig vorkommende Textund Grafikformate nicht für Viren anfällig. Derzeit prüft der Scanner standardmäßig über 100 Dateitypen, einschließlich.exe- und.com-dateien. Alle Dateien scannen. Durch diese wird gewährleistet, dass alle Dateien gescannt werden. Einige Betriebssysteme wie Microsoft Windows verwenden den Erweiterungsnamen einer Datei, um ihren Typ zu bestimmen. Dateien mit der Erweiterung.exe sind beispielsweise Programme. Wenn eine infizierte Datei jedoch später in eine Datei mit einer harmlosen Erweiterung wie.txt umbenannt wird, wird sie nicht erkannt, und das Betriebssystem kann die Datei als Programm ausführen, wenn sie später umbenannt wird. Dateien entsprechend ihrer Dateinamenserweiterung scannen. Sie können die Dateitypen angeben, die Sie entsprechend ihrer Dateinamenserweiterungen scannen möchten and Web Security Appliances 5.6 Patch 1 Produkthandbuch

117 Übersicht über -Funktionen -Richtlinien 3 Alle Makros als Viren behandeln. Makros in Dokumenten sind ein beliebtes Ziel bei Virenautoren. Für zusätzliche Sicherheit sollten Sie deshalb darüber nachdenken, alle Dateien auf Makroviren zu scannen und optional sämtliche gefundenen Makros zu entfernen, unabhängig davon, ob diese Dateien infiziert sind oder nicht. Komprimierte Programmdateien scannen. Diese wird verwendet, um komprimierte Dateien zu scannen, wie beispielsweise diejenigen, die mit PKLITE komprimiert wurden. Wenn Sie nur die ausgewählten Dateierweiterungen scannen, fügen Sie die entsprechenden komprimierten Dateierweiterungen zur Liste hinzu. Neue und unbekannte Viren erkennen Ein Antiviren-Scanner verwendet Signaturen und heuristische Analysen für die Erkennung von Viren. Eine Virensignatur ist ein binäres Muster in einer virusinfizierten Datei. Anhand der Informationen in seinen Antiviren-Definitionsdateien (DAT) sucht der Scanner nach diesen Mustern. -Richtlinien Scan-Richtlinien [Antivirus] Antivirus Grundlegende en Bei dieser Vorgehensweise können neue Viren nicht erkannt werden, da ihre Signaturen noch nicht bekannt sind. Deshalb wird eine andere Technik mit der Bezeichnung "heuristische Analyse" eingesetzt. Programme, die einen Virus enthalten, weisen häufig charakteristische Merkmale auf. Sie versuchen möglicherweise, unaufgefordert Dateien zu verändern, Mail-Clients aufzurufen oder sich selbst zu verbreiten. Der Scanner analysiert den Programmcode, um diese Arten von Computeranweisungen zu erkennen. Er sucht auch nach legitimem Verhalten, wie dem Auffordern eines Benutzers vor Durchführen einer Aktion, und vermeidet so Fehlalarme. Um zu vermeiden, dass sie erkannt werden, sind einige Viren verschlüsselt. Jede Computeranweisung ist eine binäre Nummer, aber der Computer verwendet nicht alle möglichen Nummern. Durch die Suche nach unerwarteten Zahlen innerhalb von Programmdateien kann der Scanner verschlüsselte Viren erkennen. Anhand dieser Techniken kann der Scanner bekannte Viren sowie eine Vielzahl neuer Viren und verschiedener Varianten erkennen. Spezielle Aktionen gegen Komprimierungsprogramme und PUPe Die Appliance verarbeitet die meisten Erkennungen entsprechend den Aktion, die Sie auf der Registerkarte Grundlegende en angeben. -Richtlinien Scan-Richtlinien [Antivirus] Web Web-Richtlinien Scan-Richtlinien [Antivirus] Um anzugeben, dass ein Scanner auf der Appliance einige Komprimierungsprogramme und PUPe anders behandeln soll, verwenden Sie die Registerkarte Benutzerdefinierte Malware-en. Probleme mit Warnungen für Mass-Mailer Gewöhnlich behandelt die Appliance alle unerwünschten Programme auf die gleiche Weise. Sie können jedoch angeben, dass bestimmte Typen unterschiedlich behandelt werden. -Richtlinien Scan-Richtlinien [Antivirus] Benutzerdefinierte Malware-en and Web Security Appliances 5.6 Patch 1 Produkthandbuch 117

118 3 Übersicht über -Funktionen -Richtlinien Beispielsweise können Sie die Appliance so konfigurieren, dass der Absender, der Empfänger und ein Administrator mit einer Warnmeldung informiert werden, wenn ein Virus in einer erkannt wird. Diese Funktion ist hilfreich, da sie zeigt, dass die Virenerkennung ordnungsgemäß funktioniert, sie kann jedoch zu einer Störung werden, wenn ein Mass-Mailer-Virus erkannt wird. Mass-Mailer-Viren (wie beispielsweise Melissa oder Bubbleboy) verbreiten sich rasend schnell über . Unzählige Warnungen werden generiert, die genauso ärgerlich sein können wie die Flut blockierter -Nachrichten. Die Appliance kann Mass-Mailer-Viren anders als andere Virustypen behandeln. Sie können beispielsweise festlegen, dass das erkannte Dokument sofort verworfen wird. Damit unterdrücken Sie alle Warnmeldungen, die anderenfalls generiert würden. McAfee Global Threat Intelligence Diese Technik reduziert die Verzögerung zwischen der Erkennung einer neuen Malware-Bedrohung durch McAfee und dem Zeitpunkt, an dem ein Kunde eine Erkennungsdefinitionsdatei (DAT) erhält und installiert. Diese Verzögerung kann Stunden betragen. 1 Die Appliance scannt jede Datei und vergleicht dabei ihren Code mit den Informationen (oder Signaturen) in der aktuellen Erkennungsdefinitionsdatei (DAT). 2 Wenn der Code nicht erkannt wird oder verdächtig ist, weil er beispielsweise komprimiert oder verschlüsselt ist, sendet die Appliance eine kleine Definition ( Fingerabdruckgenannt) dieses Codes an McAfee Global Threat Intelligence, einem automatischen Analysesystem von McAfee. Millionen anderer Computer mit McAfee-Software bringen ebenfalls Fingerabdrücke ein. 3 McAfee vergleicht den Fingerabdruck mit einer Fingerabdruckdatenbank, deren Einträge überall auf der Welt gesammelt werden, und informiert die Appliance über das wahrscheinliche Risiko und das innerhalb von Sekunden. Basierend auf Einstellungen in den Scan-Richtlinien kann die Appliance dann die Bedrohung blockieren, isolieren oder zu säubern versuchen. Falls McAfee später herausfindet, dass der Code böswillig ist, wird wie gewöhnlich eine DAT-Datei veröffentlicht. Informationen zu Protokollvoreinstellungen Protokollvoreinstellungen ermöglichen Ihnen, Ihre Appliance unter Berücksichtigung von Unterschieden in den einzelnen Teilen Ihres Netzwerks oder bei bestimmten Geräten zu konfigurieren. Normalerweise konzipieren Sie Ihre Verbindungseinstellungen so, dass sie auf alle Geräte angewendet werden. In manchen Teilen des Netzwerks könnten jedoch einige Unterschiede bestehen, weil bestimmte Geräte anders betrieben werden. Beispiel: Ein Teil des Netzwerks kann größere oder kleinere Dateien verarbeiten als üblich. Eine langsame Verbindung benötigt einen anderen Zeitüberschreitungswert. Ein Teil des Netzwerks verwendet einen anderen Authentifizierungsdienst. Durch das Erstellen einer Protokollvoreinstellung können Sie solche Ausnahmen in den Verbindungseinstellungen berücksichtigen. Wenn diese Funktion verfügbar ist, können Sie auf dieses Symbol klicken: and Web Security Appliances 5.6 Patch 1 Produkthandbuch

119 Übersicht über -Funktionen -Richtlinien 3 Scan-Richtlinien für s Nutzen Sie diese Seite als den zentralen Ort, von dem aus Sie auf die Seiten und Dialogfelder zugreifen können, über die Sie Ihre Richtlinien einrichten und konfigurieren. -Richtlinien Scan-Richtlinien Richtlinieneinstellungen geben an, wie die Appliance Bedrohungen für Benutzer- oder Gerätegruppen verarbeitet. Eine Richtlinie kann beispielsweise für alle Computer im gleichen Subnetz oder alle Benutzer in einer Abteilung gelten. Vorteile der Verwendung der Seite "Scan-Richtlinien" Die Seite Scan-Richtlinien ermöglicht Ihnen den Zugriff auf alle Formulare, die Sie für das Konfigurieren und Verwalten der Richtlinien für das SMTP- und POP3-Protokoll benötigen. Die Benutzerschnittstelle bietet einen Überblick über Ihre Richtlinieneinstellungen und liefert Informationen zu jeder Richtlinie, beispielsweise welche Maßnahme beim Erkennen eines Virus getroffen wird. Wenn Sie auf bestimmte Informationen klicken, wird die Seite angezeigt, auf der diese Einstellungen konfiguriert werden. Falls möglich, wird ein allgemeines Layout für die Unterseiten verwendet, über die Sie die Einstellungen bearbeiten können. Beispielsweise wird die Seite Virenschutzeinstellungen gleichermaßen unter -Richtlinien Scan-Richtlinien und unter Web Web-Richtlinien Scan-Richtlinien verwendet. Sie werden also mit Komponenten der Benutzerschnittstelle arbeiten, die Ihnen vertraut sind. Einige der auf dieser Hilfeseite beschriebenen en gelten nicht für POP3-Scan-Richtlinien. Falls en nur für ein Protokoll gelten, ist dies angegeben. Benutzerschnittstelle sbeschreibungen Folgende Bedienelemente und Informationen stehen für die Konfiguration dieser Funktion zur Verfügung: Tabelle 3-42 sbeschreibungen Protokoll auswählen: Reihenfolge Richtlinienname Verwenden Sie die Dropdown-Liste, um Ihre Richtlinien für das SMTP- oder POP3-Protokoll anzuzeigen, zu erstellen oder zu bearbeiten. Die Richtlinien werden der Reihe nach von oben nach unten angewendet. Wenn Sie mehr als eine Richtlinie erstellt haben, können Sie die Reihenfolge auswählen, in der die Richtlinien angewendet werden sollen. Zeigt den Namen jeder Richtlinie an. Die Appliance weist immer eine Standardrichtlinie auf, die für alle Objekte im Netzwerk gilt. Sie können die Standardrichtlinie ändern, jedoch nicht löschen. Um die Benutzer oder Geräte anzuzeigen, die von einer Richtlinie betroffen sind, bewegen Sie den Mauszeiger über den Richtliniennamen, und warten Sie, bis ein gelbes Kästchen angezeigt wird. Um Details der Richtlinie zu ändern, klicken Sie auf den blauen Link, um ein anderes Fenster zu öffnen. Bezieht sich auf eingehenden -Verkehr (nur SMTP-Protokoll) Bezieht sich auf ausgehenden -Verkehr (nur SMTP-Protokoll) and Web Security Appliances 5.6 Patch 1 Produkthandbuch 119

120 3 Übersicht über -Funktionen -Richtlinien Tabelle 3-42 sbeschreibungen (Fortsetzung) Virenschutz Spam Compliance Zeigt kurz zusammengefasste Details zu den Einstellungen der Virenschutz-en an. Klicken Sie auf einen Link im Bereich Virenschutz der relevanten Richtlinie, um die Seite Virenschutzeinstellungen aufzurufen. Von der Seite Virenschutzeinstellungen aus können Sie auf Folgendes zugreifen: Virenschutzeinstellungen Grundlegende en Virenschutzeinstellungen McAfee Anti-Spyware Virenschutzeinstellungen Komprimierungsprogramme und Virenschutzeinstellungen Benutzerdefinierte Malware-en Zeigt kurz zusammengefasste Details zu den Spam-Einstellungen an. Jeder Link im Bereich Spam der einzelnen Richtlinien öffnet eine separate Seite, die die Funktionen und en enthält, die Sie für die Konfiguration Ihrer Richtlinie benötigen. Anti-Spam-Einstellungen mit: Anti-Spam-Einstellungen Grundlegende en Anti-Spam-Einstellungen Erweiterte en Anti-Spam-Einstellungen Blacklists und Whitelists Regeln Anti-Phishing-Einstellungen Absenderauthentifizierungseinstellungen (nur SMTP-Protokoll) mit: Absenderauthentifizierungseinstellungen TrustedSource Absenderauthentifizierungseinstellungen RBL-Konfiguration Absenderauthentifizierungseinstellungen SPF, Absender-ID und DKIM Absenderauthentifizierungseinstellungen Kumulativer Faktor und andere en Zeigt kurz zusammengefasste Details zu den Einstellungen für die Compliance an. Jeder Link im Bereich Compliance der einzelnen Richtlinien öffnet eine separate Seite, die die Funktionen und en enthält, die Sie für die Konfiguration Ihrer Richtlinie benötigen. Sie können Folgendes konfigurieren: Dateifiltereinstellungen (nur SMTP-Protokoll) Data Loss Prevention-Einstellungen (nur SMTP-Protokoll) Mail-Größen-Filtereinstellungen, einschließlich Informationen zu: Mail-Größen-Filtereinstellungen Nachrichtengröße Mail-Größen-Filtereinstellungen Anhangsgröße Mail-Größen-Filtereinstellungen Anhangszähler Compliance-Einstellungen 120 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

121 Übersicht über -Funktionen -Richtlinien 3 Tabelle 3-42 sbeschreibungen (Fortsetzung) Scanner-en Verschieben Zeigt kurz zusammengefasste Details zu den Einstellungen der Scanner-en an. Jeder Link im Bereich Scanner-en der einzelnen Richtlinien öffnet eine separate Seite, die die Funktionen und en enthält, die Sie für die Konfiguration Ihrer Richtlinie benötigen. Sie können Folgendes konfigurieren: Scanner-Grenzen, beispielsweise Informationen zur maximalen Dateigröße, Verschachtelungstiefe und Scan-Zeit: Scanner-Grenzen Inhaltsverarbeitungseinstellungen mit folgenden Informationen: Inhaltsverarbeitungseinstellungen -en Inhaltsverarbeitungseinstellungen HTML-en Inhaltsverarbeitungseinstellungen Beschädigter oder unleserlicher Inhalt Warnungseinstellungen Einstellungen für Benachrichtigung und Routing (nur SMTP-Protokoll) mit folgenden Informationen: Einstellungen für Benachrichtigung und Routing Benachrichtigungs- s Einstellungen für Benachrichtigung und Routing Audit-Kopien Einstellungen für Benachrichtigung und Routing Routing Einstellungen für Benachrichtigung und Routing SMTP-Relays Einstellungen für Benachrichtigung und Routing -Empfänger Verwenden Sie die Pfeilsymbole, um Ihre Richtlinien in der Prioritätenreihenfolge nach oben oder unten zu verschieben. Verschiebt die Richtlinie nach unten Verschiebt die Richtlinie nach oben Die Standardrichtlinie wird immer am unteren Ende der Richtlinienliste angezeigt. Sie können die Position nicht verändern. Löschen Nach dem Erstellen der Richtlinien können Sie wählen, die Richtlinien zu löschen, die Sie nicht mehr benötigen, indem Sie auf das klicken. Sie können die Standardrichtlinie nicht löschen. Richtlinie hinzufügen Ermöglicht durch Klicken die Erstellung einer neuen Richtlinie. Vorgehensweise Anzeigen der Richtlinien für das SMTP- oder POP3-Protokoll Auf dieser Seite können Sie die -Scan-Richtlinien für SMTP oder POP3 festlegen. Das POP3-Protokoll schränkt einige der Scan-Aktionen ein, die auf -Nachrichten angewendet werden können. en, die für das Scannen von POP3- -Nachrichten nicht zur Verfügung stehen, werden in der POP3-Protokollansicht nicht angezeigt. 1 Klicken Sie auf -Richtlinien Scan-Richtlinien. 2 Wählen Sie entweder SMTP oder POP3 in der Dropdown-Liste Protokoll auswählen: aus. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 121

122 3 Übersicht über -Funktionen -Richtlinien Die Seite -Richtlinien Scan-Richtlinien wird aktualisiert und zeigt die Richtlinien an, die für das ausgewählte Protokoll definiert wurden. Vorgehensweise Erstellen einer neuen Richtlinie Ihre Appliance scannt die über sie versendeten -Nachrichten anhand der von Ihnen erstellten Richtlinien. Sie können mehrere Richtlinien erstellen, um zu steuern, wie unterschiedliche Benutzer verwenden, oder um verschiedene Aktionen anzugeben, die abhängig von verschiedenen Bedingungen ausgeführt werden sollen. Gehen Sie wie nachfolgend beschrieben vor, um eine neue Scan-Richtlinie zu erstellen. 1 Klicken Sie auf -Richtlinien Scan-Richtlinien. 2 Wählen Sie das erforderliche Protokoll aus, indem Sie wie unter Vorgehensweise Anzeigen der Richtlinien für das SMTP- oder POP3-Protokoll beschrieben vorgehen. 3 Klicken Sie auf Richtlinie hinzufügen... 4 Geben Sie auf der Seite Scan-Richtlinien Neue Richtlinie folgende Informationen an: Einen Namen für die Richtlinie. Eine optionale für die neue Richtlinie. Woher sich die Einstellungen der neuen Richtlinie ableiten. Wenn Sie bereits eine ähnliche Richtlinie eingerichtet haben, wählen Sie diese aus, um deren Einstellungen in die neue Richtlinie zu übernehmen. Wählen Sie aus, ob die Richtlinie auf ein- oder ausgehenden -Verkehr angewendet werden soll. (Nur SMTP) Wählen Sie die erforderliche Übereinstimmungs-Logik für die Richtlinie aus. Wählen Sie den Regeltyp aus, wählen Sie, wie die Regel übereinstimmen sollte, und wählen Sie den Wert aus, gegen den die Regel testet. Falls erforderlich, fügen Sie zusätzliche Regeln hinzu, und verwenden Sie die Schaltflächen und, um die Regeln in die richtige Reihenfolge zu bringen. 5 Klicken Sie auf OK. Die neue Regel wird an den Anfang der Richtlinienliste gesetzt. Vorgehensweise Ändern der Scan-Reihenfolge der Richtlinien Die Appliance berücksichtigt bei der Prüfung der gescannten -Nachrichten die Reihenfolge der Richtlinien. Eine Nachricht wird zuerst anhand der ersten Regel in der Reihenfolge geprüft. Wenn diese nicht greift, wird gegen Richtlinie 2 usw. geprüft, bis schließlich die Standard-Scan-Richtlinie angewendet wird. Wenn Sie mehr als zwei Scan-Richtlinien erstellt haben, können Sie die Reihenfolge ändern, in der die Appliance die Richtlinien für die Prüfung des -Verkehrs verwendet. Dies wird erreicht, indem die relevanten Richtlinien in der Richtlinienliste nach oben oder unten verschoben werden. Die Standardrichtlinie wird immer am unteren Ende der Richtlinienliste angezeigt. Sie können die Position nicht verändern and Web Security Appliances 5.6 Patch 1 Produkthandbuch

123 Übersicht über -Funktionen -Richtlinien 3 1 Klicken Sie auf -Richtlinien Scan-Richtlinien. 2 Identifizieren Sie die Richtlinie, die in der Auswertungsreihenfolge verschoben werden soll. 3 Klicken Sie in der Spalte Verschieben auf das Symbol oder, um die Richtlinie um eine Position zu verschieben. Falls sich die betreffende Richtlinie an erster Stelle in der Auswertungsreihenfolge oder direkt über der Standardrichtlinie befindet, kann jeweils eines der Symbole nicht ausgewählt werden. Vorgehensweise Löschen einer Richtlinie Die Standardrichtlinie kann nicht gelöscht werden. So löschen Sie eine zuvor erstellte Richtlinie: 1 Klicken Sie auf -Richtlinien Scan-Richtlinien. 2 Identifizieren Sie die Richtlinie, die gelöscht werden soll. 3 Klicken Sie auf das Symbol. 4 Bestätigen Sie, dass Sie die Richtlinie löschen möchten. Die Richtlinie wird gelöscht. Zugehörige Referenz Scan-Richtlinien Richtlinie hinzufügen... Verwenden Sie diese Seite, um eine neue Richtlinie anzugeben. Dazu gehört auch die Definition der Benutzer- oder Gerätegruppe, auf die die Richtlinie angewendet werden kann. -Richtlinien Scan-Richtlinien Richtlinie hinzufügen... Web Web-Richtlinien Scan-Richtlinien Richtlinie hinzufügen... Auf der Seite Richtlinie hinzufügen können Sie die Parameter angeben, die die Richtlinie definieren, die Benutzer oder Benutzergruppen hinzufügen, auf die die Richtlinie angewendet wird, sowie die Netzwerkgruppen und die URL-Gruppen angeben. sbeschreibungen Was definiert diese Richtlinie? Benutzergruppe hinzufügen, Netzwerkgruppe hinzufügen und URL-Gruppe hinzufügen Richtlinienname und (optional) Durch Klicken auf diese en können Sie komplexe Gruppen mit Benutzern, Geräten und URLs erstellen. Gibt den Richtliniennamen an, der auf der Seite Scan-Richtlinien angezeigt wird. Die wird nur hier angezeigt. Sie können eine ausführliche eingeben, um Sie an den Zweck dieser Richtlinie zu erinnern. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 123

124 3 Übersicht über -Funktionen -Richtlinien Einstellungen erben von Übereinstimmungs-Logik Regeltyp Übereinstimmung Wert Bietet eine Liste aller vorhandenen Richtlinien, sodass Sie die Einstellungen einer neu erstellten Richtlinie von den bereits vorhandenen übernehmen können. Bietet eine Auswahl, die mit den Regeln in der Tabelle verwendet werden kann. Zeigt den Benutzer- oder Gerätetyp an. Beispiele von Anwendungsfällen für diese : Verzeichnisgruppe Wenn bereits Gruppen von Ihren LDAP-Servern importiert wurden. Sie werden dazu aufgefordert, eine Verzeichnisgruppe auszuwählen. Benutzergruppe Für eine komplexe Kombination aus -Adressen und Gruppen. Zeigt Verknüpfungswörter wie ist oder ist nicht gleich an. Verwenden Sie dieses Menü, um Benutzer und Gruppen ein- bzw. auszuschließen. Zeigt den Wert an, z. B. eine IP-Adresse. Bewegen Sie den Mauszeiger über die, um Hilfe zum Format des Werts zu erhalten. sbeschreibungen Benutzergruppe hinzufügen Gruppenname Regeltyp Übereinstimmung Wert Geben Sie den Namen der Benutzergruppe an. Zeigt den Benutzertyp an. Beispiele von Anwendungsfällen für diese : Authentifizierter Benutzer für authentifizierte Benutzer in Ihrem System. Verzeichnisgruppe des Benutzers für alle Benutzer in der angegebenen Verzeichnisgruppe. Zeigt Verknüpfungswörter wie ist oder ist nicht gleich an. Verwenden Sie dieses Menü, um Benutzer und Gruppen ein- bzw. auszuschließen. Art des Werts, wie der Name des authentifizierten Benutzers oder die Verzeichnisgruppe. Bewegen Sie den Mauszeiger über die, um Hilfe zum Format des Werts zu erhalten. sbeschreibungen Netzwerkgruppe hinzufügen Gruppenname Regeltyp Übereinstimmung Wert Geben Sie den Namen der Netzwerkgruppe an. Zeigt den Typ der Netzwerkinformationen an. Beispiele von Anwendungsfällen für diese : IP-Adresse Definiert die IP-Adresse, auf die die Regelgruppen angewendet werden. Host-Name Geben Sie den Host-Namen für die Regelgruppen an. Zeigt Verknüpfungswörter wie ist oder ist nicht gleich an. Verwenden Sie dieses Menü, um Benutzer und Gruppen ein- bzw. auszuschließen. Definiert den Wert, z. B. eine IP-Adresse. Bewegen Sie den Mauszeiger über die, um Hilfe zum Format des Werts zu erhalten and Web Security Appliances 5.6 Patch 1 Produkthandbuch

125 Übersicht über -Funktionen -Richtlinien 3 sbeschreibungen URL-Gruppe hinzufügen Gruppenname Regeltyp Übereinstimmung Wert Geben Sie den Namen der URL-Gruppe an. Für die URL-Gruppe ist der Regeltyp Angefragter URL. Zeigt Verknüpfungswörter wie ist oder ist nicht gleich an. Verwenden Sie dieses Menü, um Benutzer und Gruppen ein- bzw. auszuschließen. Zeigt den Wert an, z. B. eine IP-Adresse. Bewegen Sie den Mauszeiger über die, um Hilfe zum Format des Werts zu erhalten. Virenschutzeinstellungen Grundlegende en Auf dieser Seite können Sie grundlegende en für den Virenscanner angeben. -Richtlinien Scan-Richtlinien [Antivirus] Antivirus Grundlegende en Web Web-Richtlinien Scan-Richtlinien [Antivirus] Antivirus Grundlegende en Tabelle 4-43 sbeschreibungen Virenscans aktivieren Zu scannende Dateien festlegen Bei Auswahl dieser werden Scans nach Viren und anderen Bedrohungen wie Würmern und Spyware durchgeführt. Die ist normalerweise auf Ja festgelegt. Wählen Sie nur dann Nein aus, falls im Netzwerk an anderer Stelle ein Virenschutz vorhanden ist. Alle Dateien scannen Diese bietet den höchsten Schutz. Die Scans nehmen jedoch mehr Zeit in Anspruch und können sich auf die Leistung auswirken. Standard-Dateitypen Es werden nur die anfälligsten Dateitypen gescannt. Definierte Dateitypen Es werden nur die Dateitypen in der Liste gescannt. Scannt Archivdateien (.ZIP,.ARJ,.RAR...) Bei Auswahl dieser wird dieser Dateityp gescannt. Die Scans nehmen jedoch mehr Zeit in Anspruch und können sich auf die Leistung auswirken. Der Inhalt dieser Dateien ist nur gefährlich, wenn die im Archiv befindlichen Dateien extrahiert werden. Diese Dateien können dann von Scannern auf einzelnen Computern im Netzwerk gescannt werden, die beim Zugriff auf die Dateien aktiv werden. Unbekannte Dateiviren suchen Unbekannte Makroviren finden bis Alle Makros aus Dokumentdateien entfernen Bei Auswahl dieser wird eine zusätzliche Analyse durchgeführt, um virusähnliches Verhalten aufzuspüren. Bei Auswahl dieser werden Aktionen gegen Makros in Dokumenten durchgeführt. Makros in Dokumenten sind ein beliebtes Ziel bei Virenautoren. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 125

126 3 Übersicht über -Funktionen -Richtlinien Tabelle 4-43 sbeschreibungen (Fortsetzung) McAfee Global Threat Intelligence-Datei-Reputation aktivieren mit Empfindlichkeitsstufe Säuberung versuchen Wenn das Säubern erfolgreich ist Wenn das Säubern fehlschlägt Standardwarnung verwenden Und auch Wenn eine Datei nach dem Säubern null Byte aufweist Aufgedeckte Inhalte für andere Scanner verfügbar machen Aktiviert die Datei-Reputation von McAfee Global Threat Intelligence auf Ihrer Appliance. Die Datei-Reputation von McAfee Global Threat Intelligence ergänzt die DAT-basierten Signaturen, indem den Appliances der Zugriff auf Millionen von Cloud-basierten Signaturen ermöglicht wird. Dadurch wird die Zeitspanne zwischen der Entdeckung einer neuen Malware durch McAfee und deren Aufnahme in die DAT-Dateien reduziert, was den Schutz erhöht. Mithilfe der Empfindlichkeitssstufen können Sie zwischen dem Risiko, möglicherweise schädliche Inhalte zu übersehen (niedrige Einstellung), und dem Risiko von falsch-positiven Erkennungen (hohe Einstellung) abwägen. Für Gateway-Appliances ist "Mittel" die empfohlene Empfindlichkeitsstufe. Bei Auswahl dieser wird die Infektion im betroffenen Element nach Möglichkeit entfernt. Wenn diese deaktiviert ist, wird das gesamte Element entfernt. Bietet verschiedene Aktionen nach erfolgreicher Säuberung. Bietet verschiedene Aktionen nach nicht erfolgreicher Säuberung. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Bietet verschiedene weitere Aktionen. Bietet eine Aktion gegen Dateien, die nunmehr leer sind. Dateien mit einer Größe von null Byte können keine Bedrohungen enthalten. Möglicherweise möchten Sie diese jedoch entfernen, damit die Benutzer nicht verunsichert werden. Bei Auswahl dieser wird zusätzlicher Schutz vor unerwünschtem Inhalt hinzugefügt. Die Techniken, die versteckte Viren und Malware erkennen, werden für Inhaltsscans verfügbar gemacht. Virenschutzeinstellungen McAfee Anti-Spyware Auf dieser Seite können Sie die McAfee Anti-Spyware-Einstellungen für den Virenscanner angeben. -Richtlinien Scan-Richtlinien Viren: Virenschutzeinstellungen McAfee Anti-Spyware Web Web-Richtlinien Scan-Richtlinien Viren: Virenschutzeinstellungen McAfee Anti-Spyware 126 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

127 Übersicht über -Funktionen -Richtlinien 3 Tabelle 4-44 sbeschreibungen Virenscans aktivieren Erkennung aktivieren Spyware bis Andere PUPe Ausschließen und Einschließen Bei Erkennung Standardwarnung verwenden Und auch Bei Auswahl dieser werden Scans nach Viren und anderen Bedrohungen wie Würmern und Spyware durchgeführt. Die ist normalerweise auf Ja festgelegt. Wählen Sie nur dann Nein aus, falls im Netzwerk an anderer Stelle ein Virenschutz vorhanden ist. Klicken Sie auf den Link, um den Disclaimer zu lesen. Bei Auswahl dieser wird dieser Programmtyp erkannt. Ermöglicht das Erstellen einer Liste mit Namen von Programmen, die gescannt oder ignoriert werden sollen. Bietet eine Hauptaktion, die durchgeführt werden soll. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Bietet verschiedene weitere durchzuführende Aktionen. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strg- oder Umschalttaste gedrückt. Weitere Informationen über Spyware finden Sie in der Bedrohungsbibliothek der McAfee Labs ( vil.nai.com/vil/default.aspx). Virenschutzeinstellungen Komprimierungsprogramme Verwenden Sie diese Seite, um die Aktionen anzugeben, die gegen Komprimierungsprogramme durchgeführt werden sollen. -Richtlinien Scan-Richtlinien [Antivirus] Komprimierungsprogramme Web Web-Richtlinien Scan-Richtlinien [Antivirus] Komprimierungsprogramme Komprimierungsprogramme komprimieren Dateien, wodurch die binäre Signatur von ausführbaren Dateien geändert wird. Komprimierungsprogramme können Trojaner komprimieren, wodurch diese schwerer zu erkennen sind. Tabelle 4-45 sbeschreibungen Ausschließen und Einschließen Bei Erkennung Standardwarnung verwenden Und auch Ermöglicht das Erstellen einer Liste mit Namen von Komprimierungsprogrammen, die gescannt oder ignoriert werden sollen. Bietet eine Hauptaktion, die durchgeführt werden soll. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Bietet verschiedene weitere durchzuführende Aktionen. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strg- oder Umschalttaste gedrückt. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 127

128 3 Übersicht über -Funktionen -Richtlinien Virenschutzeinstellungen Benutzerdefinierte Malware-en Verwenden Sie diese Seite, um die Aktionen anzugeben, die beim Erkennen bestimmter schädlicher Software ("Malware") durchgeführt werden sollen. -Richtlinien Scan-Richtlinien [Antivirus] Benutzerdefinierte Malware-en Web Web-Richtlinien Scan-Richtlinien [Antivirus] Benutzerdefinierte Malware-en Tabelle 4-46 sbeschreibungen Mass-Mailer bis Trojaner Spezifischer Erkennungsname Bei Erkennung Standardwarnung verwenden Und auch Benutzerdefinierte Malware-Überprüfung nicht durchführen, falls das Objekt bereits gesäubert wurde Bei Auswahl dieser wird die angegebene Aktion bei dieser Art Malware durchgeführt. Wenn diese nicht ausgewählt ist, wird die Malware gemäß der in den grundlegenden en verarbeitet. Bei Auswahl dieser können Sie die Namen bestimmter erkannter Bedrohungen hinzufügen. Die Zeichen "*" und "?" können verwendet werden, um mehrere sowie einzelne Zeichen in den Malware-Namen darzustellen. Bietet verschiedene durchzuführende Aktionen. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Bietet weitere durchzuführende Aktionen. Bei Auswahl dieser wird die weitere Verarbeitung verhindert. Anti-Spam-Einstellungen Grundlegende en Verwenden Sie diese Seite, um anzugeben, wie Spam- s verarbeitet werden sollen. Tabelle 3-47 sbeschreibungen Schwellenwert für Spam-Berichte Präfix zu der Betreffzeile von Spam-Nachrichten hinzufügen und Präfixtext Gibt einen Schwellenwert für Spam an. Nachrichten, deren Spam-Faktor unter der Schwelle liegt, werden nicht als Spam behandelt. Für gewöhnlich gibt ein Spam-Faktor von 5 oder mehr an, dass es sich um Spam handelt. Sie müssen diesen Schwellenwert nur ändern, wenn sich dessen Standardwert als unwirksam erweist. Sie können Zahlen mit Dezimalbrüchen eingeben, z. B. 6,25. Der Standardwert ist 5. Bei Auswahl dieser wird Text hinzugefügt, der Benutzer dabei unterstützt, verdächtige Nachrichten in ihrem -Posteingang zu identifizieren. Der Standardwert lautet "[spam]" and Web Security Appliances 5.6 Patch 1 Produkthandbuch

129 Übersicht über -Funktionen -Richtlinien 3 Tabelle 3-47 sbeschreibungen (Fortsetzung) Spam-Faktorindikator hinzufügen und Indikatortext Spam-Bericht anhängen Ausführliche Berichte Wenn der Spam-Faktor mindestens Folgendes beträgt und Menüs Bei Auswahl dieser wird dem Internet-Header einer jeden Nachricht ein Indikator hinzugefügt. Eine Nachricht, die einen Spam-Faktor zwischen 6 und 7 aufweist, kann beispielsweise mit sechs Sternchen als Indikator versehen werden. Diese Informationen sind für spätere Analysen nützlich. Der Standardwert lautet "*". Bei Auswahl dieser wird den Nachrichten ein Bericht mit den Namen der Anti-Spam-Regeln hinzugefügt, die ausgelöst wurden. Wir empfehlen, dass Sie nur zum anfänglichen Testen einen Spam-Bericht auswählen, da durch diese Funktion die Leistung des Servers beeinträchtigt werden kann. Deaktivieren Sie die, wenn Sie die Informationen gesammelt haben. Bei Auswahl dieser werden en der Anti-Spam-Regeln hinzugefügt. Geben Sie bei Auswahl dieser die Hauptaktionen sowie alle weiteren Aktionen an, die gegen s durchgeführt werden sollen, die einen bestimmten Spam-Faktor aufweisen. Sie können beispielsweise s mit einem Spam-Faktor von 6 bis 10 unter Quarantäne stellen, andere Spam- s jedoch ablehnen. Benutzer müssen dann Nachrichten mit einem hohen Spam-Faktor nicht selbst löschen. Stellen Sie den Wert unter "Wenn der Spam-Faktor mindestens Folgendes beträgt" auf "6" ein. Wählen Sie "Durchlassen" und "Ursprüngliche isolieren" aus. Legen Sie im nächsten Kästchen den Wert für "Wenn der Spam-Faktor mindestens Folgendes beträgt" auf "10" fest. Wählen Sie "Originaldaten ablehnen". Falls die für die zu ergreifende Aktion Weiterleiten an ein alternatives Relay lautet, können Sie auf den Link Relay-Liste verwalten klicken, der zu einer Liste mit anderen Geräten führt, die die stattdessen verarbeiten sollen. Benachrichtigung und en für kommentierte s Warnungseinstellungen Wenn Sie hierauf klicken, öffnet sich ein anderes Fenster, in dem Sie angeben können, wen die Appliance bei Erkennung einer Bedrohung benachrichtigt. Wählen Sie, ob die Standardwarnung verwendet werden soll, wenn eine Anti-Spam-Aktion ausgelöst wird, oder ändern Sie den Warnungstext. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 129

130 3 Übersicht über -Funktionen -Richtlinien Anti-Spam-Einstellungen Erweiterte en Verwenden Sie diese Seite, um erweiterte Einstellungen gegen Spam- s anzugeben. Diese Einstellungen müssen nicht häufig geändert werden. Tabelle 3-48 sbeschreibungen Maximale Nachrichtengröße Maximale Breite von Spam-Headern Maximale Anzahl gemeldeter Regeln Header-Name und Header-Wert Header hinzufügen Geben Sie die maximale Größe der -Nachricht an. Spam-Nachrichten sind in der Regel klein. Die Standardgröße ist 250 KB. Gibt die maximale Breite von Headern an, die die Appliance zu -Nachrichten hinzufügt. Es empfiehlt sich nicht, den Wert zu verringern. Bei ausführlichen Berichten werden beispielsweise Header-Zeilen erstellt, die jeweils den Namen und die einer Regel enthalten. Durch eine verringerte Breite werden die Regelbeschreibungen abgeschnitten, wodurch sie schwieriger zu lesen sind. Beim Standardwert handelt es sich um 76 Byte. Gibt die maximale Anzahl an Anti-Spam-Regelnamen an, die in einem Spam-Bericht enthalten sein können. Der Standardwert ist 180. Gibt den Namen und den Wert eines zusätzlichen -Headers an, der für eine spätere Verarbeitung verwendet werden kann. Gibt den Typ der -Nachrichten an, zu denen der -Header hinzugefügt werden soll. Sie können den benutzerdefinierten -Header beispielsweise ausschließlich zu Spam-Nachrichten hinzufügen. Der Standardwert lautet Nie. Alternative Header-Namen verwenden, wenn eine kein Spam ist Bei Auswahl dieser wird der Text - Checked (Geprüft) an die normalen Spam-Header-Namen angehängt, wenn die -Nachricht keinerlei Spam enthält. Diese kann sich bei anderen Geräten als nützlich erweisen, die später die gleiche -Nachricht verarbeiten. Anti-Spam-Einstellungen Blacklists und Whitelists Verwenden Sie diese Seiten, um Listen von -Adressen zu erstellen, die in die Whitelist oder die Blacklist aufgenommen werden sollen. sbeschreibungen Absender auf Blacklist -Adresse Verwenden Sie diese, um eine Liste mit -Adressen zu erstellen, die häufig Spam senden. Gibt alle -Adressen an. Platzhalter können verwendet werden, z. B.: sbeschreibungen Empfänger auf Blacklist -Adresse Verwenden Sie diese, um eine Liste mit Benutzern zu erstellen, die häufig Spam erhalten. Gibt alle -Adressen an. Platzhalter können verwendet werden, z. B.: 130 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

131 Übersicht über -Funktionen -Richtlinien 3 sbeschreibungen Absender auf Whitelist -Adresse Verwenden Sie diese, um eine Liste mit Benutzern zu erstellen, die -Nachrichten versenden möchten, die von der Appliance normalerweise als Spam verarbeitet werden. Gibt alle -Adressen an. Platzhalter können verwendet werden, z. B.: sbeschreibungen Empfänger auf Whitelist -Adresse Verwenden Sie diese Seite, um eine Liste mit Benutzern zu erstellen, die -Nachrichten erhalten möchten, die von der Appliance normalerweise als Spam identifiziert werden. Gibt alle -Adressen an. Platzhalter können verwendet werden, z. B.: sbeschreibungen Von Benutzer übermittelt (Blacklists und Whitelists) Verwenden Sie diese, um Listen mit Black- und Whitelists zu verwalten, die von Benutzern über Quarantäne-Digests übermittelt wurden. Wenn die Appliance für die Verwendung des McAfee Quarantine Manager konfiguriert ist, können Sie die Listen nur anzeigen. Anti-Spam-Einstellungen Regeln Verwenden Sie diese Seite, um alle Spam-Regeln zu entfernen, die dazu führen, dass einige s fälschlicherweise als Spam ermittelt werden. Sie müssen diese Liste im Normalfall nicht ändern. Nehmen Sie Änderungen nur dann vor, wenn Sie sich über deren Auswirkungen im Klaren sind. Tabelle 3-49 sbeschreibungen Regelname Zeigt den im Spam-Bericht angezeigten Regelnamen an. Regelfaktor Zeigt den Regelfaktor an, typischerweise 1-5. Aktiviert Übernehmen und Filtern Gibt an, ob die Regel aktiv ist. Um die Regel zu deaktivieren, wählen Sie das entsprechende Kontrollkästchen aus. Wenn Sie auf Übernehmen klicken, zeigt die Tabelle nur die unter Filtern angegebenen Nummern an. Sie können hier einen regulären Ausdruck angeben, z. B.: ^AA Sucht nach allen Begriffen, die mit "AA" beginnen. BB$ Sucht nach allen Begriffen, die mit "BB" enden. CC Sucht nach allen Begriffen, die "CC" enthalten. Um die vollständige Liste erneut anzuzeigen, löschen Sie die Eingaben unter Filtern, und klicken Sie auf Übernehmen. Anti-Phishing-Einstellungen Verwenden Sie diese Seite, um anzugeben, wie Phishing- s verarbeitet werden. -Richtlinien Scan-Richtlinien [Spam] Phishing and Web Security Appliances 5.6 Patch 1 Produkthandbuch 131

132 3 Übersicht über -Funktionen -Richtlinien Bei Phishing handelt es sich um die illegale Verwendung gefälschter -Nachrichten, um arglose Benutzer zur Herausgabe von Informationen zu ihrer persönlichen Identität und zu ihren Finanzen zu bewegen. Kriminelle können die gestohlenen Daten verwenden, um in betrügerischer Absicht Waren und Dienstleistungen zu erwerben und um direkt von den Bankkonten Geldmittel zu entwenden. Vorteile der Verwendung der Anti-Phishing-Einstellungen Indem Sie die Anti-Phishing-Einstellungen in Ihrer Appliance konfigurieren, können Sie Ihre Benutzer und Ihr Unternehmen vor den illegalen Phishing-Aktivitäten schützen. sbeschreibungen Anti-Phishing-Scans aktivieren Anti-Phishing-Scans aktivieren Wenn diese ausgewählt ist, ermöglicht sie das Anti-Phishing-Scannen von -Nachrichten sbeschreibungen Berichtsoptionen Präfix zu der Betreffzeile von Phishing-Nachrichten hinzufügen Bei Auswahl dieser wird der Betreffzeile ein Präfix hinzugefügt, das die Benutzer dabei unterstützt, Phishing-Nachrichten in ihrem Posteingang rasch zu erkennen. Gibt den Text für das Präfix an. Wir empfehlen, hierfür keine Zeichen aus Multibyte-Zeichensätzen (erweiterten Zeichensätzen) zu verwenden, wenn es sich bei der Neucodierung nicht um UTF-8 handelt. Beim Standardwert handelt es sich um "****Möglicher Phishing-Angriff****". Phishing-Indikator-Header zu Nachrichten hinzufügen Phishing-Bericht anhängen Ausführliche Berichte Bei Auswahl dieser wird dem X-Header der ein Indikator hinzugefügt, wodurch andere Software die Möglichkeit erhält, die Nachricht zu verarbeiten oder zu analysieren. Bei Auswahl dieser wird der -Nachricht ein Bericht angehängt, der begründet, warum die -Nachricht als Phishing-Versuch markiert wurde. Bei Auswahl dieser wird ein umfangreicherer Bericht angehängt, der en zu den Namen der Regeln enthält, die ausgelöst wurden and Web Security Appliances 5.6 Patch 1 Produkthandbuch

133 Übersicht über -Funktionen -Richtlinien 3 sbeschreibungen Aktionen Wenn ein Phishing-Versuch erkannt wird Relay-Liste verwalten Und auch Benachrichtigung und en für kommentierte s Gibt eine Hauptaktion an, die gegen die Phishing-Nachricht unternommen werden sollte. Folgende en stehen zur Verfügung: Verbindung verweigern (Blockieren) Daten verweigern und einen Fehlercode ausgeben (Blockieren) Daten annehmen und anschließend verwerfen (Blockieren) Inhalt durch eine Warnung ersetzen (Bearbeiten) Weiterleiten an ein alternatives Relay (Umleiten) Durchlassen (Überwachen) Falls die für die zu ergreifende Aktion Weiterleiten an ein alternatives Relay lautet, können Sie auf einen Link zu einer Liste mit anderen Geräten klicken, die die stattdessen verarbeiten werden. Bietet weitere Aktionen: en für die ursprüngliche Quarantäne Original an x Listen weiterleiten Kommentieren und das Original an x Listen zustellen Benachrichtigungs- -en An den Empfänger der ursprünglichen zustellen Benachrichtigung an x Listen zustellen Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strg- oder Umschalttaste gedrückt. Durch Klicken hierauf wird ein Fenster geöffnet, in dem Sie die vorgesehenen Empfänger angeben können. Wenn eine Anti-Phishing-Aktion zu einer Warnung führt Ermöglicht Ihnen, die standardmäßige Anti-Phishing-Warnnachricht zu verwenden oder den Text zu ändern, um eine eigene Nachricht zu erstellen. Einstellungen für Absenderauthentifizierung -Reputation Verwenden Sie diese Seite, um die Aktionen anzugeben, die bei bekannten Absendern von Spam durchgeführt werden sollen. Die Appliance verwendet die -Reputation von McAfee Global Threat Intelligence, um die Absender von Spam- s zu identifizieren. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 133

134 3 Übersicht über -Funktionen -Richtlinien Tabelle 3-50 sbeschreibungen -Reputation aktivieren Wenn der Absender die Prüfung nicht besteht Diese Funktion ist standardmäßig aktiviert. Bietet weitere durchzuführende Aktionen. Beispiel: Durchlassen (Überwachen) Die Nachricht wird an die vorgesehenen Empfänger weitergeleitet, aber in den Protokollen und Berichten werden Informationen dazu gespeichert. Tarpit Verzögert die Antwort auf die -Nachricht. Zum Wert hinzufügen Kombiniert die Ergebnisse verschiedener Methoden der Absenderauthentifizierung. Wählen Sie den hinzuzufügenden Wert aus. Akzeptieren und verwerfen (Blockieren) Blockiert die Zustellung der Nachricht und gibt den entsprechenden Code an den sendenden MTA zurück. Ablehnen (Blockieren) Blockiert die Zustellung der Nachricht und gibt den entsprechenden Code an den sendenden MTA zurück. Ablehnen und schließen (Blockieren) Blockiert die Zustellung der Nachricht und gibt den entsprechenden Code an den sendenden MTA zurück. Ablehnen, schließen und verweigern (Blockieren) Blockiert die Zustellung der Nachricht und gibt den entsprechenden Code an den sendenden MTA zurück. Absenderauthentifizierungseinstellungen RBL-Konfiguration Auf dieser Seite können Sie die Speicherorte der Listen mit IP-Adressen angeben, die bekanntermaßen Spam versenden. Standardmäßig ist die Appliance so konfiguriert, dass die McAfee-Blackhole-Liste cidr.bl.mcafee.com verwendet wird Sie können so viele RBL-Server wie nötig hinzufügen. Die Appliance fragt die einzelnen Server in der Reihenfolge ab, in der sie in der Benutzeroberfläche aufgeführt sind, bis eine Übereinstimmung gefunden wurde. Anschließend wird die angegebene Aktion ausgeführt. McAfee empfiehlt, die RBL-Server in der Reihenfolge anzugeben, in der sie am wahrscheinlichsten zu einem Sucherfolg führen, um die Anzahl der Suchvorgänge, die die Appliance bei eingehenden Verbindungen durchführen muss, zu reduzieren and Web Security Appliances 5.6 Patch 1 Produkthandbuch

135 Übersicht über -Funktionen -Richtlinien 3 Tabelle 3-51 sbeschreibungen Domänenname Wenn der Absender die Prüfung nicht besteht Gibt die Speicherorte der Server an, die Echtzeit-Blackhole-Listen verwalten. Bietet weitere durchzuführende Aktionen. Beispiel: Durchlassen (Überwachen) Die Nachrichten der Absender- -Domänen werden durch die Appliance an die vorgesehenen Empfänger durchgelassen. Tarpit Verzögert die Antwort auf die -Nachricht. Zum Wert hinzufügen Erhöht den Spam-Faktor für Nachrichten dieser Domänen. Akzeptieren und verwerfen (Blockieren) Die Nachricht wird akzeptiert, aber die Verbindung wird verworfen. Ablehnen (Blockieren) -Die Nachricht wird abgelehnt. Ablehnen und schließen (Blockieren) Die Nachricht wird abgelehnt, und die Verbindung wird geschlossen. Tarpit Verzögert die Antwort auf die -Nachricht. Ablehnen, schließen und verweigern (Blockieren) Blockieren des Kernel-Modus. Dies ist eine effektive Methode zur Bekämpfung von Spam, da die Nachricht (ablehnen) und die Verbindung (schließen) bearbeitet werden und der Absender-Server zur Liste "Verweigern" hinzugefügt wird. Die Standardaktion ist Ablehnen, schließen und verweigern (Blockieren). Absenderauthentifizierungseinstellungen SPF, Absender-ID und DKIM Auf dieser Seite können Sie Einstellungen für Techniken angeben, die ermitteln, ob der Absender einer echt ist. Diese Techniken reduzieren die Arbeitslast der Appliance, da sie verdächtige s ablehnen, ohne sie scannen zu müssen. Die Appliance kann verschiedene Aktionen durchführen, je nachdem, ob die die verschiedenen Prüfungen besteht oder nicht. Sie können alle Authentifizierungstypen separat verwenden oder die Techniken kombinieren, indem Sie sie gewichten. Tabelle 3-52 sbeschreibungen SPF aktivieren oder Absender-ID aktivieren SPF-Header zu s hinzufügen oder Einen Absender-ID-Header zu s hinzufügen Bei Auswahl dieser wird das Verfahren "Sender Policy Framework (SPF)" oder "Absender-ID" auf der Appliance aktivieren. Wenn ausgewählt, wird eine separate Header-Zeile zur -Nachricht hinzugefügt. Nach dem Prüfen einer fügt die Appliance ihren eigenen Header zur hinzu, der andere Mail-Server in Ihrem Unternehmen darauf hinweist, dass die überprüft wurde. Die Header umfassen: Erhalten-SPF-Header Erhalten-PRA-Header X-NAI_DKIM_Results-Header Wenn der Absender die Prüfung nicht besteht Bietet weitere durchzuführende Aktionen. Beispiel: Tarpit Verzögert die Antwort auf die -Nachricht. Zum Wert hinzufügen Kombiniert die Ergebnisse verschiedener Methoden der Absenderauthentifizierung. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 135

136 3 Übersicht über -Funktionen -Richtlinien Tabelle 3-52 sbeschreibungen (Fortsetzung) Wenn der Absender die Prüfung besteht DKIM-Verifizierung aktivieren Bietet weitere durchzuführende Aktionen. Beispiel: Durchlassen (Überwachen) Die Nachricht geht in die nächste Phase über. Zum Wert hinzufügen Kombiniert die Ergebnisse verschiedener Methoden der Absenderauthentifizierung. Wählen Sie diese, um das DKIM-Verfahren (DomainKeys Identified Mail) zur Verifizierung von -Nachrichten zu verwenden. Absenderauthentifizierungseinstellungen Kumulativer Faktor und andere en Auf dieser Seite können Sie verschiedene en angeben, einschließlich Techniken für das Berechnen bestimmter Werte für die Authentifizierung von Absendern. Wenn keine Methode gänzlich effektiv gegen nicht vertrauenswürdige Absender wirkt oder einige Methoden in Ihrem Netzwerk bessere Ergebnisse liefern als andere, können Sie Faktoren mit den jeweiligen Methoden verknüpfen, um die Erkennung insgesamt zu verfeinern. Um zu gewährleisten, dass die Faktoren richtig berechnet werden, wählen Sie "Zum Wert hinzufügen" als Aktion für jede verwendete Methode aus. Tabelle 3-53 sbeschreibungen Hinzugefügten Gesamtfaktor prüfen, Schwellenwert und Wenn der Schwellenwert erreicht wird Verzögerungszeitraum bei Tarpit Parsen der -Header für die Absenderadresse, falls diese sich hinter einem MTA befindet und Anzahl an Hops für MTA Verwendet Faktoren aus verschiedenen Methoden der Absenderauthentifizierung, um die Aktion zu bestimmen, die gegen eine -Nachricht verwendet werden soll, wenn der Absender nicht authentifiziert werden kann. Gibt eine Verzögerung an, wenn das Senden einer bestätigt wird. Der Standardwert von 5 Sekunden ist häufig nicht effektiv bei der Abwehr eines Denial-of-Service-Angriffs. Wenn der Appliance Mail Transfer Agents (MTAs) vorgestellt sind, geben Sie die Anzahl an Hops von der Appliance zum MTA an. Die Appliance kann dann die -Header parsen, um den ursprünglichen Absender herauszufinden und ihn anhand dieser IP-Adresse zu überprüfen. Dateifiltereinstellungen Verwenden Sie diese Seite, um Aktionen für verschiedene Dateitypen anzugeben. Diese Technik wird als Dateifilterung bezeichnet. -Richtlinien Scan-Richtlinien Compliance Dateifilterung Die Standardwerte der Richtlinie sind in der Regel für die Verwendung geeignet. Möglicherweise ist jedoch eine weitere Richtlinie erforderlich, um die gelegentliche Übertragung von großen, tief verschachtelten Dateien zu ermöglichen oder um mögliche Angriffe zu untersuchen. Tabelle 3-54 sbeschreibungen Reihenfolge Regelname Zeigt die Reihenfolge an, in der die Filter angewendet werden. Klicken Sie auf die Symbole in der Spalte Verschieben, um die Reihenfolge zu ändern. Zeigt den Regelnamen an and Web Security Appliances 5.6 Patch 1 Produkthandbuch

137 Übersicht über -Funktionen -Richtlinien 3 Tabelle 3-54 sbeschreibungen (Fortsetzung) Falls ausgelöst Neue Filterregel erstellen Standardmäßigen Warnungstext ändern Zeigt die durchzuführende Aktion an. Durch Klicken auf diese wird ein weiteres Fenster geöffnet, in dem Sie die Dateitypen angeben können, die erkannt werden sollen. Durch Klicken auf diese wird ein weiteres Fenster geöffnet, in dem Sie die Warnmeldung ändern können, die nach einer Erkennung ausgegeben wird. Informationen zur Dateifilterung In diesem Thema erhalten Sie ein besseres Verständnis von der Dateifilterung. -Richtlinien Scan-Richtlinien Compliance Dateifilterung Indem Sie Regeln für die Dateifilterung erstellen, können Dateien auf verschiedene Weisen erkannt werden: Sie können die Appliance beispielsweise so konfigurieren, dass sie die Verwendung bestimmter Dateitypen verbietet: Filterung nach Dateinamen Einige Grafikformate wie Bitmap (BMP-Dateien) verwenden beispielsweise große Mengen an Computerspeicher und können bei der Übertragung die Netzwerkgeschwindigkeit beeinträchtigen. Daher kann es sinnvoller sein, dass Benutzer mit kompakteren Formaten arbeiten, z. B. GIF, PNG oder JPEG. Wenn Ihr Unternehmen Computersoftware herstellt, werden möglicherweise ausführbare Dateien (.exe-dateien) über das Netzwerk übertragen. In einem anderen Unternehmen könnte es sich bei diesen Dateien um Raubkopien von Software handeln. Ebenso werden in einem Unternehmen, das nur selten Filmdateien (MPEG- oder MPG-Dateien) bearbeitet, solche Dateien wahrscheinlich nur zur Unterhaltung dienen. Eine Dateifilterungsregel, die die Dateinamenerweiterung untersucht, kann das Verschieben solcher Dateien beschränken. Finanzdaten können in Dateien mit Namen wie Jahr2008.xls oder 2008Ergebnisse gespeichert sein. Ein Dateifilter, der mit dem Text 2008 übereinstimmt, kann das Verschieben solcher Dateien beschränken. Filterung nach Dateiformat Die wichtigsten Daten in einem Unternehmen, beispielsweise Entwürfe und Kundendaten, sind meist in Datenbanken oder anderen Spezialdateien gespeichert. Daher ist es wichtig, das Verschieben dieser Dateien zu kontrollieren. Die Appliance untersucht Dateien anhand ihres tatsächlichen Inhalts. Jede Datei kann als eine andere Datei maskiert werden. Jemand mit bösartiger Absicht kann eine Datenbankdatei mit dem Namen CUSTOMERS.MDB in NOTES.TXT umbenennen und anschließend versuchen, diese Datei zu übermitteln. Jedoch können Sie die Appliance so konfigurieren, dass jede Datei auf Basis ihres Inhalts oder ihres Dateiformats hin geprüft wird, und nicht nur auf Basis der Dateinamenerweiterung. Filterung nach Dateigröße Auch wenn das Verschieben von Grafikdateien innerhalb des Netzwerks gestattet ist, können Sie durch Beschränkung der Dateigröße verhindern, dass der Dienst für andere Benutzer zu langsam ausgeführt wird. Wenn Sie Einstellungen festlegen, um die Verwendung von Dateien zu kontrollieren, sollten Sie daran denken, dass einige Abteilungen in Ihrem Unternehmen unter Umständen weniger starke Beschränkungen benötigen. Beispielsweise erfordert eine Marketingabteilung große Grafikdateien für die Werbung. Diese Funktion steht für das POP3-Protokoll nicht zur Verfügung. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 137

138 3 Übersicht über -Funktionen -Richtlinien Dateien in einigen der Multimedia-Unterkategorien Multimedia-Unterkategorie Dateitypen in der Unterkategorie MP3 MPEG Layer 3 ID3 Version 1.x MPEG Layer 3 ID3 Version 2.x MPEG1-Audio - Layer 3 MPEG MPEG1-Audio - Layer 1 MPEG1-Audio - Layer 2 MPEG2-Audio - Layer 1 MPEG2-Audio - Layer 2 MPEG2-Audio - Layer 3 MPEG-1-Video MPEG-2-Video MPEG-4-Datei MPEG-7-Datei Windows Sound Windows Video Windows Sound (WAV-Datei) Windows Media Audio (WMA-Datei) Windows Video (AVI-Datei) Windows Media Video (WMV-Datei) Microsoft Digital Video Recording (DVR-Datei) Data Loss Prevention-Einstellungen Auf dieser Seite können Sie eine Richtlinie erstellen, die Data Loss Prevention-Aktionen für die Kategorien der registrierten Dokumente zuweist. -Richtlinien Scan-Richtlinien Compliance Vorteile von Data Loss Prevention (DLP) Mit der Data Loss Prevention-Funktion können Sie den Fluss kritischer Informationen beschränken, die in -Nachrichten per SMTP über die Appliance gesendet werden. Sie können beispielsweise die Übertragung eines kritischen Dokuments, wie z. B. eines Finanzberichts, blockieren, das an eine Adresse außerhalb Ihres Unternehmens gesendet werden soll. Die Erkennung erfolgt, sobald das Originaldokument als -Anhang oder als Textausschnitt aus dem Originaldokument versendet wird. Die DLP-Konfiguration erfolgt in zwei Phasen: Registrierung der Dokumente, die geschützt werden sollen. Aktivieren der DLP-Richtlinie und Kontrollieren der Erkennung (dieses Thema) Wenn ein hochgeladenes registriertes Dokument eingebettete Dokumente enthält, wird von deren Inhalt ebenfalls ein Fingerabdruck angelegt. Wenn später während eines Scans der Übereinstimmungsprozentsatz berechnet wird, wird der kombinierte Inhalt verwendet. Wenn eingebettete Dokumente separat behandelt werden sollen, müssen sie separat registriert werden and Web Security Appliances 5.6 Patch 1 Produkthandbuch

139 Übersicht über -Funktionen -Richtlinien 3 Tabelle 3-55 sbeschreibungen Data Loss Prevention aktivieren Prozentsatz der übereinstimmenden Dokumente Wählen Sie diese aus, um die Data Loss Prevention-Richtlinieneinstellungen zu aktivieren. Der Prozentsatz des ursprünglichen registrierten Dokuments, der erkannt werden muss, damit DLP ausgelöst wird. Wenn Sie beispielsweise zwei Dokumente registrieren, von denen eines 100 Seiten Inhalt und eines zehn Seiten umfasst, würde die Einstellung 30 % verlangen, dass 30 Seiten mit dem 100-seitigen Dokument und nur drei Seiten mit dem zehnseitigen Dokument übereinstimmen. Für die DLP wird ein komplexer Algorithmus verwendet, der die Textnormalisierung, die Entfernung gängiger Wörter und die Signaturgenerierung umfasst. Diese Zahlen stellen nur Richtwerte dar. Anzahl der aufeinander folgenden Signaturen (erweitert): Legen Sie die Anzahl an aufeinander folgenden Signaturen fest, bei der ausgelöst wird. Wenn Sie beispielsweise zwei Dokumente registrieren, von denen eines 100 Seiten Inhalt und eines zehn Seiten umfasst, können Sie diese Funktion dazu verwenden, einen kleinen Abschnitt des ursprünglichen Inhalts unabhängig von dessen ursprünglicher Größe zu erkennen. Für die DLP wird ein komplexer Algorithmus verwendet, der die Textnormalisierung, die Entfernung gängiger Wörter und die Signaturgenerierung umfasst. Als ungefährer Richtwert kann davon ausgegangen werden, dass eine Signatur für acht Wörter des Textes steht, nachdem gängige Wörter entfernt wurden. Neue Regel erstellen Dokumentausschluss erstellen Wenn eine Data Loss Prevention-Aktion zu einer Warnung führt Diese Liste ist so lange leer, bis Sie Kategorien für registrierte Dokumente einrichten. Klicken Sie hier, um basierend auf den Kategorien, die Sie unter "Registrierte Dokumente" festgelegt haben, eine neue Data Loss Prevention-Regel zu erstellen. Diese Liste ist so lange leer, bis Sie Dokumente registrieren. Klicken Sie hier, um registrierte Dokumente anzugeben, die von dieser Richtlinie ausgeschlossen werden sollen. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Vorgehensweise Blockieren des Versendens eines vertraulichen Finanzdokuments aus Ihrem Unternehmen heraus In diesem Beispiel wird davon ausgegangen, dass Sie bereits die Kategorie "Finanzen" erstellt haben. 1 Navigieren Sie zu -Richtlinien Scan-Richtlinie, und wählen Sie die Data Loss Prevention-Richtlinie aus. 2 Klicken Sie im Dialogfeld Standardeinstellungen für Data Loss Prevention auf Ja, um die Richtlinie zu aktivieren. 3 Klicken Sie auf Neue Regel erstellen, wählen Sie die Kategorie "Finanzen" aus, und klicken Sie auf OK, damit die Kategorie in der Liste "Regeln" angezeigt wird. 4 Wählen Sie die der Kategorie zugeordnete Aktion aus, ändern Sie die primäre Aktion in Verbindung verweigern (Blockieren), und klicken Sie auf OK. 5 Klicken Sie erneut auf OK, und übernehmen Sie die Änderungen. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 139

140 3 Übersicht über -Funktionen -Richtlinien Vorgehensweise Blockieren des Versendens eines kleinen Abschnitts des Finanzdokuments aus Ihrem Unternehmen heraus 1 Navigieren Sie zu -Richtlinien Scan-Richtlinie, und wählen Sie die Data Loss Prevention-Richtlinie aus. 2 Klicken Sie im Dialogfeld Standardeinstellungen für Data Loss Prevention auf Ja, um die Richtlinie zu aktivieren. 3 Aktivieren Sie die Einstellung für aufeinander folgende Signaturen, und geben Sie die Anzahl an aufeinander folgende Signaturen ein, bei der die DLP-Richtlinie eine Erkennung auslösen soll. Der Standardwert ist Klicken Sie auf Neue Regel erstellen, wählen Sie die Kategorie "Finanzen" aus, und klicken Sie auf OK, damit die Kategorie in der Liste "Regeln" angezeigt wird. 5 Wählen Sie die der Kategorie zugeordnete Aktion aus, ändern Sie die primäre Aktion in Verbindung verweigern (Blockieren), und klicken Sie auf OK. 6 Klicken Sie erneut auf OK, und übernehmen Sie die Änderungen. Vorgehensweise Ausschließen eines bestimmten Finanzdokuments für eine Richtlinie Verwenden Sie diese, um zu verhindern, dass ein bestimmtes Finanzdokument die DLP-Richtlinieneinstellungen auslöst. 1 Navigieren Sie zu -Richtlinien Scan-Richtlinie, und wählen Sie die Data Loss Prevention-Richtlinie aus. 2 Klicken Sie im Dialogfeld Standardeinstellungen für Data Loss Prevention auf Ja, um die Richtlinie zu aktivieren. 3 Klicken Sie auf Dokumentausschluss erstellen, wählen Sie das Dokument aus, das von dieser Richtlinie ignoriert werden soll, und klicken Sie auf OK. 4 Klicken Sie erneut auf OK, und übernehmen Sie die Änderungen. Mail-Größen-Filtereinstellungen Nachrichtengröße Verwenden Sie diese Seite, um anzugeben, wie umfangreiche -Nachrichten verarbeitet werden. -Richtlinien Scan-Richtlinien Compliance Mail-Größenfilterung Die Standardwerte der Richtlinie sind in der Regel für die Verwendung geeignet. Möglicherweise ist jedoch eine weitere Richtlinie erforderlich, um die gelegentliche Übertragung von großen -Nachrichten zu ermöglichen oder um mögliche Angriffe zu untersuchen. Das Ändern dieser Einstellungen kann sich auf die Leistung beim Scannen auswirken. Wenden Sie sich an Ihren Netzwerkexperten, wenn Sie sich bzgl. der Auswirkungen beim Vornehmen von Änderungen nicht sicher sind. Tabelle 3-56 sbeschreibungen Wenn die Nachrichtengröße [Zahl] KB überschreitet (Menü) Gibt die Grenze an. Die Standardwerte lauten: Nachrichtengröße KB (100 MB) Bietet eine Hauptaktion, die durchgeführt werden soll and Web Security Appliances 5.6 Patch 1 Produkthandbuch

141 Übersicht über -Funktionen -Richtlinien 3 Tabelle 3-56 sbeschreibungen (Fortsetzung) Standardwarnung verwenden Und auch Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Bietet eine weitere Aktion, die durchgeführt werden soll. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strg- oder Umschalttaste gedrückt. Mail-Größen-Filtereinstellungen Anhangsgröße Verwenden Sie diese Seite, um anzugeben, wie umfangreiche Anhänge von -Nachrichten verarbeitet werden. -Richtlinien Scan-Richtlinien Compliance Mail-Größenfilterung Die Standardwerte der Richtlinie sind in der Regel für die Verwendung geeignet. Möglicherweise ist jedoch eine weitere Richtlinie erforderlich, um die gelegentliche Übertragung umfangreicher Anhänge von -Nachrichten zu ermöglichen oder um mögliche Angriffe zu untersuchen. Das Ändern dieser Einstellungen kann sich auf die Leistung beim Scannen auswirken. Wenden Sie sich an Ihren Netzwerkexperten, wenn Sie sich bzgl. der Auswirkungen beim Vornehmen von Änderungen nicht sicher sind. Tabelle 3-57 sbeschreibungen Wenn die Anhangsgröße [Zahl] überschreitet (Menü) Standardwarnung verwenden Und auch Gibt die Grenze an. Die Standardwerte lauten: Anhangsgröße KB (32 MB) Verwenden Sie die Anhangsgröße nur als Richtwert. Wenn die Datei als Anhang codiert ist, kann sie um bis zu 33 % größer werden. Bietet eine Hauptaktion, die durchgeführt werden soll. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Bietet eine weitere Aktion, die durchgeführt werden soll. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strg- oder Umschalttaste gedrückt. Mail-Größen-Filtereinstellungen Anhangszähler Verwenden Sie diese Seite, um anzugeben, wie eine hohe Anzahl von Anhängen von -Nachrichten verarbeitet werden. -Richtlinien Scan-Richtlinien Compliance Mail-Größenfilterung and Web Security Appliances 5.6 Patch 1 Produkthandbuch 141

142 3 Übersicht über -Funktionen -Richtlinien Die Standardwerte der Richtlinie sind in der Regel für die Verwendung geeignet. Möglicherweise ist jedoch eine weitere Richtlinie erforderlich, um die gelegentliche Übertragung vieler Anhänge von -Nachrichten zu ermöglichen oder um mögliche Angriffe zu untersuchen. Das Ändern dieser Einstellungen kann sich auf die Leistung beim Scannen auswirken. Wenden Sie sich an Ihren Netzwerkexperten, wenn Sie sich bzgl. der Auswirkungen beim Vornehmen von Änderungen nicht sicher sind. Tabelle 3-58 sbeschreibungen Wenn der Anhangszähler [Zahl] überschreitet (Menü) Standardwarnung verwenden Und auch Gibt die Grenze an. Die Standardwerte lauten: Anhangszähler 500 Bietet eine Hauptaktion, die durchgeführt werden soll. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Bietet eine weitere Aktion, die durchgeführt werden soll. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strg- oder Umschalttaste gedrückt. Compliance-Einstellungen Über diese Seite können Sie Compliance-Regeln erstellen und verwalten. -Richtlinien Scan-Richtlinien Compliance Web Web-Richtlinien Scan-Richtlinien Compliance Vorteile der Verwendung der Compliance Verwenden Sie Compliance-Scans zur Unterstützung der Compliance mit gesetzlichen und betrieblichen Auflagen. Sie können aus einer Bibliothek aus vordefinierten Compliance-Regeln wählen oder eigene Regeln und Wörterbücher für Ihr Unternehmen erstellen. Compliance-Regeln können hinsichtlich ihrer Komplexität von einem einfachen Auslöser bei der Erkennung eines einzelnen Begriffs in einem Wörterbuch bis hin zum Aufbauen auf und Kombinieren von faktorbasierten Wörterbüchern variieren, die nur auslösen, wenn ein bestimmter Schwellenwert erreicht wird. Mithilfe der erweiterten Funktionen von Compliance-Regeln können Wörterbücher mit den logischen Operationen eines von, alle von oder außer kombiniert werden. Tabelle 4-59 sbeschreibungen Compliance aktivieren Regeln Neue Regel erstellen Wählen Sie diese aus, um die Compliance-Richtlinieneinstellungen zu aktivieren. Listet die konfigurierten Compliance-Regeln auf. Klicken Sie hier, um einen Assistenten zu öffnen, der eine neue Compliance-Regel erstellt. Weitere Informationen hierzu finden Sie unter Assistent für die Regelerstellung and Web Security Appliances 5.6 Patch 1 Produkthandbuch

143 Übersicht über -Funktionen -Richtlinien 3 Tabelle 4-59 sbeschreibungen (Fortsetzung) Neue Regel aus Vorlage erstellen Wenn eine Compliance-Aktion zu einer Warnung führt Klicken Sie hier, um einen Assistenten zu öffnen, der die vordefinierten Compliance-Regeln auflistet. Weitere Informationen hierzu finden Sie unter Assistent für die Regelerstellung. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Vorgehensweise Blockieren von -Nachrichten, die die Richtlinie "Bedrohliche Sprache" verletzen 1 Navigieren Sie zu -Richtlinien Scan-Richtlinien, und wählen Sie Compliance. 2 Klicken Sie im Dialogfeld Standard-Compliance-Einstellungen auf Ja, um die Richtlinie zu aktivieren. 3 Klicken Sie auf Neue Regel aus Vorlage erstellen, um den Assistenten für die Regelerstellung zu öffnen. 4 Wählen Sie die Richtlinie Zulässige Nutzung - Bedrohliche Sprache aus, und klicken Sie auf Weiter. 5 Sie können den Namen der Regel optional ändern. Klicken Sie anschließend auf Weiter. 6 Ändern Sie die primäre Aktion in Verbindung verweigern (Blockieren), und klicken Sie auf Fertig stellen. 7 Klicken Sie auf OK, und übernehmen Sie die Änderungen. Vorgehensweise Erstellen einer einfachen benutzerdefinierten Regel zum Blockieren von -Nachrichten, die Sozialversicherungsnummern enthalten 1 Navigieren Sie zu -Richtlinien Scan-Richtlinien, und wählen Sie Compliance. 2 Klicken Sie im Dialogfeld Standard-Compliance-Einstellungen auf Ja, um die Richtlinie zu aktivieren. 3 Klicken Sie auf Neue Regel erstellen, um den Assistent für die Regelerstellung zu öffnen. 4 Geben Sie einen Namen für die Regel ein, und klicken Sie auf Weiter. 5 Geben Sie im Suchfeld sozial ein. 6 Wählen Sie das Wörterbuch "Sozialversicherungsnummer" aus, und klicken Sie zweimal auf Weiter. 7 Wählen Sie die Aktion Verbindung verweigern (Blockieren) aus, und klicken Sie auf Fertig stellen. Vorgehensweise Erstellen einer komplexen benutzerdefinierten Regel Gehen Sie wie nachfolgend beschrieben vor, um eine komplexe Regel zu erstellen, die auslöst, wenn sowohl Wörterbuch A als auch Wörterbuch B erkannt werden, jedoch nicht, wenn darüber hinaus auch Wörterbuch C erkannt wird. 1 Navigieren Sie zu -Richtlinien Scan-Richtlinien, und wählen Sie Compliance. 2 Klicken Sie im Dialogfeld Standard-Compliance-Einstellungen auf Ja, um die Richtlinie zu aktivieren. 3 Klicken Sie auf Neue Regel erstellen, um den Assistent für die Regelerstellung zu öffnen. 4 Geben Sie einen Namen für die Regel ein, und klicken Sie auf Weiter. 5 Wählen Sie zwei Wörterbücher aus, die in die Regel aufgenommen werden sollen, und klicken Sie auf Weiter. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 143

144 3 Übersicht über -Funktionen -Richtlinien 6 Wählen Sie in der Ausschlussliste ein Wörterbuch aus, das Sie von der Regel ausschließen möchten. 7 Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn die Regel ausgelöst wird. 8 Wählen Sie im Dropdown-Feld Und bedingt die Alle aus, und klicken Sie auf Fertig stellen. Vorgehensweise Hinzufügen eines neuen Wörterbuchs zu einer vorhandenen Regel 1 Navigieren Sie zu -Richtlinien Scan-Richtlinien, und wählen Sie Compliance. 2 Erweitern Sie die Regel, die Sie bearbeiten möchten. 3 Wählen Sie Wörterbuch hinzufügen. 4 Wählen Sie das neue Wörterbuch aus, das Sie hinzufügen möchten, und klicken Sie auf OK. Vorgehensweise Konfigurieren einer "Unzufriedenheit"-Regel, die mit einem niedrigen Schwellenwert überwacht wird und bei einem hohen Schwellenwert blockiert Bei faktorbasierten Wörterbüchern kann es sinnvoll sein, Auslöser zu überwachen, die einen niedrigen Schwellenwert erreichen, und die s nur zu blockieren, wenn ein hoher Schwellenwert erreicht wird: 1 Navigieren Sie zu -Richtlinien Scan-Richtlinien, und wählen Sie Compliance. 2 Klicken Sie auf Neue Regel erstellen, geben Sie einen Namen für die Regel ein, beispielsweise Unzufriedenheit - Niedrig, und klicken Sie auf Weiter. 3 Wählen Sie das Wörterbuch "Unzufriedenheit" aus, und geben Sie unter Schwelle den Wert 20 ein. 4 Klicken Sie auf Weiter und anschließend erneut auf Weiter. 5 Akzeptieren Sie unter Wenn die Compliance-Regel ausgelöst wird die Standardaktion. 6 Klicken Sie auf Fertig stellen. 7 Wiederholen Sie die Schritte 2 bis 4, um eine weitere neue Regel zu erstellen. Nennen Sie diese jedoch Unzufriedenheit - Hoch, und weisen Sie ihr den Schwellenwert 40 zu. 8 Wählen Sie unter Wenn die Compliance-Regel ausgelöst wird die Verbindung verweigern (Blockieren) aus. 9 Klicken Sie auf Fertig stellen. 10 Klicken Sie auf OK, und übernehmen Sie die Änderungen and Web Security Appliances 5.6 Patch 1 Produkthandbuch

145 Übersicht über -Funktionen -Richtlinien 3 Vorgehensweise Bearbeiten des einer vorhandenen Regel zugewiesenen Schwellenwerts Bei dieser Vorgehensweise wird davon ausgegangen, dass Ihre Regel ein Wörterbuch enthält, das die Aktion basierend auf einem Schwellenwert auslöst, beispielsweise das Wörterbuch Vergütung und Leistungen. Unter Wörterbücher finden Sie Informationen zu dem Faktor, der einem bestimmten Begriff zugewiesen ist. 1 Navigieren Sie zu -Richtlinien Scan-Richtlinien, und wählen Sie Compliance. 2 Erweitern Sie die Regel, die Sie bearbeiten möchten, und wählen Sie anschließend das Symbol Bearbeiten neben dem Wörterbuch aus, dessen Faktor Sie ändern möchten. 3 Geben Sie unter "Schwellenwert für Wörterbuch" den Faktor ein, bei dem die Regel ausgelöst werden soll, und klicken Sie auf OK. Vorgehensweise Beschränken des Faktorbeitrags eines Wörterbuchbegriffs Bei dieser Vorgehensweise wird davon ausgegangen, dass Ihre Regel ein Wörterbuch enthält, das die Aktion basierend auf einem Schwellenwert auslöst, beispielsweise das Wörterbuch Vergütung und Leistungen. Bei solchen Wörterbüchern können Sie beschränken, wie oft ein Begriff zum Gesamtfaktor beitragen kann. Unter Wörterbücher finden Sie Informationen zu dem Faktor, der einem bestimmten Begriff zugewiesen ist. Wenn beispielsweise "Testbegriff" in einem Wörterbuch den Faktor 10 hat und fünfmal in einer erkannt wird, wird der 50 zum Gesamtfaktor addiert. Alternativ können Sie eine Beschränkung festlegen, sodass beispielsweise nur zwei Vorkommnisse zum Gesamtwert beitragen, indem Sie für "Max. Begriffsanzahl" den Wert "2" angeben. 1 Navigieren Sie zu -Richtlinien Scan-Richtlinien, und wählen Sie Compliance. 2 Erweitern Sie die Regel, die Sie bearbeiten möchten, und klicken Sie anschließend auf das Symbol Bearbeiten neben dem Wörterbuch, dessen Faktor Sie ändern möchten. 3 Geben Sie unter Max. Begriffsanzahl die maximale Anzahl an Vorkommnissen eines Begriffs an, die zum Gesamtfaktor beitragen sollen. Assistent für die Regelerstellung Verwenden Sie den Assistenten, um eine neue Compliance-Regel zu erstellen. -Richtlinien Scan-Richtlinien Einführung in den Assistenten für die Regelerstellung Wählen Sie die Wörterbücher aus, die die Regel verwenden sollen, sowie die Aktionen, die die Appliance beim Auslösen der Regel ausführen soll. Tabelle 4-60 sbeschreibungen Den Namen für diese Regel anpassen Regel-Name Einzubeziehende Wörterbücher Suchen Die erste Seite des Assistenten. Geben Sie den Namen der Regel ein, die Sie erstellen möchten. Die zweite Seite des Assistenten. Liste der Wörterbücher nach den Wörterbüchern durchsuchen, die Sie zur Regel hinzufügen möchten. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 145

146 3 Übersicht über -Funktionen -Richtlinien Tabelle 4-60 sbeschreibungen (Fortsetzung) Name Schwelle Max. Anzahl von Begriffen Auszuschließende Wörterbücher Suchen Name Schwelle Max. Anzahl von Begriffen Wenn die Compliance-Regel ausgelöst wird Und auch Benachrichtigung und en für kommentierte s Und bedingt Zeigt den Wörterbuchnamen so an, wie er in der Liste -Compliance-Wörterbücher ( -Richtlinien Wörterbücher) angezeigt wird. Zeigt den Schwellenwert an, der ein faktorbasiertes Wörterbuch auslöst. Navigieren Sie zum Aktivieren einer faktorbasierten Erkennung für ein Wörterbuch zu -Richtlinien Wörterbücher. Zeigt an, wie oft Begriffe aus diesem Wörterbuch zum Schwellenwert beitragen können. Die dritte Seite des Assistenten. Liste der Wörterbücher nach den Wörterbüchern durchsuchen, die Sie von der Regel ausschließen möchten. Zeigt den Wörterbuchnamen so an, wie er in der Liste -Compliance-Wörterbücher ( -Richtlinien Wörterbücher) angezeigt wird. Zeigt den Schwellenwert an, der ein faktorbasiertes Wörterbuch auslöst. Navigieren Sie zum Aktivieren einer faktorbasierten Erkennung für ein Wörterbuch zu -Richtlinien Wörterbücher). Zeigt an, wie oft Begriffe aus diesem Wörterbuch zum Schwellenwert beitragen können. Die letzte Seite des Assistenten. Hier können Sie in der Dropdown-Liste die Art der primären Aktion auswählen, die die Appliance ausführen soll, wenn eine Compliance-Erkennung ausgelöst wird. Sie können optional sekundäre Aktionen auswählen, die auf die Erkennung angewendet werden können, wie beispielsweise die Isolierung der ursprünglichen oder geänderten Nachricht, die Benachrichtigung des Absenders und das Versenden der Nachricht an andere Personen. Die angezeigten en variieren abhängig von der ausgewählten primären Aktion. Öffnet die Seiten Standardeinstellungen für Benachrichtigung und Routing. Siehe auch -Richtlinien Scanner-en Benachrichtigung und Routing. Geben Sie an, ob die Aktionen ausgeführt werden sollen, wenn für einige oder alle Wörterbücher in der Regel eine Übereinstimmung ausgelöst wird. Assistent für die Regelerstellung Mit dem Assistenten können Sie basierend auf den Einstellungen einer vorhandenen Regel eine neue Compliance-Regel erstellen. -Richtlinien Scan-Richtlinien 146 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

147 Übersicht über -Funktionen -Richtlinien 3 Einführung in den Assistenten für die Regelerstellung Wählen Sie die Regel aus, auf der die neue Regel basieren soll, sowie die Aktionen, die die Appliance beim Auslösen der Regel ausführen soll. Tabelle 4-61 sbeschreibungen Vordefinierte Regel zum Konfigurieren auswählen Suchen Den Namen für diese Regel anpassen Regel-Name Wenn die Compliance-Regel ausgelöst wird Und auch Benachrichtigung und en für kommentierte s Und bedingt Erweitern Sie die Regel, die die Einstellungen enthält, auf denen die neue Regel basieren soll. Durchsuchen Sie die Liste der Wörterbücher nach der Regel, auf der die neue Regel basieren soll. Die zweite Seite des Assistenten. Bearbeiten Sie den Namen der Regel. Die letzte Seite des Assistenten. Hier können Sie in der Dropdown-Liste die Art der primären Aktion auswählen, die die Appliance ausführen soll, wenn eine Compliance-Erkennung ausgelöst wird. Sie können optional sekundäre Aktionen auswählen, die auf die Erkennung angewendet werden können, wie beispielsweise die Isolierung der ursprünglichen oder geänderten Nachricht, die Benachrichtigung des Absenders und das Versenden der Nachricht an andere Personen. Die angezeigten en variieren abhängig von der ausgewählten primären Aktion. Öffnet die Seiten Standardeinstellungen für Benachrichtigung und Routing. Siehe auch -Richtlinien Scanner-en Benachrichtigung und Routing. Geben Sie an, ob die Aktionen ausgeführt werden sollen, wenn für einige oder alle Wörterbücher in der Regel eine Übereinstimmung ausgelöst wird. Scanner-Grenzen Auf dieser Seite können Sie Einschränkungen für das Scannen festlegen, um Angriffe sowie verschiedene andere Leistungsprobleme zu vermeiden. -Richtlinie Scan-Richtlinien Scanner-en Scan-Grenzen Web Web-Richtlinien Scan-Richtlinien [Scanner-en] Scan-Grenzen Die Standardwerte der Richtlinie sind in der Regel für die Verwendung geeignet. Möglicherweise ist jedoch eine weitere Richtlinie erforderlich, um die gelegentliche Übertragung von großen, tief verschachtelten Dateien zu ermöglichen oder um mögliche Angriffe zu untersuchen. sbeschreibungen Maximale Dateigröße Wenn die erweiterte Dateigröße größer ist als (Menü) Gibt die Grenze an. Der Standardwert beträgt: Dateigröße 500 MB Gibt eine Hauptaktion an, die gegen die Nachricht unternommen werden soll. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 147

148 3 Übersicht über -Funktionen -Richtlinien Und auch Standardwarnung verwenden Bietet weitere Aktionen. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strgoder Umschalttaste gedrückt. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. sbeschreibungen Maximale Verschachtelungstiefe Wenn die Verschachtelungstiefe größer ist als (Menü) Und auch Standardwarnung verwenden Gibt die Grenze an. Der Standardwert beträgt: Verschachtelungstiefe 100 Gibt eine Hauptaktion an, die gegen die Nachricht unternommen werden soll. Bietet weitere Aktionen. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strgoder Umschalttaste gedrückt. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. sbeschreibungen Maximale Scan-Zeit Wenn die Scan-Zeit länger ist als (Menü) Und auch Standardwarnung verwenden Gibt die Grenze an. Der Standardwert beträgt: Scan-Zeit 8 Minuten. Gibt eine Hauptaktion an, die gegen die Nachricht unternommen werden soll. Bietet weitere Aktionen. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strgoder Umschalttaste gedrückt. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Inhaltsverarbeitungseinstellungen -en Grundlegende en Verwenden Sie diese Seite, um einige grundlegende Einstellungen für die Verarbeitung von s anzugeben. -Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung -en Unter Umständen sind mehrere Richtlinien erforderlich, die alle einen eigenen Disclaimer aufweisen, um den Anforderungen verschiedener Abteilungen gerecht zu werden and Web Security Appliances 5.6 Patch 1 Produkthandbuch

149 Übersicht über -Funktionen -Richtlinien 3 Tabelle 3-62 sbeschreibungen Präfix zum Betreff der geänderten s hinzufügen Legt ein Präfix fest, das die Appliance nach einer größeren Änderung dem Betreff der -Nachricht hinzufügt, beispielsweise wenn eine Warnmeldung ein infiziertes Element ersetzt. Wird dieses Präfix zur Betreffzeile hinzugefügt, wird es anderen Präfixen vorangestellt, die beispielsweise auf Spam oder Phishing hinweisen. Wenn Sie einer Nachricht einen Disclaimer hinzufügen, hat dies keine Auswirkung auf die Betreffzeile. Nutzung von Disclaimern aktivieren Disclaimer-Text Position Beim erneuten Codieren von Anhängen Wenn geänderte Betreffzeilen erneut codiert werden Wenn ein Fehler beim erneuten Codieren einer geänderten Betreffzeile auftritt Bei Auswahl dieser wird zu jeder -Nachricht zusätzlicher Text hinzugefügt. Die Appliance kann keine Disclaimer zu -Nachrichten hinzufügen, die nicht unterstützte Zeichensätze enthalten, wie den hebräischen Zeichensatz ISO I. Gibt den Text an, z. B. einen rechtlichen Disclaimer, Werbung oder allgemeine Informationen (Adressen oder Telefonnummern). Damit der HTML-Disclaimer in einer angezeigt wird, muss die im HTML-Format vorliegen. Wenn Sie auf ein Bild verweisen (durch Verwendung von <img>) sieht der Empfänger das Bild nur, wenn es öffentlich verfügbar ist. Mit anderen Worten muss das Bild über das Internet zugänglich sein, mit einem vollständigen Pfad, wie Bietet eine Auswahl an Positionen für den Text des Anhangs. Bietet eine Auswahl an Neucodierungen, falls die Nachricht gesäubert wurde. Bietet eine Auswahl an Neucodierungen. Bietet eine Auswahl an Neucodierungen. Inhaltsverarbeitungseinstellungen -en Erweiterte en Verwenden Sie diese Seite, um erweiterte Einstellungen für die Verarbeitung von s anzugeben. -Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung -en Das Ändern dieser Einstellungen kann sich auf die Leistung beim Scannen auswirken. Wenden Sie sich an Ihren Netzwerkexperten, wenn Sie sich bzgl. der Auswirkungen beim Vornehmen von Änderungen nicht sicher sind. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 149

150 3 Übersicht über -Funktionen -Richtlinien Tabelle 3-63 sbeschreibungen Bevorzugte Übertragungscodierung für Text Bietet eine Auswahl an Codierungen: 8-Bit Für SMTP-Server, die die SMTP-Transporterweiterung 8BITMIME unterstützen. Base64 Für nicht textbasierte Daten und Nachrichten, die nur geringe Mengen ASCII-Text enthalten. Quoted-Printable Für Nachrichten, die überwiegend ASCII-Zeichen sowie einige Bytewerte außerhalb dieses Bereichs enthalten. Aber nicht decodieren, wenn der Text bereits im 7-Bit-Format vorliegt Standardmäßiger Zeichensatz für die Decodierung Maximale Anzahl an MIME-Teilen Beschädigte Nachrichten-Header wie beschädigten Inhalt behandeln NULL-Zeichen in Nachrichten-Headern wie beschädigten Inhalt behandeln Alle Received-From-Header entfernen, um Netzwerkinformationen zu verbergen. Bei Auswahl dieser wird die Codierung von 7-Bit-Daten verhindert. Bietet einen zu verwendenden Zeichensatz an, falls in den MIME-Headern keiner angegeben ist. Hilfe beim Angeben weiterer Sätze finden Sie auf der Registerkarte Zeichensätze. Mit dieser wird ein Maximum angegeben, wodurch Denial-of-Service-Angriffe verhindert werden können. Der Standardwert lautet "10000". Bei Auswahl dieser wird die -Nachricht gemäß der Aktion verarbeitet, die die Richtlinie bei beschädigtem Inhalt anwendet. Bei Auswahl dieser werden Aktionen bei vorhandenen NULL-Zeichen durchgeführt. Wählen Sie diese, um die Netzwerkinformationen zu verbergen, die in den Received-Headern angezeigt werden. Der letzte Received-Header, der von Ihrer Appliance hinzugefügt wurde, wird nicht entfernt. Durch das Aktivieren von Header-Entfernung wird verhindert, dass s aufgrund einer Überschreitung des unter Maximale Anzahl an Hops angegebenen Werts blockiert werden, da mithilfe der Received-Header ermittelt wird, wie viele Hops eine -Nachricht passiert hat. Inhaltsverarbeitungseinstellungen -en Fehlende/leere Header Mithilfe dieser Seite können Sie angeben, wie die Appliance eine verarbeitet, die einen leeren oder fehlenden Header aufweist. -Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung -en Bei einer Spam- oder einer gefälschten werden die Header gelegentlich verändert, um die Identität des Absenders zu verbergen and Web Security Appliances 5.6 Patch 1 Produkthandbuch

151 Übersicht über -Funktionen -Richtlinien 3 Tabelle 3-64 sbeschreibungen Führen Sie unter folgenden Umständen eine Aktion durch: Nie Wählen Sie diese aus, wenn Sie die Funktion nicht benötigen. Wenn einer oder mehrere -Header keinen Wert haben Wählen Sie diese aus, um verdächtige Header zu erkennen. Wenn einer oder mehrere der folgenden Header fehlen oder leer sind Wählen Sie diese aus, um Header anzugeben wie "From", "Sender" und "Reply-to". Eine vollständige Header-Liste finden Sie im RFC Maßnahme Und auch Wenn eine der oben stehenden Aktionen zu einer Warnung führt Bietet eine Auswahl von Aktionen gegen die -Nachricht. Bietet eine Auswahl an verschiedenen sekundären Aktionen sowohl für die ursprüngliche -Nachricht als auch für die Benachrichtigungs- s. Bietet eine Auswahl an verschiedenen Warnmeldungen, die gesendet werden, wenn eine Aktion eine Warnmeldung auslöst. Inhaltsverarbeitungseinstellungen -en Text und binäre MIME-Typen Verwenden Sie diese Seite, um spezielle MIME-Typen als Text oder binär zur Verbesserung der Scaneffizienz anzugeben. -Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung -en Die Appliance verarbeitet gebräuchliche MIME-Typen. Sie müssen hier lediglich neue oder ungewöhnliche MIME-Typen angeben. Tabelle 3-65 sbeschreibungen Die folgenden MIME-Typen als Textanhänge behandeln Die folgenden MIME-Typen als binäre Anhänge behandeln Ermöglicht das Erstellen einer Liste mit MIME-Texttypen. Ermöglicht das Erstellen einer Liste mit binären MIME-Typen. Infos zu MIME-Formaten Multipurpose Internet Mail Extensions (MIME) ist ein Kommunikationsstandard, der die Übertragung anderer Formate als ASCII über Protokolle wie SMTP aktiviert, die nur 7-Bit-ASCII-Zeichen unterstützen. -Richtlinien Scan-Richtlinien [Scanner-en] Inhaltsverarbeitung -en Text und binäre MIME-Typen Beispiele für Nicht-ASCII-Formate: 8-Bit-Audio Videodateien Zeichensätze vieler nicht englischer Sprachen MIME definiert verschiedene Möglichkeiten zur Codierung der Nicht-ASCII-Formate, so dass sie durch Zeichen des 7-Bit-ASCII-Zeichensatzes dargestellt werden können. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 151

152 3 Übersicht über -Funktionen -Richtlinien MIME definiert auch separate -Header, die weitere Informationen enthalten: Die verwendete MIME-Version. Inhaltstyp der MIME-Nachricht. Typ der verwendeten Codierungsmethode. Inhaltsteil-ID für Multi-Part-MIME-Nachrichten. Die resultierende MIME-Nachricht kann nach der Übertragung "decodiert" oder "neu codiert" werden. Man spricht von einer "Neucodierung", da die MIME-Nachrichten in einen anderen Zeichensatz als die ursprüngliche Nachricht umgewandelt werden können. Inhaltsverarbeitungseinstellungen -en Zeichensätze Verwenden Sie diese Seite, um einen oder mehrere alternative Zeichensätze anzugeben, die bei Problemen mit dem Decodieren von -Nachrichten im gegebenen Zeichensatz verwendet werden können. -Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung -en Sie können eine feste Zuordnung auswählen (stets den alternativen Zeichensatz verwenden) oder bestimmen, dass eine Liste mit Alternativen nur dann verwendet werden soll, wenn die Decodierung. Tabelle 3-66 sbeschreibungen Zeichensätze Fest Alternativen Gibt den ursprünglich in der -Nachricht festgelegten Zeichensatz an. Bei Auswahl dieser können Sie einen alternativen Zeichensatz auswählen. Falls diese deaktiviert ist, steht eine beliebige Auswahl zur Verfügung. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strg- oder Umschalttaste gedrückt. Gibt die alternativen Zeichensatzcodierungen an. Inhaltsverarbeitungseinstellungen HTML-en Verwenden Sie diese Seite, um anzugeben, wie die Appliance bestimmte in HTML-Daten eingebettete Elemente und Komponenten verarbeitet. -Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung HTML-en Web Web-Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung HTML-en 152 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

153 Übersicht über -Funktionen -Richtlinien 3 Tabelle 4-67 sbeschreibungen Script-Elemente bis ActiveX-Komponenten Kommentare bis Raw HTML Bei Auswahl dieser wird das Element entfernt. Bei Flash-Objekten handelt es sich um ActiveX-Objekte, weshalb Sie diese auf Wunsch beibehalten können. Bei Auswahl dieser en werden die Elemente auf unangemessenen Inhalt hin gescannt. Inhaltsverarbeitungseinstellungen Beschädigter oder unleserlicher Inhalt Beschädigter Inhalt Verwenden Sie diese Seite, um anzugeben, wie beschädigter Inhalt verarbeitet wird. -Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung Beschädigter oder unleserlicher Inhalt Web Web-Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung Beschädigter oder unleserlicher Inhalt Beschädigter Inhalt Bei Scannern und anderen Anwendungen können beim Lesen beschädigten Inhalts Schwierigkeiten auftreten. Sie können festlegen, welche Aktion ausgeführt werden soll, wenn die Appliance beschädigten Inhalt in Folgendem erkennt: -Nachrichten Archive Dokumente Tabelle 4-68 sbeschreibungen Wenn beschädigter Inhalt erkannt wird Und auch Bietet eine Hauptaktion, die bei beschädigtem Inhalt durchgeführt wird. Bietet verschiedene weitere durchzuführende Aktionen. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strgoder Umschalttaste gedrückt. Inhaltsverarbeitungseinstellungen Beschädigter oder unleserlicher Inhalt Verschlüsselter Inhalt Verwenden Sie diese Seite, um anzugeben, wie verschlüsselter Inhalt verarbeitet wird. -Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung Beschädigter oder unleserlicher Inhalt and Web Security Appliances 5.6 Patch 1 Produkthandbuch 153

154 3 Übersicht über -Funktionen -Richtlinien Sie können festlegen, welche Aktion ausgeführt werden soll, wenn die Appliance eine mit S/MIME oder PGP verschlüsselte -Nachricht scannt. Wenn verschlüsselter Inhalt in das Netzwerk durchgelassen wird, muss dieser nach dem Entschlüsseln gescannt werden. Dieser Vorgang findet in der Regel auf den Computern der Benutzer statt. Alternativ dazu können Sie den verschlüsselten Inhalt zur Entschlüsselung an ein anderes Gerät umleiten. Tabelle 3-69 sbeschreibungen Wenn verschlüsselter Inhalt erkannt wird Und auch Bietet eine Hauptaktion, die durchgeführt werden soll. Bietet verschiedene weitere durchzuführende Aktionen. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strg- oder Umschalttaste gedrückt. Inhaltsverarbeitungseinstellungen Beschädigter oder unleserlicher Inhalt Geschützte Dateien Mithilfe dieser Seite können Sie angeben, welche Aktion bei Dateien durchgeführt werden soll, die in beliebiger Weise geschützt sind. -Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung Geschützte Dateien Web Web-Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung Beschädigter oder unleserlicher Inhalt Geschützte Dateien Sie können festlegen, welche Aktion ausgeführt werden soll, wenn die Appliance einen -Anhang (Archiv oder Dokument) oder eine Datei, die von einer Website angefordert wird, aufgrund eines Kennwortschutzes nicht scannen kann. Wenn der Inhalt durch ein Kennwort geschützt ist, kann die Appliance die Inhalte nicht prüfen, da sie verschlüsselt sind. Wenn Sie auswählen, dass solche Dateien in Ihrem Netzwerk zulässig sind, müssen Sie sicherstellen, dass ihre Inhalte später von einem Zugriffsscanner auf sämtliche Bedrohungen hin gescannt werden können. Tabelle 4-70 sbeschreibungen Wenn ein lesegeschütztes Dokument erkannt wird Wenn eine kennwortgeschützte Archivdatei erkannt wird Standardwarnung verwenden Und auch Bietet eine Hauptaktion, die durchgeführt werden soll. Die Aktion, die lesegeschützten Dokumenten zugeordnet ist, wird nur ausgelöst, wenn Compliance-Scans aktiviert sind und der Inhalt des Dokuments nicht extrahiert werden kann. Bietet eine Hauptaktion, die durchgeführt werden soll. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Bietet verschiedene weitere durchzuführende Aktionen. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strgoder Umschalttaste gedrückt and Web Security Appliances 5.6 Patch 1 Produkthandbuch

155 Übersicht über -Funktionen -Richtlinien 3 Inhaltsverarbeitungseinstellungen Beschädigter oder unleserlicher Inhalt Partielle/externe Nachrichten Verwenden Sie diese Seite, um die Aktion anzugeben, die bei zwei Nachrichtentypen durchgeführt werden soll, bei denen bei Scans Probleme auftreten können. -Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung Beschädigter oder unleserlicher Inhalt Partielle Nachrichten: Wenn Nachrichten für den Versand in mehrere getrennte -Nachrichten in kleinere Teile aufgeteilt werden, werden diese Teile "partielle Nachrichten" genannt. Nachricht mit externem Text: Die Nachricht enthält einen Verweis auf eine externe Ressource sowie das Schema (für gewöhnlich FTP), das diese Ressource abruft. Tabelle 3-71 sbeschreibungen Wenn der Typ "message/partial" erkannt wird oder Wenn der Typ "message/ external-body" erkannt wird Und auch Standardwarnung verwenden Bietet eine Hauptaktion, die durchgeführt werden soll. Bietet verschiedene weitere durchzuführende Aktionen. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strg- oder Umschalttaste gedrückt. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Inhaltsverarbeitungseinstellungen Beschädigter oder unleserlicher Inhalt Signierte Nachrichten Verwenden Sie diese Seite, um anzugeben, wie Inhalt verarbeitet werden soll, der digital signiert ist. -Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung Beschädigter oder unleserlicher Inhalt Sie können festlegen, welche Aktion ausgeführt werden soll, wenn die Appliance eine mit S/MIME oder PGP signierte -Nachricht scannt, beispielsweise, ob Sie zulassen, dass die Appliance Änderungen an einer signierten vornimmt. Tabelle 3-72 sbeschreibungen Wenn eine signierte Nachricht erkannt wird Und auch Bietet eine Hauptaktion, die durchgeführt werden soll. Bietet verschiedene weitere durchzuführende Aktionen. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strg- oder Umschalttaste gedrückt. Signierte -Nachrichten werden nur dann isoliert, wenn ein Virus oder gesperrter Inhalt in der Nachricht erkannt wird. Signierte -Nachrichten werden nicht alleine dadurch isoliert, dass die Appliance erkennt, dass die Nachricht eine digitale Signatur aufweist. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 155

156 3 Übersicht über -Funktionen -Richtlinien Warnungseinstellungen Verwenden Sie diese Seite, um das Format und Erscheinungsbild der Warnmeldung zu bestimmen, die die Benutzer bei Ermittlung von Bedrohungen durch die Appliance empfangen. -Richtlinien Scan-Richtlinien [Scanner-en] Warneinstellungen Web Web-Richtlinien Scan-Richtlinien [Scanner-en] Warneinstellungen Vorteile der Konfiguration von Warnungseinstellungen Die Seite Warnungseinstellungen ermöglicht Ihnen, zusätzlichen Text (Kopf- und Fußzeile) zu konfigurieren, der vor bzw. nach dem Warnungstext angezeigt wird. Sie können beispielsweise den Namen bzw. das Logo Ihres Unternehmens, einen rechtlichen Hinweis oder Kontaktinformationen angeben. Unter Umständen benötigen Sie mehrere Warnungseinstellungen für verschiedene Gruppen im Netzwerk. Tabelle 3-73 sbeschreibungen Warnungsformat Header-Text Anzeigen Fußzeilentext Anzeigen Auf Standardwerte zurücksetzen Zeichencodierung Bietet eine Auswahl an Formaten. Gibt den Text für den Anfang jeder Warnmeldung an. Zeigt den Header-Text als HTML-Quelle (mit Tags, z. B. "<p>") bzw. so an, wie er den Benutzern angezeigt wird (WYSIWYG). Diese steht bei Warnungen im Textformat nicht zur Verfügung. Gibt den Text für das Ende jeder Warnmeldung an. Zeigt den Footer-Text als HTML-Quelle (mit Tags, z. B. "<p>") bzw. so an, wie er den Benutzern angezeigt wird (WYSIWYG). Diese steht bei Warnungen im Textformat nicht zur Verfügung. Durch Klicken wird der ursprüngliche Text der Warnung angezeigt. Bietet eine Auswahl an Codierungen für den Warnungstext. Numerische Zeichenreferenzen Ermöglicht die Verwendung von Sonderzeichen für Warnungen im HTML-Format. BIG-5 bis UTF-8 Ermöglicht Zeichencodierung für reine Textformate. Der Standardwert lautet "UTF-8". Warnungs-Dateiname Gibt den Namen der Datei an, die die Warnung enthält. Beim Standardwert handelt es sich um "warning.htm" bzw. "warning.txt". Einstellungen für Benachrichtigung und Routing Benachrichtigungs- s Verwenden Sie diese Seite, um die -Adressen für Nachrichten der Appliance an Benutzer und Administratoren anzugeben. -Richtlinien Scanner-en Benachrichtigung und Routing Benachrichtigungs- s 156 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

157 Übersicht über -Funktionen -Richtlinien 3 Web Web-Richtlinien Scanner-en Benachrichtigung und Routing Die Appliance kann beispielsweise eine Benachrichtigungs- versenden, wenn eine Bedrohung in einer -Nachricht erkannt wird oder eine Nachricht nicht zugestellt werden kann. Das Ändern dieser Einstellungen kann sich auf die Leistung beim Scannen auswirken. Wenden Sie sich an Ihren Netzwerkexperten, wenn Sie sich bzgl. der Auswirkungen beim Vornehmen von Änderungen nicht sicher sind. Tabelle 3-74 sbeschreibungen Benachrichtigung und kommentierte s Fehlgeschlagene Zustellung Weitergeleitete s Betreffzeile Anhangsname Warnungstext bearbeiten Nachrichtentext für kommentierte s Gibt die Absenderadresse an, die die Appliance beim Senden einer Antwort an den Absender einer verwendet, die eine Bedrohung enthält. Gibt die Absenderadresse an, die die Appliance beim Senden einer Antwort an den Absender einer verwendet, die nicht zugestellt werden kann. Wenn die Appliance die ursprüngliche , eine geänderte oder eine Audit-Kopie sendet, gibt diese die Von-Adresse an entweder den ursprünglichen Absender oder die unter Benachrichtigung und kommentierte s angegebene Adresse. Gibt beim Senden einer Benachrichtigung den Text der Betreffzeile an. Beim Standardtext handelt es sich um "HINWEIS". Gibt beim Senden einer Benachrichtigung den Namen des Anhangs an. Der Standardwert lautet MWS_Alert.htm. Durch Klicken auf diese wird ein weiteres Fenster geöffnet, in dem Sie den Warnungstext ändern können. Gibt den Typ des Warnungstextes an, der in eine kommentierte eingefügt werden soll, die an einen Administrator gesendet wird. Eine Ersatzwarnung beschreibt die Erkennung kurz. Eine Benachrichtigungswarnung bietet zusätzliche "Umschlagsinformationen", wie die Zeit der Erkennung und die Bedrohungsquelle. Einstellungen für Benachrichtigung und Routing Prüfkopien Mithilfe dieser Seite können Sie festlegen, dass von jeder versendeten eine Kopie gespeichert werden muss. -Richtlinien Scanner-en Benachrichtigung und Routing Audit-Kopien Wählen Sie diese Funktion aus, wenn Ihre Organisation alle s zu Prüfzwecken aufzeichnen muss. Tabelle 3-75 sbeschreibungen Absenderadresse und Absenderadresse der ursprünglichen verwenden Empfängeradresse Um den Namen des ursprünglichen Absenders beizubehalten, wählen Sie das Kontrollkästchen aus. Falls der Absendername nicht relevant ist, können Sie eine alternative Adresse eingeben. Gibt die Adresse an, an die die Appliance die Audit-Kopie sendet. Die Appliance ändert nicht den Inhalt der ursprünglichen -Nachricht. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 157

158 3 Übersicht über -Funktionen -Richtlinien Einstellungen für Benachrichtigung und Routing Routing Mithilfe dieser Seite können Sie ein Gerät auswählen, an das die Appliance s umleiten kann. -Richtlinien Scanner-en Benachrichtigung und Routing Routing Tabelle 3-76 sbeschreibungen s an einen alternativen SMTP-Relay weiterleiten Relay-Liste verwalten Wählt das Relay aus der Liste auf der Seite SMTP-Relays aus. Wenn Sie hierauf klicken, wird ein Fenster geöffnet, in dem Sie eine Liste mit SMTP-Relays erstellen können. Einstellungen für Benachrichtigung und Routing SMTP-Relays Verwenden Sie diese Seite, um eine Liste mit alternativen Relays für umgeleitete s zu erstellen. -Richtlinien Scanner-en Benachrichtigung und Routing SMTP-Relays Tabelle 3-77 sbeschreibungen Relay-Liste Gibt die Relays an. Um die Liste zu bearbeiten, klicken Sie auf den blauen Link, um das Fenster Liste bearbeiten zu öffnen. Einstellungen für Benachrichtigung und Routing -Empfänger Mithilfe dieser Seite können Sie eine Liste mit Empfängern der s erstellen, die die Appliance automatisch generiert. -Richtlinien Scanner-en Benachrichtigung und Routing -Empfänger Beispielsweise können Sie Listen mit -Adressen für Verwaltung und Auditing erstellen. Die Listen werden von verschiedenen Seiten in der Benutzeroberfläche verwendet, z. B.: -Richtlinien Scan-Richtlinien [Scanner-en] Benachrichtigung und Routing Prüfkopien Tabelle 3-78 sbeschreibungen -Liste Gibt den Namen der Liste an. Um die Liste zu bearbeiten, klicken Sie auf den blauen Link, um das Fenster Liste bearbeiten zu öffnen. Einstellungen für McAfee Global Threat Intelligence-Feedback (GTI) Mithilfe dieser Seite können Sie Feedback zur Virenerkennung und Nutzerstatistiken Ihres Produkts an McAfee senden. -Richtlinien Scan-Richtlinien Scanner-en McAfee GTI-Feedback 158 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

159 Übersicht über -Funktionen -Richtlinien 3 System Setup-Assistent Vorteile der Verwendung von McAfee Global Threat Intelligence-Feedback (GTI) McAfee analysiert die Daten über Produkterkennungen und -warnmeldungen, Bedrohungsdetails und Nutzerstatistiken von einem vielschichtigen Kundenstamm, um wirksam gegen elektronische Angriffe vorzugehen, anfällige Systeme zu schützen und Internetkriminalität abzuwehren. Durch Ihre Teilnahme am Feedback-Dienst helfen Sie uns dabei, McAfee Global Threat Intelligence zu verbessern, sodass Ihre McAfee-Produkte effektiver arbeiten, und unterstützen unsere Zusammenarbeit mit Strafverfolgungsbehörden im Hinblick auf die Bekämpfung elektronischer Bedrohungen. McAfee Global Threat Intelligence protokolliert den gesamten Bedrohungsverlauf, um vorausschauende Sicherheit zum Schutz vor den neuesten Schwachstellen zu bieten, Compliance mit gesetzlichen und internen Auflagen sicherzustellen und die Kosten für die Schadensbeseitigung zu senken. Global Threat Intelligence wurde von McAfee Labs erstellt und optimiert, um Sicherheitsfunktionen auf einem neuen Niveau zu bieten. Global Threat Intelligence erstreckt sich über das gesamte Internet und nutzt Millionen von Sensoren, um Echtzeit-Analysen von Host-IP-Adressen, Internetdomänen, spezifischen URL-Adressen, Dateien, Bildern und s effektiv zu erfassen. Es werden neue und bevorstehende Bedrohungen aufgespürt, beispielsweise Malware-Ausbrüche, Zero-Day-Angriffe und bösartige Zombie-Angriffe, durch die Spam und Web-Angriffe generiert werden. Das Team von McAfee Labs besteht aus mehr als 350 Mitarbeitern in 30 Ländern und hat es sich zur Aufgabe gemacht, durch Protokollierung und Analyse der neuesten Bedrohungen stets die aktuellsten Sicherheitsinformationen bereitzustellen. Global Threat Intelligence in Echtzeit bildet die Basis für die bahnbrechenden Technologien zur Bedrohungsabwehr von McAfee, wie beispielsweise der Datei- und -Reputation, die kontinuierlich abgestimmten Schutz vor Bedrohungen durch die Produkte für die Endpunkt- und Netzwerksicherheit von McAfee bereitstellt. Alle gesammelten persönlichen Daten unterliegen den Datenschutzbestimmungen von McAfee. Tabelle 3-79 sbeschreibungen Bedrohungs-Feedback aktivieren Wählen Sie diese, damit Ihre Appliance Informationen zu erkannten Bedrohungen, Warnungen, Bedrohungsdetails und Nutzerstatistiken an McAfee senden kann. Dies trägt dazu bei, die Erkennungsraten der McAfee-Produkte zu optimieren. Vorgehensweise Aktivieren von GTI-Feedback nur für Richtlinien für ausgehende s 1 Navigieren Sie zu -Richtlinien Scan-Richtlinien Scanner-en. 2 Wählen Sie in der Spalte Scanner-en der relevanten Richtlinie für ausgehenden Datenverkehr die McAfee GTI-Feedback. 3 Wählen Sie Bedrohungs-Feedback aktivieren. 4 Klicken Sie auf OK, um die Änderungen zu übernehmen. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 159

160 3 Übersicht über -Funktionen -Richtlinien Vorgehensweise Aktivieren von GTI-Feedback bei einer neuen Installation GTI-Feedback kann im Setup-Assistenten wie folgt aktiviert werden: 1 Navigieren Sie zu System Setup-Assistent 2. Datenverkehr. 2 Wählen Sie Bedrohungs-Feedback aktivieren, und fahren Sie mit dem Assistenten fort. Vorgehensweise Deaktivieren des Warnhinweises "GTI-Feedback deaktiviert" Die Appliance zeigt standardmäßig eine Warnmeldung an, wenn das GTI-Feedback nicht aktiviert ist, da es von McAfee als bewährte Vorgehensweise angesehen wird, das Feedback zu aktivieren. 1 Wählen Sie im Appliance-Dashboard im Bereich "Systemstatus" die Bearbeiten aus. 2 Deaktivieren Sie "Einen Warnhinweis anzeigen, wenn McAfee GTI-Feedback nicht aktiviert ist". 3 Klicken Sie auf OK. Wörterbücher Auf dieser Seite können Sie Compliance-Wörterbücher anzeigen und bearbeiten. -Richtlinien Wörterbücher Web Web-Richtlinien Wörterbücher Die Wörterbücher enthalten Wörter und Ausdrücke, von denen sich einige Leser möglicherweise beleidigt fühlen. Vorteile der Verwendung von Compliance-Wörterbüchern Verwenden Sie Compliance-Scans zur Unterstützung der Compliance mit gesetzlichen und betrieblichen Auflagen. Sie können aus einer Bibliothek aus vordefinierten Compliance-Regeln wählen oder eigene Regeln und Wörterbücher für Ihr Unternehmen erstellen. Compliance-Regeln können hinsichtlich ihrer Komplexität von einem einfachen Auslöser bei der Erkennung eines einzelnen Begriffs in einem Wörterbuch bis hin zum Aufbauen auf und Kombinieren von faktorbasierten Wörterbüchern variieren, die nur auslösen, wenn ein bestimmter Schwellenwert erreicht wird. Mithilfe der erweiterten Funktionen von Compliance-Regeln können Wörterbücher mit den logischen Operationen "eines von", "alle von" oder "außer" kombiniert werden. Informationen zur Verwendung von Wörterbüchern finden Sie unter "Compliance-Einstellungen" and Web Security Appliances 5.6 Patch 1 Produkthandbuch

161 Übersicht über -Funktionen -Richtlinien 3 sbeschreibungen Wörterbuchliste Sprache Filtert die Wörterbücher nach dem Gebietsschema. Durch die Auswahl einer Sprache werden alle in der Sprache verfügbaren Wörterbücher und alle sprachneutralen Wörterbücher ausgewählt. Wörterbuch Kategorie Verwendet von Bearbeiten Löschen Wörterbuch hinzufügen Wörterbücher importieren Wörterbücher exportieren Zeigt den Namen des Wörterbuchs und ein Symbol zu dessen Typenidentifikation an: Rotes Buch: Nicht faktorbasiert Blaues Buch: Faktorbasiert Grünes Buch: Benutzerdefiniert Offenes Buch: Derzeit ausgewähltes Element Wörterbücher werden in verwandte Kategorien unterteilt. So gehören beispielsweise "Obszönitäten" und "Sex" zur Kategorie Zulässige Nutzung. Zeigt die Anzahl an Richtlinien an, die das Wörterbuch verwenden. Durch Klicken auf das Symbol wird ein Fenster geöffnet, in dem Sie den Wörterbuchnamen und die ändern können. Durch Klicken auf das Symbol wird das Wörterbuch in dieser Zeile entfernt. Durch Klicken auf diese wird ein neues Wörterbuch hinzugefügt. Geben Sie einen Namen und eine für das Wörterbuch ein, und wählen Sie aus, ob bei diesem Wörterbuch eine Übereinstimmung mithilfe von regulären Ausdrücken oder einfachen Zeichenfolgen ermittelt werden soll. Es wird eine neue Zeile für Ihr Wörterbuch unten in der Liste der Wörterbücher angezeigt. Sie können die Wörter zu einem späteren Zeitpunkt zu einem neuen Wörterbuch hinzufügen. Wenn Sie darauf klicken, wird eine Datei importiert, die Ihre bestehenden Wörterbücher ersetzt. Wenn Sie auf diese klicken, werden die Wörterbücher als XML-Datei exportiert. Sie können die Datei an andere Appliances senden und so sicherstellen, dass Inhalts-Scans konsistent durchgeführt werden. Liste der Begriffe für das ausgewählte Wörterbuch Klicken Sie auf eine Zeile in der Wörterbuchliste, um den Inhalt des entsprechenden Wörterbuchs anzuzeigen. Tabelle 4-80 sbeschreibungen Öffnet das Fenster Einen Begriff suchen, in dem Sie Text eingeben können, um nach den Begriffen im derzeit ausgewählten Wörterbuch zu suchen. Sie können hier einen regulären Ausdruck in der Syntax von Boost Perl eingeben. Bei regulären Ausdrücken wird die Groß-/Kleinschreibung berücksichtigt. Wenn ein Muster die Groß-/Kleinschreibung nicht beachten sollen, beginnen Sie es mit (?I). Kopiert die aufgelisteten Begriffe im ausgewählten Wörterbuch. Fügt die kopierten Begriffe in das ausgewählte Wörterbuch ein. Öffnet ein Fenster, in dem Sie die für das derzeit ausgewählte Wörterbuch ändern können. Sie können den Namen der von McAfee zur Verfügung gestellten Wörterbücher nicht ändern. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 161

162 3 Übersicht über -Funktionen -Richtlinien Tabelle 4-80 sbeschreibungen (Fortsetzung) Bedingungen (OR) Löscht den ausgewählten Begriff. Bei Wörterbüchern, die nicht faktorbasiert sind, können Sie Begriffslisten anzeigen, die mithilfe des logischen Operators "OR" kombiniert werden. Das Wörterbuch wird ausgelöst, wenn eine der Begriffslisten ausgelöst wird. Einzelne Begriffslisten können für verschiedene Kontexte gelten. Eine Begriffsliste könnte beispielsweise im Nachrichtentext nach Begriffen suchen und eine andere in der Betreffzeile. Begriffslisten Bei Wörterbüchern, die faktorbasiert sind, können Sie die einzelnen Begriffslisten im ausgewählten Wörterbuch anzeigen. Einzelne Begriffslisten können für verschiedene Kontexte gelten. Eine Begriffsliste könnte beispielsweise im Nachrichtentext nach Begriffen suchen und eine andere in der Betreffzeile. Bezieht sich auf Begriff Klicken Sie auf den Link, um die Kategorie und die Unterkategorie anzugeben, anhand derer nach den Begriffen gesucht wird, beispielsweise eine Suche nach Begriffen in der Betreffzeile einer -Nachricht. Zeigt das auslösende Wort bzw. den auslösenden Ausdruck an. Das Symbol vor dem Begriff gibt an, ob er ein regulärer Ausdruck, eine einfache Zeichenfolge oder ein komplexer Begriff ist. Bewegen Sie den Mauszeiger auf das Symbol, damit der Begriffstyp angezeigt wird. Wert Groß-/ Kleinschreibung beachten Platzhalter Beginnt mit Endet mit Zeigt den dem Begriff zugeordneten Faktor an. Sie können das Wörterbuch faktorbasiert machen, indem Sie auf Hinzufügen klicken. Weitere Informationen zur Verwendung von Schwellenwerten und Werten finden Sie in den Vorgehensweisen unter "Compliance-Einstellungen". Bei Auswahl dieser reagiert die Appliance nur auf Text, der dem Begriff in Groß- und Kleinschreibung genau entspricht. Beispiel: Falls es sich beim Begriff um Abc handelt, reagiert die Appliance auf das Wort Abc. Die Schreibweisen abc oder ABC werden von der Appliance hingegen ignoriert. Wenn diese ausgewählt ist, wird die Verwendung von "?" und "*" in dem Begriff zur Darstellung von unbekannten einzelnen Zeichen oder mehreren Zeichen zugelassen. Beispiel: Falls es sich beim Begriff um ab? handelt, reagiert die Appliance auf das Wort abc oder abd. Falls es sich beim Begriff um ab*f handelt, reagiert die Appliance auf das Wort abcdef oder abcf. Bei Auswahl dieser stimmt der Begriff überein, wenn er am Anfang eines Worts steht. Beispiel: Falls es sich beim Begriff um bc handelt, reagiert die Appliance auf die Wörter bc, bcd oder bcdef. Die Wörter abc oder abcd werden von der Appliance hingegen ignoriert. Bei Auswahl dieser stimmt der Begriff überein, wenn er am Ende eines Worts steht. Beispiel: Falls es sich beim Begriff um bc handelt, reagiert die Appliance auf die Wörter bc oder abc. Die Wörter bcd oder abcd werden von der Appliance hingegen ignoriert and Web Security Appliances 5.6 Patch 1 Produkthandbuch

163 Übersicht über -Funktionen -Richtlinien 3 Tabelle 4-80 sbeschreibungen (Fortsetzung) Bearbeiten Löschen OR-Bedingung hinzufügen Bei gleichzeitiger Verwendung von Beginnt mit und Endet mit stimmt der Begriff überein, wenn er als ganzes Wort auftritt. Beispiel: Falls es sich beim Begriff um bc handelt, reagiert die Appliance auf das Wort bc. Die Wörter bcd oder abc werden von der Appliance hingegen ignoriert. Wenn Sie auf dieses Symbol klicken, wird ein Fenster geöffnet, das Ihnen ermöglicht, die grundlegenden Begriffseigenschaften zu ändern oder einen komplexen Begriff zu erstellen. Begriffdetails Bearbeiten Sie die grundlegenden Begriffseigenschaften, darunter den Text, nach dem Sie suchen, sowie die oben definierten Einstellungen für "Groß-/ Kleinschreibung beachten", "Platzhalter", "Beginnt mit" und "Endet mit". Kontextübereinstimmung (erweitert) Legen Sie Auslöser für Begriffe basierend auf der Nähe zu anderen Begriffen fest. Klicken Sie zum Festlegen dieser Details auf Wort oder Ausdruck hinzufügen: Angezeigte Zeichenfolge Legt den Anzeigenamen für den Begriff in der Liste der Wörterbuchbegriffe fest. Übereinstimmung basierend auf Nähe aktivieren Aktiviert oder deaktiviert Auslöser basierend auf der Nähe. Bedingung Geben Sie die Bedingungen an, unter denen der Begriff ausgelöst werden soll. In einem Block Legen Sie fest, in welcher Nähe zueinander die Begriffe gefunden werden müssen. Wort oder Ausdruck Die Liste der Begriffe. Entfernt den Begriff aus dem Wörterbuch. Klicken Sie bei nicht faktorbasierten Wörterbüchern auf diese, um neue Listen, die mit dem logischen Operator "OR" kombiniert werden, mit den folgenden Einstellungen hinzuzufügen: Name Der Name, den Sie der Begriffsliste geben möchten. Eine eindeutige für die Liste. Übereinstimmungstyp Geben Sie an, ob die Liste reguläre Ausdrücke oder einfache Zeichenfolgen enthält. Bezieht sich auf Klicken Sie auf den Link, um die Kategorie und die Unterkategorie anzugeben, anhand derer nach den Begriffen gesucht wird, beispielsweise eine Suche nach Begriffen in der Betreffzeile einer -Nachricht. Begriff Geben Sie den ersten Begriff in der Liste an. Das Wörterbuch wird ausgelöst, wenn eine der Begriffslisten ausgelöst wird. Einzelne Begriffslisten können für verschiedene Kontexte gelten. Eine Begriffsliste könnte beispielsweise im Nachrichtentext nach Begriffen suchen und eine andere in der Betreffzeile. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 163

164 3 Übersicht über -Funktionen -Richtlinien Tabelle 4-80 sbeschreibungen (Fortsetzung) AND-Bedingung hinzufügen Klicken Sie bei nicht faktorbasierten Wörterbüchern auf diese, um neue Listen, die mit dem logischen Operator "AND" kombiniert werden, mit den folgenden Einstellungen hinzuzufügen: Übereinstimmungstyp Geben Sie an, ob die Liste reguläre Ausdrücke oder einfache Zeichenfolgen enthält. Bezieht sich auf Klicken Sie auf den Link, um die Kategorie und die Unterkategorie anzugeben, anhand derer nach den Begriffen gesucht wird, beispielsweise eine Suche nach Begriffen in der Betreffzeile einer -Nachricht. Begriff Geben Sie den ersten Begriff in der Liste an. Das Wörterbuch wird ausgelöst, wenn alle Bedingungen ausgelöst werden. Einzelne Begriffslisten können für verschiedene Kontexte gelten. Eine Begriffsliste könnte beispielsweise im Nachrichtentext nach Begriffen suchen und eine andere in der Betreffzeile and Web Security Appliances 5.6 Patch 1 Produkthandbuch

165 Übersicht über -Funktionen -Richtlinien 3 Tabelle 4-80 sbeschreibungen (Fortsetzung) Begriffsliste hinzufügen Klicken Sie bei faktorbasierten Wörterbüchern auf diese, um mit den folgenden Einstellungen eine Begriffsliste im ausgewählten Wörterbuch hinzuzufügen: Name Der Name, den Sie der Begriffsliste geben möchten. Eine eindeutige für die Liste. Übereinstimmungstyp Geben Sie an, ob die Liste reguläre Ausdrücke oder einfache Zeichenfolgen enthält. Bezieht sich auf Klicken Sie auf den Link, um die Kategorie und die Unterkategorie anzugeben, anhand derer nach den Begriffen gesucht wird, beispielsweise eine Suche nach Begriffen in der Betreffzeile einer -Nachricht. Begriff Geben Sie den ersten Begriff in der Liste an. Einzelne Begriffslisten können für verschiedene Kontexte gelten. Eine Begriffsliste könnte beispielsweise im Nachrichtentext nach Begriffen suchen und eine andere in der Betreffzeile. Begriff einfügen Durch Klicken auf diese wird ein Fenster geöffnet, in dem Sie mit den folgenden Einstellungen einen neuen Begriff hinzufügen können: Begriffdetails Geben Sie die grundlegenden Begriffseigenschaften an, darunter den Text, nach dem Sie suchen, sowie die oben definierten Einstellungen für "Groß-/ Kleinschreibung beachten", "Platzhalter", "Beginnt mit" und "Endet mit". Kontextübereinstimmung (erweitert) Legen Sie Auslöser für Begriffe basierend auf der Nähe zu anderen Begriffen fest. Klicken Sie zum Festlegen dieser Details auf Wort oder Ausdruck hinzufügen: Angezeigte Zeichenfolge Legen Sie den Anzeigenamen für den Begriff in der Liste der Wörterbuchbegriffe fest. Übereinstimmung basierend auf Nähe aktivieren Aktiviert oder deaktiviert Auslöser basierend auf der Nähe. Bedingung Geben Sie die Bedingungen an, unter denen der Begriff ausgelöst werden soll. In einem Block Legen Sie fest, in welcher Nähe zueinander die Begriffe gefunden werden müssen. Wort oder Ausdruck Die Liste der Begriffe. Bei dieser Funktion wird angenommen, dass Sie ein Wörterbuch und eines seiner Elemente ausgewählt haben. Wenn Sie im Fenster Begriffdetails auf OK klicken, fügt die Appliance den Begriff neben dem ausgewählten Begriff zum Wörterbuch hinzu. Beide Begriffe weisen dieselbe Bedingung auf. Einführung in reguläre Ausdrücke Zeichen stimmen mit sich selbst überein, mit Ausnahme der folgenden Metazeichen:.[{()\*+? ^$. stimmt mit einem beliebigen Zeichen überein \. stimmt mit dem Zeichen "." überein and Web Security Appliances 5.6 Patch 1 Produkthandbuch 165

166 3 Übersicht über -Funktionen -Richtlinien \\ stimmt mit dem Zeichen "\" überein (Zeichenfolge1 Zeichenfolge2) stimmt sowohl mit Zeichenfolge1 als auch mit Zeichenfolge2 überein Für Anker ist es erforderlich, dass ein Ausdruck an einer bestimmten Stelle in einer Zeichenfolge gefunden wird. Sie stimmen selbst jedoch nicht mit Zeichen überein (Assertion mit der Länge null) \b stimmt mit einer Wortgrenze überein (Anfang oder Ende eines Worts) ^ stimmt mit dem Anfang einer Zeile überein $ stimmt mit dem Ende einer Zeile überein Zeichenklassen stimmen mit einem bestimmten Zeichentyp überein \s stimmt mit einem beliebigen Leerraumzeichen überein \w stimmt mit einem beliebigen Wortzeichen überein (a-z, A-Z, 0-9 und "_") \d stimmt mit einer beliebigen Ziffer überein [abc] stimmt mit genau einem der Zeichen a, b oder c überein Quantifizierer betreffen den voranstehenden Ausdruck: * stimmt mit 0 oder mehr Vorkommen des voranstehenden Ausdrucks überein + stimmt mit 1 oder mehr Vorkommen des voranstehenden Ausdrucks überein Beispiel: ^aa stimmt mit Zeilen überein, die mit aa beginnen bb$ stimmt mit Zeilen überein, die mit bb enden cc stimmt mit ccd, acc und accd überein ab*c stimmt mit ac, abc und abbc überein a\d+b stimmt mit a2b und a23456b überein, aber nicht mit ab a.c stimmt mit abc überein, aber nicht mit ac oder abbc a.*c stimmt mit ac, abc und adefghb überein a[bcd]e stimmt mit abe, ace und ade überein, aber nicht mit abcde "Zeit zum (Mittag Abend)essen" stimmt mit "Zeit zum Mittagessen" und "Zeit zum Abendessen" überein Vorgehensweise Hinzufügen eines neuen Wörterbuchs 1 Navigieren Sie zu -Richtlinien Wörterbücher. 2 Klicken Sie auf Wörterbuch hinzufügen, und geben Sie die Details für das Wörterbuch an: Geben Sie den Namen des Wörterbuchs ein. Geben Sie optional eine an. Wählen Sie aus, ob Sie einfache Zeichenfolgen oder reguläre Ausdrücke abgleichen möchten. 3 Klicken Sie auf OK. Das Wörterbuch wird in der Wörterbuchliste ausgewählt angezeigt, und die dazugehörige Begriffsliste wird im unteren Bereich der Seite angezeigt and Web Security Appliances 5.6 Patch 1 Produkthandbuch

167 Übersicht über -Funktionen -Richtlinien 3 4 Klicken Sie auf das Symbol "Bearbeiten" neben dem Standardbegriff "Neuer Eintrag", ersetzen Sie diesen durch den Text, bei dem ausgelöst werden soll, und klicken Sie auf OK. 5 Klicken Sie auf Begriff einfügen, um neue Begriffe zum Wörterbuch hinzuzufügen. 6 Übernehmen Sie die Änderungen. Vorgehensweise Anpassen der Werte, die dem Wörterbuch "Unzufriedenheit" zugewiesen sind 1 Navigieren Sie zu -Richtlinien Wörterbücher. 2 Wählen Sie das Wörterbuch Unzufriedenheit aus. 3 Wählen Sie in der Begriffsliste den Begriff aus, den Sie anpassen möchten, und ändern Sie dessen Wert. 4 Übernehmen Sie die Änderungen. Vorgehensweise Testen der regulären Ausdrücke der Sozialversicherungsnummer 1 Navigieren Sie zu -Richtlinien Wörterbücher. 2 Wählen Sie das Wörterbuch Sozialversicherungsnummer aus. 3 Wählen Sie den ersten regulären Ausdruck aus, klicken Sie auf das Symbol "Bearbeiten", und klicken Sie anschließend auf Testen. 4 Geben Sie den Text Dies ist eine Sozialversicherungsnummer ein, und klicken Sie auf OK. Im Bereich "Übereinstimmungen" wird der Text angezeigt, der mit dem regulären Ausdruck übereinstimmt. Klicken Sie zweimal auf OK oder Abbrechen. 5 Wählen Sie den zweiten regulären Ausdruck aus, klicken Sie auf das Symbol "Bearbeiten", und klicken Sie anschließend auf Testen. 6 Geben Sie den Text Hier ist die Nummer ein, und klicken Sie auf OK. Im Bereich "Übereinstimmungen" wird der Text angezeigt, der mit dem regulären Ausdruck übereinstimmt. Klicken Sie zweimal auf OK oder Abbrechen. Vorgehensweise Testen der regulären Ausdrücke der Sozialversicherungsnummer 1 Navigieren Sie zu -Richtlinien Wörterbücher. 2 Wählen Sie das Wörterbuch Sozialversicherungsnummer aus. 3 Wählen Sie den ersten regulären Ausdruck aus, klicken Sie auf das Symbol "Bearbeiten", und klicken Sie anschließend auf Testen. 4 Geben Sie den Text Dies ist eine Sozialversicherungsnummer ein, und klicken Sie auf OK. Im Bereich "Übereinstimmungen" wird der Text angezeigt, der mit dem regulären Ausdruck übereinstimmt. Klicken Sie zweimal auf OK oder Abbrechen. 5 Wählen Sie den zweiten regulären Ausdruck aus, klicken Sie auf das Symbol "Bearbeiten", und klicken Sie anschließend auf Testen. 6 Geben Sie den Text Hier ist die Nummer ein, und klicken Sie auf OK. Im Bereich "Übereinstimmungen" wird der Text angezeigt, der mit dem regulären Ausdruck übereinstimmt. Klicken Sie zweimal auf OK oder Abbrechen. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 167

168 3 Übersicht über -Funktionen -Richtlinien Vorgehensweise Hinzufügen eines komplexen Begriffs, um das Wort "Poker" nur dann zu finden, wenn es sich in der Nähe des Wortes "Spiel" befindet 1 Navigieren Sie zu -Richtlinien Wörterbücher. 2 Erstellen Sie entweder ein neues, nicht faktorbasiertes Wörterbuch, oder wählen Sie ein vorhandenes, nicht faktorbasiertes Wörterbuch (durch ein rotes Buch gekennzeichnet) aus. 3 Klicken Sie in der Begriffsliste auf Begriff einfügen, und geben Sie Poker ein. 4 Wählen Sie Kontextübereinstimmung (erweitert) aus, und klicken Sie auf Wort oder Ausdruck hinzufügen. 5 Geben Sie Spiel ein. Geben Sie unter Angezeigte Zeichenfolge den Text Poker in der Nähe von Spiel ein. 6 Ändern Sie den Wert unter In einem Block in Klicken Sie auf OK, um die Änderungen zu übernehmen. Wörterbuchdetails In diesem Dialogfeld können Sie Details zu einer Wörterbuchliste eingeben oder ändern. -Richtlinien Wörterbücher -Wörterbuchliste Wörterbuch hinzufügen Web Web-Richtlinien Wörterbücher Web-Wörterbuchliste Wörterbuch hinzufügen Tabelle 4-81 sbeschreibungen Name Sprache Übereinstimmungstyp Geben Sie einen Namen zur Identifikation der Wörterbuchliste ein. Fügen Sie eine für die Wörterbuchliste hinzu, sofern erforderlich. Definieren Sie die Sprache für den Inhalt der Liste. Wählen Sie aus, wie die Appliance Begriffe aus dem Wörterbuch abgleicht. Bedingung: Verwenden Sie dieses Dialogfeld, um neue Begriffe in ein Wörterbuch einzugeben. -Richtlinien Wörterbücher Wörterbuch Bedingung hinzufügen Web Web-Richtlinien Wörterbücher Wörterbuch Bedingung hinzufügen 168 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

169 Übersicht über -Funktionen -Richtlinien 3 Tabelle 4-82 sbeschreibungen Übereinstimmungstyp Bezieht sich auf Begriff Wählen Sie aus, wie die Appliance Begriffe aus dem Wörterbuch abgleicht. Wählen Sie aus, worauf sich der Begriff bezieht. Klicken Sie auf den Link, und wählen Sie eine der verfügbaren en aus. Geben Sie den Begriff ein, nach dem die Appliance suchen soll. Registrierte Dokumente Verwenden Sie diese Seite zum Registrieren der Dokumente, die in die Data Loss Prevention-Richtlinien aufgenommen werden sollen. -Richtlinien Registrierte Dokumente Vorteile von Data Loss Prevention (DLP) Sie können den Fluss kritischer Informationen beschränken, die per über die Appliance gesendet werden. Sie können beispielsweise die Übertragung eines kritischen Dokuments, wie z. B. eines Finanzberichts, blockieren, das an eine Adresse außerhalb Ihres Unternehmens gesendet werden soll. Die Erkennung erfolgt, sobald das Originaldokument als -Anhang oder als Textausschnitt aus dem Originaldokument versendet wird. Die DLP-Konfiguration erfolgt in zwei Phasen: Registrieren der Dokumente, die Sie schützen möchten (dieses Thema) Aktivieren der DLP-Richtlinie und Kontrollieren der Erkennung Kritische Dokumente können hochgeladen werden, deren Inhalt dann in einen Signaturensatz umgewandelt wird, der den ursprünglichen Inhalt repräsentiert. Beachten Sie, dass nur die Signaturen dauerhaft in der Appliance gespeichert werden, nicht aber der ursprüngliche Inhalt. Sobald die Richtlinie eingerichtet ist, werden diese Signaturen mit allen Inhalten verglichen, die per über die Appliance gesendet werden, um Datenverlust zu verhindern. Wenn ein Dokument von einer Data Loss Prevention-Richtlinie verwendet wird, können Sie weder das Dokument noch Kategorien löschen, denen das Dokument angehört. Die Kategorie bzw. das Dokument können erst gelöscht werden, nachdem das Dokument aus zugehörigen Richtlinien entfernt wurde. Bewegen Sie den Mauszeiger über die Spalte "Verwendet von", um die Richtlinien anzuzeigen, die die Kategorie oder das Dokument verwenden. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 169

170 3 Übersicht über -Funktionen -Richtlinien Tabelle 3-83 sbeschreibungen: DLP-registrierte Dokumente Kategorien Gruppe mit registrierten Dokumenten. Enthält standardmäßig die Kategorie Ausgeschlossener Inhalt. Ausgeschlossener Inhalt ist eine Systemkategorie für hochgeladenen Standardtext (feste Textbausteine) und Vorlagen des Unternehmens, die von der Appliance bei Data Loss Prevention-Prüfungen ignoriert werden sollen. Dokumente in der Kategorie Ausgeschlossener Inhalt verfügen über eine größere Anzahl von Signaturen als diejenigen in anderen Kategorien. Ein Dokument in der Kategorie Ausgeschlossener Inhalt kann in andere Kategorien kopiert werden, behält aber seine größere Anzahl von Signaturen bei. Status zeigt die beiden möglichen Statuswerte mit den entsprechenden Tooltipps an: Die Kategorie wurde geändert (umbenannt) Dokumente wurden zur Kategorie hinzugefügt oder aus dieser entfernt gibt an, dass die Kategorie neu und in der Data Loss Prevention-Datenbank nicht vorhanden ist. Dieser Status wird ausgeblendet, sobald die Konfiguration angewendet wird. gibt an, dass alles in Ordnung ist. Verwendet von Dokumente Hinzufügen Auswahl löschen Zeigt die Anzahl der DLP-Richtlinien an, die diese Kategorie verwenden. Zeigt die Anzahl der Dokumente an, für die diese Inhaltskategorie gilt. Erstellt eine Inhaltskategorie. Klicken Sie hier, damit keine Kategorie ausgewählt ist. Tabelle 3-84 sbeschreibungen Dokumente Ausgewählte Dokumente in eine andere Kategorie kopieren. Bei Auswahl dieser wird die Suchfunktion geöffnet, die nach Kategorien sucht, die das Dokument nicht enthalten. Dokumente aus anderen Kategorien können nicht in die Kategorie Ausgeschlossener Inhalt kopiert werden. Sie können jedoch Dokumente aus anderen Kategorien in die Kategorie Ausgeschlossener Inhalt hochladen. Wenn Sie ein Dokument aus einer anderen Kategorie in die Kategorie Ausgeschlossener Inhalt hochladen, erhöht sich die Zahl der Signaturen des Dokuments. Die Version des Dokuments in der anderen Kategorie hat dieselbe höhere Anzahl von Signaturen wie die Version in der Kategorie Ausgeschlossener Inhalt. Dokumente nach Namen in allen Kategorien oder nur in einer ausgewählten Kategorie suchen. Klicken Sie zuerst auf Auswahl löschen, um ein Dokument in allen Kategorien auszuwählen, oder wählen Sie eine Kategorie aus, um ein Dokument nur in dieser Kategorie zu suchen. Mehrere Dokumente nach Namen löschen. Bei Auswahl dieser wird die Suchfunktion geöffnet, die in allen Kategorien oder nur in einer ausgewählten Kategorie Dokumente nach Namen sucht. Um Dokumente aus allen Kategorien zu löschen, klicken Sie zuerst auf Auswahl löschen. Wenn keine Kategorie ausgewählt ist, werden die ausgewählten Dokumente in allen Kategorien gelöscht, d. h., die Dokumente werden gänzlich aus der Datenbank für registrierte Dokumente entfernt and Web Security Appliances 5.6 Patch 1 Produkthandbuch

171 Übersicht über -Funktionen -Richtlinien 3 Tabelle 3-84 sbeschreibungen Dokumente (Fortsetzung) Dateiname Listet alle Dokumente auf, die mit der Kategorie des ausgewählten Dokuments verknüpft sind. Status gibt an, dass im Dokument ein Fehler aufgetreten ist. Den Grund hierfür können Sie dem Tooltipp entnehmen, entweder: In der Datenbank ist ein Fehler aufgetreten Beim Hochladen des Dokuments ist ein Fehler aufgetreten Beim Dokumenten-Training ist ein Fehler aufgetreten weist darauf hin, dass noch nicht übernommene Änderungen vorhanden sind. weist darauf hin, dass das Dokument neu ist. Dokumente werden beim Hochladen trainiert. weist darauf hin, dass das Dokument normal ist, entweder: Das Dokument ist unverändert. Das hochgeladene Dokument wurde erfolgreich trainiert. Übersicht Größe Ausgeschlossen von Referenziert von Signaturen Trainiert am Hochladen Eine eindeutige Kennung für eine Datei. Die Größe einer Datei. Die Anzahl der Richtlinien, bei denen diese Datei in der Ausschlussliste aufgeführt ist. Die Anzahl der Kategorien, die dieses Dokument enthalten. Die Anzahl der Signaturen, die dieses Dokument repräsentieren. Das Datum, an dem das Dokument registriert wurde. Klicken Sie hier, um die Dokumente einzeln oder alle Dokumente innerhalb eines Archivs in dieser Kategorie zu registrieren. Folgende Archivformate werden unterstützt: Zip (*.zip) Gzip (*.gz) Bzip2 (*.bz2, *.bz) Tar (*.tar) gzipped tar (*.tar.gz, *.tgz) bzipped tar (*.tar.bz2, *.tar.bz, *.tbz2, *.tbz) In der Dropdown-Liste Zeichencodierung können Sie den Zeichensatz angeben, der für Dateinamen verwendet wird. Zum Hochladen von Dateien im.txt-format empfiehlt McAfee, sie im Zeichensatz Unicode oder UTF-8 zu speichern. Vorhandenes kopieren Klicken Sie hier, um ein vorhandenes Dokument aus anderen Kategorien in die ausgewählte Kategorie zu kopieren. Bei Auswahl dieser wird die Suchfunktion geöffnet, die Dokumente sucht, die derzeit nicht mit der ausgewählten Kategorie verknüpft sind, aber in anderen Kategorien vorhanden sind. Verhalten von Dokumenten und Kategorien Manchmal ist es nicht möglich, eine Inhaltskategorie zu bearbeiten oder zu entfernen oder ein Dokument innerhalb der Kategorie zu entfernen, sodass das Symbol nicht verfügbar ist. Dies kann vorkommen, wenn die Kategorie oder das Dokument von einer Richtlinie verwendet wird oder wenn and Web Security Appliances 5.6 Patch 1 Produkthandbuch 171

172 3 Übersicht über -Funktionen -Richtlinien die Kategorie Dokumente enthält, die aufgrund einer Richtlinie ausgeschlossen sind. Bewegen Sie den Mauszeiger über das Symbol, um zu sehen, aus welchem Grund es nicht verfügbar ist. Informationen zum Bearbeiten oder Entfernen einer Kategorie oder eines Dokuments finden Sie in der folgenden Tabelle. Tooltipp-Text/Grund Das Dokument kann nicht gelöscht werden, da es aufgrund einer Richtlinie ausgeschlossen ist. Die Kategorie kann nicht bearbeitet werden, da es sich um einen Standardeintrag handelt, der nicht bearbeitet werden kann. Die Kategorie kann nicht bearbeitet/gelöscht werden, da sie von einer Richtlinie verwendet werden. Die Kategorie kann nicht bearbeitet/gelöscht werden, da Dokumente enthalten sind, die aufgrund einer Richtlinie ausgeschlossen sind. Lösung Identifizieren Sie die Richtlinie, indem Sie den Mauszeiger über den Wert in der Spalte Ausgeschlossen von bewegen und das Dokument aus den im Tooltipp aufgeführten Richtlinien entfernen. Dies ist die Standard-Ausschlussliste. Identifizieren Sie die Richtlinie, indem Sie den Mauszeiger über den Wert in der Spalte Verwendet von bewegen und das Dokument aus den im Tooltipp aufgeführten Richtlinien entfernen. 1 Wählen Sie die Kategorie aus, um die Dokumente zu laden. 2 Sortieren Sie die Dokumente in absteigender Reihenfolge, indem Sie auf den Spaltennamen klicken. 3 Bewegen Sie bei jedem Dokument, das aufgrund einer oder mehrerer Richtlinien ausgeschlossen ist, über den Wert in der Spalte Ausgeschlossen von, und entfernen Sie das Dokument aus den im Tooltipp aufgeführten Richtlinien. Vorgehensweise Registrieren eines Dokuments für die Gruppe "Finanzen" 1 Navigieren Sie zu -Richtlinien Registrierte Dokumente. 2 Klicken Sie auf Hinzufügen, und geben Sie Finanzen ein. 3 Wählen Sie die Kategorie Finanzen aus, und klicken Sie auf Hochladen. 4 Navigieren Sie zu der Datei, die Sie in der Kategorie Finanzen registrieren möchten, und klicken Sie auf OK. 5 Übernehmen Sie die Änderungen. Vorgehensweise Gleichzeitiges Registrieren von mehreren Dokumenten 1 Erstellen Sie eine ZIP-Datei, die mehrere Dateien enthält, die Sie registrieren möchten. 2 Navigieren Sie zu -Richtlinien Registrierte Dokumente. 3 Wählen Sie entweder eine vordefinierte Kategorie in der Liste aus oder erstellen Sie eine neue. 4 Wählen Sie die Kategorie aus, und klicken Sie auf Hochladen. 5 Navigieren Sie zu der von Ihnen erstellten ZIP-Datei, und klicken Sie auf OK. 6 Übernehmen Sie die Änderungen and Web Security Appliances 5.6 Patch 1 Produkthandbuch

173 Übersicht über -Funktionen Quarantäne-Konfiguration 3 Vorgehensweise Ignorieren von Vorlagentext des Unternehmens in registrierten Dokumenten 1 Navigieren Sie zu -Richtlinien Registrierte Dokumente. 2 Wählen Sie die Kategorie Ausgeschlossener Inhalt, und klicken Sie auf Hochladen. 3 Navigieren Sie zu der Vorlagendatei, die Sie ignorieren möchten, und klicken Sie auf OK. 4 Übernehmen Sie die Änderungen. Vorgehensweise Einfügen eines einzelnen Dokuments in mehrere Kategorien 1 Navigieren Sie zu -Richtlinien Registrierte Dokumente. 2 Wählen Sie unter "Dokumente" das Dokument aus, und klicken Sie auf das Symbol Kopieren. 3 Wählen Sie die Kategorien aus, mit denen das Dokument verknüpft werden soll, und klicken Sie auf OK. 4 Übernehmen Sie die Änderungen. Vorgehensweise Entfernen eines aufgrund einer Richtlinie ausgeschlossenen Dokuments 1 Navigieren Sie zu -Richtlinien Registrierte Dokumente. 2 Suchen Sie in der Liste der Dokumente die Datei, die Sie als registriertes Dokument entfernen möchten, und versuchen Sie, auf das Symbol Löschen zu klicken. 3 Bewegen Sie den Mauszeiger über den Eintrag Ausgeschlossen von des entsprechenden Dokuments, um zu sehen, welche Richtlinie das Dokument ausschließt. 4 Navigieren Sie zu -Richtlinien Scan-Richtlinien. 5 Wählen Sie im Bereich Compliance die Data Loss Prevention-Richtlinie aus. 6 Erweitern Sie die Richtlinie, die das ausgeschlossene Dokument enthält. 7 Klicken Sie auf das Symbol Löschen neben dem entsprechenden Dokument in der Liste Ausschlüsse. Quarantäne-Konfiguration Verwenden Sie diese Seite, um Quarantäne-Konfigurationen für s festzulegen. Über diese Seite der Benutzeroberfläche können Sie auf die Einstellungen für die Quarantäneoptionen, die Quarantäne-Digest-en und den Inhalt der Digest-Nachrichten zugreifen. Inhalt Quarantäneoptionen Quarantäne-Digest-en Inhalt der Digest-Nachrichten Quarantäneoptionen Auf dieser Seite können Sie Quarantäneoptionen konfigurieren. Quarantäne-Konfiguration Quarantäneoptionen and Web Security Appliances 5.6 Patch 1 Produkthandbuch 173

174 3 Übersicht über -Funktionen Quarantäne-Konfiguration Tabelle 3-85 sbeschreibungen On-box-Quarantäne verwenden Off-Box-McAfee Quarantine Manager (MQM)-Dienst verwenden Wenn diese ausgewählt ist, verwendet die Appliance zum Aufbewahren von isolierten s ihre eigene Datenbank. Wählen Sie diese, um einen McAfee Quarantine Manager-Dienst (MQM) zu verwenden, der von einem anderen Server gehostet wird. Bei Auswahl dieser werden die folgenden Felder aktiviert: Appliance-ID In der Regel wird die Standard-ID verwendet. MQM-Serveradresse Die IP-Adresse des Servers, der Ihren McAfee Quarantine Manager-Dienst hostet. Abhör-Ports Der Port, der vom McAfee Quarantine Manager-Dienst verwendet wird. Verwenden Sie HTTP für die Kommunikation mit dem MQM-Server (MQM v6 und höher) Durch den Benutzer eingesendete Black- und Whitelists aktivieren Aktualisierungsintervall Geben Sie das Zeitintervall für Aktualisierungen zwischen der Appliance und dem McAfee Quarantine Manager-Dienst an. Der Standardwert ist 4 Stunden. Bei Auswahl von Off-Box-McAfee Quarantine Manager (MQM)-Dienst verwenden werden die Registerkarten Quarantäne-Digest-en und Inhalt der Digest-Nachrichten aus der Benutzeroberfläche entfernt. In der folgenden Tabelle ist aufgeführt, was in der Warteschlange von McAfee Quarantine Manager für jeden Fund der Kategorie " and Web Security" angezeigt wird: Tabelle 3-86 Die Beziehung zwischen den Quarantänekategorien wird in der Nachrichtensuche und MQM angezeigt. Nachrichtensuche Virenschutz Antivirus (PUP) Anti-Virus (Komprimierungsprogramm) Compliance Dateifilterung Beschädigter Inhalt Verschlüsselter Inhalt Signierter Inhalt Anti-Spam-Schutz Anti-Phishing Datenverlustprävention Mail-Filterung/Mail-Größe McAfee Quarantine-Manager Antivirus Potentiell unerwünschtes Programm Komprimierungsprogramm Gesperrter Inhalt Gesperrter Dateityp Verschlüsselter/Beschädigter Inhalt Verschlüsselter/Beschädigter Inhalt Verschlüsselter/Beschädigter Inhalt Spam Phishing Verhinderung von Datenlecks -Format Quarantäne-Digest-en Verwenden Sie diese Seite, um anzugeben, wie Benutzer Quarantäne-Digests erhalten. Quarantäne-Konfiguration Quarantäne-Digest-en 174 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

175 Übersicht über -Funktionen Quarantäne-Konfiguration 3 Bei Quarantäne-Digests handelt es sich um -Nachrichten, die die Appliance an einen -Benutzer sendet. Digests beschreiben -Nachrichten, die für den Benutzer isoliert wurden, da die Nachrichten nicht akzeptablen Inhalt oder Spam enthalten. Digests enthalten keine Informationen zu Erkennungen von Viren und anderen potenziell unerwünschten Programmen. Diese Seite ist nur verfügbar, wenn "On-box-Quarantäne" ausgewählt ist. sbeschreibungen Digests aktivieren Digest-Nachrichten aktivieren und Nachricht Protokollvoreinstellung Gibt an, ob Digest-Nachrichten für die ausgewählte Protokollvoreinstellung aktiviert werden sollen. Erinnert Sie daran, dass Digest-Nachrichten für diese Protokollvoreinstellung aktiviert sind. Ermöglicht Ihnen Einstellungen für beliebige Ausnahmen zu einer Standardeinstellung. So können Sie z. B. festlegen, dass einige Bereiche des Netzwerks nicht für Digest-Nachrichten verwendet werden sollen. sbeschreibungen en für Digest-Nachrichten oder und Nachricht Erinnert Sie daran, dass Digest-Nachrichten für diese Protokollvoreinstellung aktiviert sind. Absenderadresse für Digest-Nachrichten Gibt die -Adresse eines Administrators an, um eventuelle Rückfragen zu den Digests verarbeiten zu können. Wir empfehlen, einen Benutzer einzuteilen, der seine s häufig überprüft. Sie können den Namen eines einzelnen Benutzers oder eine Verteilerliste verwenden. Nachrichtenformat Interaktive Nachrichten erzeugen Digest als -Anhang hinzufügen Nachrichtencodierung Es Benutzern erlauben, Black- und Whitelists zu erstellen und zu verwalten Gibt das Format der Digest-Nachricht an. Wählen Sie für interaktive Digests die HTML aus. Bei Auswahl dieser werden alle Nachrichten als interaktive Nachrichten erstellt. Benutzer können dann beispielsweise beliebige Nachrichten freigeben, die inkorrekterweise als Spam isoliert wurden. Bei Auswahl dieser wird der Digest als HTML-Datei an die -Nachricht angehängt. Andernfalls ist der Digest in die -Nachricht eingebettet. Gibt die Zeichensatzcodierung der -Nachricht für die Digests an. Der Standardwert lautet "UTF-8". Wählen Sie zum Anzeigen der Einstellungen für benutzerübermittelte Blacklists und Whitelists in der Navigationsleiste -Richtlinien Scan-Richtlinien [Spam] Blacklists und Whitelists Von Benutzer übermittelt. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 175

176 3 Übersicht über -Funktionen Quarantäne-Konfiguration Client-Server-Kommunikationsmethode Gibt die Kommunikationsmethode für interaktive Digests an: HTTP POST Parameter werden ausgeblendet, sodass interne Informationen nicht angezeigt werden. Die Benutzer erhalten allerdings keine Antwort von der Appliance, wenn deren Abfragen empfangen werden. HTTP GET Ist mit jedem Mail-Client kompatibel. Benutzer erhalten Antworten von der Appliance. Informationen werden in der Aktions-URL allerdings angezeigt, sodass interne Informationen eingesehen werden können. In Digest-Nachrichten zu verwendende Appliance-IP-Adresse oder zu verwendender Domänenname Gibt eine IP-Adresse oder einen Domänennamen an, die bzw. der als Absender der Digest-Nachrichten erscheint. Zum Beispiel beispiel.com. FQDN (vollqualifizierten Domänennamen) der Appliance verwenden Nachrichtenvorschau Senden Häufigkeit angeben Bei Auswahl dieser wird statt einer IP-Adresse das vollständige Domänennamenformat verwendet (angegeben in den grundlegenden Einstellungen der Appliance). Beispielsweise appliance.example.com. Durch Klicken auf diese wird ein Beispiel der Digests angezeigt, wie sie den Benutzern angezeigt werden. Durch Klicken auf diese werden alle Digests gesendet, die seit dem letzten geplanten Zeitpunkt nicht gesendet wurden bzw. seitdem zum letzten Mal auf die Schaltfläche Senden geklickt wurde. Gibt an, wie häufig Digests gesendet werden, z. B. "Jede Woche am Montag um 12:00 Uhr". Wir empfehlen, einen Zeitpunkt zu wählen, an dem die Netzwerkauslastung niedrig ist. Die Standardwerte lauten "Täglich um 15:00 Uhr". Bei Auswahl der Nie können Sie Digests versenden, indem Sie auf Senden klicken. Quarantäne-Digests werden unter Umständen nicht exakt zum angegebenen Zeitpunkt zugestellt. Die Appliance versendet die Digests zeitversetzt, um eine Überlastung des -Servers zu verhindern. Inhalt der Digest-Nachrichten Verwenden Sie diese Seite, um das Erscheinungsbild von Quarantäne-Digests und den Antworten auf die Abfragen von Benutzern zu gestalten. Quarantäne-Konfiguration en für den Inhalt der Digest-Nachrichten 176 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

177 Übersicht über -Funktionen Quarantäne-Konfiguration 3 Tabelle 3-87 sbeschreibungen Betreff der Nachricht Standardwert verwenden (kommt mehrmals vor) Stylesheet bearbeiten Digest-Bericht bearbeiten Nachrichtentext bearbeiten Im Nachrichtentext verwendete Spaltentitel Antworttyp auswählen Antworttext bearbeiten Gibt den Text der Betreffzeile für die -Nachrichten mit den Digests an. Der Standardwert lautet "Quarantäne-Zusammenfassungs-Digest". Bei Auswahl dieser werden die Standardwerte verwendet. Deaktivieren Sie das entsprechende Kontrollkästchen Standardwert verwenden, um Elemente wie die Betreffzeile der -Nachrichten mit den Digests zu ändern. Durch Klicken auf diese wird ein Fenster geöffnet, das das Stylesheet anzeigt, welches das Erscheinungsbild der Digests im HTML-Format steuert. Zum Bearbeiten von Stylesheets benötigen Sie Kenntnisse über Cascading Style Sheets (CSS). Durch Klicken auf diese wird ein Fenster geöffnet, in dem Sie den Haupttext des Digests ändern können. Durch Klicken hierauf wird ein Fenster geöffnet, in dem Sie den ersten Satz des Digests angeben können. Sie können die HTML-Inhalte direkt oder im Quelltext bearbeiten. Wenn die Standardwert verwenden deaktiviert ist, können Sie die Spaltentitel ändern, die den Benutzern in den Digests angezeigt werden. Wählt den Nachrichtentyp aus, den die Appliance in der Antwort auf die Anfrage des Benutzers sendet. Ein Benutzer kann beispielsweise die Entlassung einer anfordern, die als Spam isoliert wurde, und erhält dann eine Nachricht, die die Anfrage bestätigt. Durch Klicken auf diese wird ein Fenster geöffnet, in dem Sie den Text der Antwortnachricht bearbeiten können, wenn diese im HTML-Format vorliegt. Sie können die HTML-Inhalte direkt oder im Quelltext bearbeiten. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 177

178

179 4 Übersicht über Web-Funktionen Dieses Thema bietet einen Überblick über die Funktionen der and Web Security Appliances, die den Web-Verkehr betreffen. Web Inhalt Web-Konfiguration Web-Richtlinien Web-Konfiguration Auf den folgenden Seiten können Sie die Appliance für das Scannen von Web-Verkehr einrichten. Die Seiten zur Web-Konfiguration sind nach Protokoll unterteilt, so dass alle HTTP-bezogenen Seiten sowie alle Konfigurationseinstellungen, die sich auf die ICAP- bzw. FTP-Protokolle beziehen, zusammengefasst sind. Inhalt HTTP-Verbindungseinstellungen HTTP-Protokolleinstellungen ICAP-Verbindungseinstellungen ICAP-Authentifizierung ICAP-Protokolleinstellungen FTP-Verbindungseinstellungen FTP-Protokolleinstellungen HTTP-Verbindungseinstellungen Auf dieser Seite können Sie Verbindungseinstellungen für das HTTP-Protokoll eingeben, wie Port-Nummern und Zeitüberschreitungen. Web Web-Konfiguration HTTP Verbindungseinstellungen Das Ändern dieser Einstellungen kann sich auf die Leistung beim Scannen auswirken. Wenden Sie sich an Ihren Netzwerkexperten, wenn Sie sich bzgl. der Auswirkungen beim Vornehmen von Änderungen nicht sicher sind. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 179

180 4 Übersicht über Web-Funktionen Web-Konfiguration Die Seite verfügt über folgende Abschnitte: Grundlegende HTTP-Einstellungen Benutzerauthentifizierung Zeitüberschreitungen sbeschreibungen Grundlegende HTTP-Einstellungen HTTP-Protokoll aktivieren HTTP-Ports Normalerweise ist diese aktiviert. Gibt die Ports an, die die Appliance auf Bedrohungen scannt, sofern sie im Modus "Expliziter Proxy" ausgeführt wird. Typische Ports sind Port 80 für Abhörvorgänge und Port 443 für sicheren Webzugriff über HTTPS. Fügen Sie keine sicheren Ports wie 443 als Abhör-Ports hinzu. Wenn sich eine Appliance im transparenten Modus befindet, können Sie festlegen, dass der Datenverkehr in einem Protokoll in bestimmten Bereichen des Netzwerks nicht gescannt wird entweder dauerhaft oder zu bestimmten Tageszeiten. Die sicherste besteht darin, den gesamten Datenverkehr zu scannen. Bevor Sie das Scannen beliebigen Datenverkehrs deaktivieren, sollten Sie die Sicherheitsrisiken bedenken. Klicken Sie auf diese Symbole und die Port-Headings, um Symbole zum Verwalten der Port-Informationen anzuzeigen: Umgekehrte DNS-Suchen aktivieren Der Webzugriff ist schneller, wenn diese nicht ausgewählt ist, jedoch: funktioniert der HTTPS-URL-Filter nicht, da die URLs als Namen aufgezeichnet werden (Beispiel: und nicht als IP-Adressen. sind die Protokolle weniger informativ, da sie nur IP-Adressen enthalten (Beispiel: ), nicht Namen wie sbeschreibungen Benutzerauthentifizierung Verwenden Sie diesen Abschnitt, um die Benutzerauthentifizierung für diese Richtlinie zu aktivieren. Standardmäßig ist die Authentifizierung deaktiviert. Zum Einrichten von Authentifizierungsdiensten wählen Sie in der Navigationsleiste System Benutzer, Gruppen und Dienste Webbenutzer-Authentifizierung aus. Authentifizierungsgruppe Protokollvoreinstellung Erweiterte Einstellungen Wählen Sie eine Authentifizierungsgruppe aus der Liste aller verfügbaren Authentifizierungsgruppen aus, die global konfiguriert wurden. Die Liste ist deaktiviert, wenn die Authentifizierung deaktiviert ist. Die ausgewählte Authentifizierungsgruppe definiert, welcher Authentifizierungsdienst verwendet wird. Die Authentifizierung kann so konfiguriert werden, dass mehr als ein Authentifizierungsdienst in einem definierten Ordner getestet wird. Ermöglicht Ihnen Einstellungen für beliebige Ausnahmen zu einer Standardeinstellung. Beispielsweise können Sie festlegen, dass in bestimmten Bereichen des Netzwerks andere Geräte für die Authentifizierung verwendet werden. Die folgenden Einstellungen müssen in der Regel nicht geändert werden and Web Security Appliances 5.6 Patch 1 Produkthandbuch

181 Übersicht über Web-Funktionen Web-Konfiguration 4 Anforderungsverben Ausnahmen für Benutzeragenten Kompakte P3P-Cookie-Richtlinie Anforderungsverben werden verwendet, um den Prozess für die Umleitung der Authentifizierung zu starten. Dies ist normalerweise auf GET gesetzt. Mit den Informationen aus dem Feld "User-Agent" des HTTP-Headers können Sie eine Liste der Agenten konfigurieren, wie beispielsweise automatische Aktualisierungsprogramme, die nicht authentifiziert werden müssen. Diese Einträge können Platzhalterzeichen enthalten. Es handelt sich hier um eine erweiterte. Gibt Datenschutzrichtlinien an, die verhindern, dass Internet Explorer die Cookies ablehnt, die die für die Single-Sign-On verwendeten Authentifizierungsinformationen enthalten. Es handelt sich hier um eine erweiterte. Weitere Informationen zu P3P finden Sie unter Für Internet Explorer können die Richtlinieneinstellungen zentral von Active Directory gesteuert werden (d. h., sie können ein Mal in Active Directory eingegeben und als Gruppenrichtlinienobjekt [Group Policy Object, GPO] an alle Internet Explorer-Browser im Unternehmen weitergegeben werden). Weitere Informationen finden Sie in der Microsoft-Dokumentation. sbeschreibungen Zeitüberschreitungen Zeitüberschreitung der Verbindung Zeitüberschreitung der Daten Protokollvoreinstellung Der Standardwert liegt bei 60 Sekunden. Der Standardwert liegt bei 60 Sekunden. Ermöglicht Ihnen Einstellungen für beliebige Ausnahmen zu einer Standardeinstellung. Beispielsweise können Sie festlegen, dass in bestimmten Bereichen des Netzwerks andere Zeitüberschreitungswerte verwendet werden. HTTP-Protokolleinstellungen Über diese Seite können Sie angeben, wie die Appliance einige Funktionen des HTTP-Protokolls verarbeitet, wie den Schutz vor Denial-of-Service-Angriffen und das Durchlassen von Daten. Web Web-Konfiguration HTTP Protokolleinstellungen Das Ändern dieser Einstellungen kann sich auf die Leistung beim Scannen auswirken. Wenden Sie sich an Ihren Netzwerkexperten, wenn Sie sich bzgl. der Auswirkungen beim Vornehmen von Änderungen nicht sicher sind. Die Seite verfügt über folgende Abschnitte: Denial-of-Service-Schutz Übergabe-Host Client-Warnmeldungen Header-Blockierung und Änderungen Download-Statusseiten und Durchlassen von Daten Protokolldetails Nachrichten zum Download-Status Anfrageberechtigungen FTP über HTTP and Web Security Appliances 5.6 Patch 1 Produkthandbuch 181

182 4 Übersicht über Web-Funktionen Web-Konfiguration sbeschreibungen Denial-of-Service-Schutz HTTP-Header ablehnen, wenn Gibt einige Beschränkungen an, um Denial-of-Service-Angriffe zu verhindern. Die Standardwerte sind: Header-Größe 200 KB Anzahl der Header-Zeilen 200 sbeschreibungen Client-Warnmeldungen Verwenden Sie diesen Abschnitt, um Warnmeldungen zu ändern, die der Client möglicherweise erhält. Menü Bearbeiten Bietet eine umfassende Liste mit Ereignissen, wie Anfragetyp ist verboten und Daten können nicht gescannt werden. Durch Klicken hierauf wird ein Fenster geöffnet, in dem Sie den Text der Warnung bearbeiten können. sbeschreibungen Download-Statusseiten und Durchlassen von Daten Statusseiten bei Downloads aktivieren Zeigt dem Benutzer eine Statusseite an, während eine große Datei heruntergeladen wird. Durchlassen von Daten während Downloads aktivieren Sendet die Datei als eine Reihe kleinerer Datenblöcke an den Client, bevor die gesamte Datei vom Server empfangen und von der Appliance gescannt wurde. Download-Statusseiten für diese Auslösungen anzeigen/verhindern Download-Statusseiten anzeigen, wenn Wenn Statusseiten angezeigt werden Wenn Statusseiten angefordert wurden, werden Listen mit Bedingungen angezeigt, unter denen während Downloads eine Seite angezeigt wird. Es wird von einem Browser wie Internet Explorer ausgegangen. Geben Sie Mozilla und andere Browser an, wenn Ihre Benutzer darüber verfügen. Einige Typen von Dateien sind häufig sehr groß, beispielsweise:.gz,.exe,.zip,.pdf,.iso und.bmp. Einige Inhaltstypen wie beispielsweise Textinhalte erfordern möglicherweise keine Download-Statusseiten. Im Modus "Transparent" Stellt Statusseiten nur zur Verfügung, wenn Benutzer nicht auf die IP-Adresse der Appliance zugreifen können und die Appliance im Modus "Transparente Bridge" oder "Transparenter Router" ausgeführt wird. Keine Verweiser vorhanden Stellt Statusseiten nur zur Verfügung, wenn Benutzer in einem Internet Explorer-Browserfenster die "Speichern unter" aus einem Kontextmenü auswählen. Die Standardwerte sind: Verzögerung vor dem Anzeigen der ersten Seite 15 Sekunden Seite anzeigen alle 5 Sekunden Verstrichene Zeit anzeigen Nein JavaScript-basierte HTML-Seiten verwenden Nein Wenn die Komfortseiten in einigen Browsern nicht richtig angezeigt werden, heben Sie die Auswahl der Javascript- auf and Web Security Appliances 5.6 Patch 1 Produkthandbuch

183 Übersicht über Web-Funktionen Web-Konfiguration 4 Einstellungen für Durchlassen von Daten Keepalive-Einstellungen Wenn das Durchlassen von Daten ausgewählt ist, werden hier Details angegeben. Die Standardwerte sind: Verzögerung vor Beginn des Durchlassens von Daten 15 Sekunden Daten durchlassen alle 10 Sekunden Menge der jedes Mal durchzulassenden Daten 1024 Byte. Maximale Menge der durchzulassenden Daten 10 % Standardwert: Keepalive senden alle 55 Sekunden sbeschreibungen Nachrichten zum Download-Status Verwenden Sie diesen Abschnitt, um Warnmeldungen zu ändern, die der Client möglicherweise erhält. Menü Bearbeiten Bietet eine umfassende Liste mit Ereignissen wie Fehler beim Herunterladen der Datei. Durch Klicken hierauf wird ein Fenster geöffnet, in dem Sie den Text der Warnung bearbeiten können. FTP über HTTP In diesem Abschnitt können Sie Folgendes auswählen: Ob das passive FTP-Protokoll verwendet werden soll. Dies ist eine sicherere Form der Datenübertragung als das aktive FTP-Protokoll. Wie die Dateiinformationen in FTP-Verzeichnissen angezeigt werden sollen. "Kurzformat" zeigt nur Dateinamen. Die anderen Formate zeigen mehr Informationen an, einschließlich der Dateigröße und des Datums. Übergabe-Host Die Appliance kann so konfiguriert werden, dass für HTTP-Datenverkehr ein Übergabe-Host verwendet wird. Ein Übergabe-Host leitet alle Client-Anforderungen an einen bestimmten Server weiter. Dieser Server ist dann für die Verarbeitung von Client-Anfragen verantwortlich. Ein Übergabe-Host wird beispielsweise verwendet, um Anforderungen an einen anderen Proxy wie beispielsweise einen Web-Cache weiterzuleiten. Eine typische Port-Nummer lautet 80. sbeschreibungen Header-Blockierung und Änderungen In diesem Abschnitt können Sie Folgendes tun: Blockieren einiger Anforderungs- und Antwort-Header. Via-Header zu HTTP-Anforderungen und -Antworten hinzufügen. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 183

184 4 Übersicht über Web-Funktionen Web-Konfiguration Verweigerte Anforderungs-Header und Abgelehnte Antwort-Header VIA-Header hinzufügen zu Gibt eine Reihe von Headern an, bei denen der Zugriff verweigert werden soll. Beispielsweise bedeutet die Accept-Ranges-Antwort, dass der Server anbietet, Daten in mehreren Teilen an die Clients zu senden. Standardmäßig blockiert die Appliance den Accept-Ranges-Antwort-Header, wenn der Server angibt, Daten in mehreren Teilen an Clients zu senden, da die Appliance partielle Dateien nicht richtig scannen kann. Aus Sicherheitsgründen entfernt die Appliance daher diese Header. Gibt Header an, die folgenden Zwecken dienen: Nachverfolgen weitergeleiteter Nachrichten. Vermeiden von Anfrage-Loops. Ermitteln der Protokollkapazitäten aller Absender in der Anforderung/ Antwort-Kette. Das Feld für allgemeine VIA-Header wird von Gateways und Proxies verwendet, um die Zwischenprotokolle und Empfänger zwischen dem Client und dem Server (bei Anforderungen) bzw. zwischen dem ursprünglichen Server und dem Client (bei Antworten) anzuzeigen. sbeschreibungen Protokolldetails NTLM-Fehlermeldungen anzeigen Nicht kompatible POST-Anfragen weiterleiten Maximale Anfragen pro persistenter Verbindung Downgraden auf HTTP Version 1.0 TRACE- und OPTIONS-Anforderungen Erweiterte Einstellungen Einige Clients und Server verwenden das Microsoft Windows NT LAN Manager (NTLM)-Authentifizierungsprotokoll für die sichere Übertragung von Anmeldedaten, einschließlich Kennwörtern. Gelegentlich schlägt die NTLM-Authentifizierung fehl. Wenn ein Client beispielsweise einen Web-Browser verwendet und so konfiguriert wurde, dass er im Proxy-Modus ausgeführt wird, versucht er, über die Appliance eine Verbindung zu einem Server herzustellen, der die NTLM-Authentifizierung benötigt, so dass die Authentifizierung fehlschlägt. Eine POST-Anforderung ist eine an einen HTTP-Client gestellte Anforderung, Daten an einen Server zu senden. Eine nicht konforme POST-Anforderung liegt dann vor, wenn der Client (Webbrowser) nicht konforme Zeichen zu einer POST-Anforderung hinzufügt, z. B. Zeilenumbrüche. Solche falsch formatierten Anforderungen sind möglicherweise Teil eines Angriffs auf einen Webserver. Der Standardwert lautet "Aus". Gibt die maximale Anzahl an Anforderungen an, die über eine Verbindung gemacht werden können, bevor die Appliance die Verbindung verweigert. Der Standardwert ist 256. Einige Clients und Server unterstützen nur HTTP-Version 1.0. Die Appliance unterstützt das HTTP-Protokoll der Version 1.1. Um mit älteren Clients und Servern kommunizieren zu können, kann die Appliance so konfiguriert werden, dass HTTP Version 1.0 beim Verarbeiten von HTTP-Anforderungen oder Umleitungen verwendet wird. Siehe HTTP RFC (2616) für weitere Informationen. Das Ändern dieser Einstellungen kann sich auf die Leistung beim Scannen auswirken. Wenden Sie sich an Ihren Netzwerkexperten, wenn Sie sich bzgl. der Auswirkungen beim Vornehmen von Änderungen nicht sicher sind and Web Security Appliances 5.6 Patch 1 Produkthandbuch

185 Übersicht über Web-Funktionen Web-Konfiguration 4 Server für interne Informationsseiten Authentifizierungstypen, die keine Persistenz erfordern Gibt an, welche Appliance für die Authentifizierung verwendet werden soll, falls Server-Appliances eingesetzt werden. Dieses Feld ist in der Regel leer, d. h., die aktuelle Appliance wird verwendet. Diese Einstellungen werden für NTLM benötigt. Für Kerberos werden die Einstellungen nicht benötigt. sbeschreibungen Anfrageberechtigungen Abgelehnte Verben Zugelassene Verben Verweigerte Schemas Zulässige Schemas Zulässige Ports Zulässige SSL-Ports Zeigt die HTTP-Verben an, die nicht für die Kommunikation zwischen dem HTTP-Client und der Appliance für Anforderungen verwendet werden können. Wenn Sie HTTP-Verben (wie PUT und POST) zu dieser Liste hinzufügen, erlauben Sie es dem Benutzer, alle anderen Verben, die nicht in dieser Liste aufgeführt sind, zu verwenden. Zeigt die HTTP-Verben an, die nicht für die Kommunikation zwischen dem HTTP-Client und der Appliance verwendet werden können. Wenn Sie HTTP-Verben zu dieser Liste hinzufügen, verbieten Sie es dem Benutzer, alle anderen Verben, die nicht in dieser Liste aufgeführt sind, zu verwenden. Zeigt die Anforderungs-Schemas an, die nicht verwendet werden können. URLs enthalten Text, der definiert, welche Ressource angefordert wird. Wenn Sie beliebige Schemas zu dieser Liste hinzufügen, erlauben Sie es dem Benutzer, alle anderen Schemas, die nicht in dieser Liste aufgeführt sind, zu verwenden. Zeigt die Anforderungs-Schemas an, die verwendet werden können. URLs enthalten Text, der definiert, welche Ressource angefordert wird. Wenn Sie beliebige Schemas zu dieser Liste hinzufügen, verbieten Sie es dem Benutzer, alle anderen Schemas, die nicht in dieser Liste aufgeführt sind, zu verwenden. Zeigt die HTTP-Port-Nummern an, die die Appliance zum Weiterleiten von Datenverkehr verwendet. Aus Sicherheitsgründen leitet die Appliance nur Anforderungen an bestimmte Port-Nummern weiter, so dass Hacker nicht verschiedene Protokolle über einen HTTP-Tunnel leiten können. Verwenden Sie diese für HTTP-Verkehr, der nicht über SSL versendet wird. Der Eintrag bedeutet, dass die Port-Nummer 1025 oder höher ist. Die typischen Werte sind 21, 70 und 80. Zeigt die HTTP-Port-Nummern an, die die Appliance beim Weiterleiten von Datenverkehr über SSL (Secure Socket Layer) verwendet. Aus Sicherheitsgründen leitet die Appliance nur Anforderungen an bestimmte Port-Nummern weiter, so dass Hacker nicht verschiedene Protokolle über einen HTTP-Tunnel leiten können. Die Port-Nummern, die verwendet werden können, hängen vom HTTP-Verb ab. Der Zugriff über CONNECT-Verben ist stark eingeschränkt, da es nach dem Akzeptieren dieses Verbs nur wenig Beschränkungen für die Daten gibt, die übertragen werden können. Webbrowser, die für den Proxy-Modus konfiguriert wurden, verwenden das CONNECT-Verb, wenn versucht wird, eine HTTPS-Verbindung über SSL zu initiieren. Der Eintrag bedeutet, dass die Port-Nummer 1025 oder höher ist. Die typischen Werte sind 443 (HTTPS) und 563 (SNEWS). and Web Security Appliances 5.6 Patch 1 Produkthandbuch 185

186 4 Übersicht über Web-Funktionen Web-Konfiguration ICAP-Verbindungseinstellungen Auf dieser Seite können Sie Verbindungseinstellungen für das ICAP-Protokoll eingeben, wie Port-Nummern und Zeitüberschreitungen. Web Web-Konfiguration ICAP Verbindungseinstellungen Das Ändern dieser Einstellungen kann sich auf die Leistung beim Scannen auswirken. Wenden Sie sich an Ihren Netzwerkexperten, wenn Sie sich bzgl. der Auswirkungen beim Vornehmen von Änderungen nicht sicher sind. Die Seite verfügt über folgende Abschnitte: Grundlegende ICAP-Einstellungen Weitere ICAP-Einstellungen Anfrageänderungsdienst Antwortänderungsdienst Zeitüberschreitungen sbeschreibungen Grundlegende ICAP-Einstellungen Abhör-Ports Gibt die Ports an, die die Appliance auf Bedrohungen scannt, sofern sie im Modus "Expliziter Proxy" ausgeführt wird. Eine typische Port-Nummer lautet Klicken Sie auf diese Symbole und die Port-Headings, um Symbole zum Verwalten der Port-Informationen anzuzeigen: Umgekehrte DNS-Suchen aktivieren Standardmäßig ist die umgekehrte DNS-Suche aktiviert (ausgewählt). sbeschreibungen Weitere ICAP-Einstellungen X-Include-Zeichenfolge ICAP-Dienstname OPTIONS-Gültigkeitsdauer Gibt eine kommagetrennte Liste sämtlicher ICAP-Header-Erweiterungsnamen an, die ICAP-Clients zu Anforderungen hinzufügen sollen. Der Standardwert ist X-Client-IP, X-Server-IP, X-Authenticated-User. Der Standardwert lautet appliance. Teilt dem ICAP-Client mit, wie häufig sich die ICAP-Server-Konfiguration wahrscheinlich ändern wird. Sie können eine Empfehlung ausgeben, wie lange ein ICAP-Client warten muss, bevor er eine weitere OPTIONS-Anforderung an die Appliance sendet. Der Standardwert liegt bei 300 Sekunden and Web Security Appliances 5.6 Patch 1 Produkthandbuch

187 Übersicht über Web-Funktionen Web-Konfiguration 4 Zeitüberschreitung bei Leerlauf Gibt an, wie lange der ICAP-Server auf eine Anforderung vom ICAP-Client wartet. Der Standardwert liegt bei 300 Sekunden. Maximale Datenblockgröße Gibt die maximale Menge an HTTP-Daten an, die als ein Block vom ICAP-Server übertragen werden können. Beim Standardwert handelt es sich um 1024 Byte. sbeschreibungen Anfrageänderungsdienst Dienstpfad Gibt einen Hersteller und einen Produktnamen an, die zur OPTIONS-Antwort hinzugefügt werden können. Die standardmäßig verwendete Dienstzeichenfolge hängt von dem Typ der Appliance ab. Der Standardwert lautet "/REQMOD". sbeschreibungen Antwortänderungsdienst Dienstpfad Der Standardwert lautet "/RESPMOD". sbeschreibungen Zeitüberschreitungen Zeitüberschreitung der Daten Verbindung prüfen in Abständen von Gibt an, wie lange die Appliance wartet, bis Daten vom ICAP-Client empfangen werden. Der Standardwert liegt bei 60 Sekunden. Gibt an, wie häufig die Appliance prüft, ob noch immer eine Verbindung zum ICAP-Client besteht. Der Standardwert liegt bei 20 Sekunden. ICAP-Authentifizierung Auf dieser Seite können Sie Details zu den Authentifizierungsservern sowie ICAP-Header-Erweiterungen angeben, die möglicherweise in REQMOD- und RESPMOD-Anforderungen vorkommen, wie X-Authenticated-User und X-Authenticated-Groups, um Informationen zur Quelle der eingekapselten HTTP-Nachricht zur Verfügung zu stellen. Web Web-Konfiguration ICAP Authentifizierung Anhand dieser Informationen kann die Appliance den Namen eines Benutzers für ihre benutzerbasierten Richtlinien und URL-Filterberichte identifizieren, ohne dass Authentifizierungsdienste oder Authentifizierungsgruppen auf der Appliance konfiguriert werden müssen. Die Appliance kann den Benutzernamen und die Gruppennamen aus den ICAP-Header-Erweiterungen extrahieren. Die Appliance authentifiziert keine Benutzer. Die Authentifizierung erfolgt durch einen anderen Server (beispielsweise eine Web-Caching-Appliance). Wenn die Appliance die Identität eines Benutzers extrahieren kann, können auf diese Identität jedoch URL-Filterung und andere Richtlinieneinstellungen angewendet werden. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 187

188 4 Übersicht über Web-Funktionen Web-Konfiguration Tabelle 4-1 sbeschreibungen Header für authentifizierte Benutzer Codieren für authentifizierten Benutzer Muster für authentifizierten Benutzer Header für authentifizierte Gruppen Codierung für authentifizierte Gruppe Muster für authentifizierte Gruppe Benutzeridentität protokollieren Standardbenutzer Gibt einen Header an, den der ICAP-Server hinzufügt, nachdem er den Benutzer authentifiziert hat, um anzugeben, wer die Anforderung gestellt hat. Der Standardwert lautet X-Authenticated-User. Gibt den Benutzernamen an. Typischerweise handelt es sich um eine reine Textnachricht oder standardmäßig "Base64". Gibt den regulären Ausdruck an, der es der Appliance ermöglicht, den Benutzernamen aus dem Text des Headers für den authentifizierten Benutzer zu extrahieren. Der Standardwert lautet ^(?:.*/)?(?:([^=]*).*cn=([^\s,=]+).*)$. Gibt einen Header an, den der ICAP-Server hinzufügt, nachdem er die Gruppe authentifiziert hat, um anzugeben, wer die Anforderung gestellt hat. Der Standardwert lautet X-Authenticated-User-Group. Gibt den Gruppennamen an. Typischerweise handelt es sich um eine reine Textnachricht oder standardmäßig "Base64". Gibt den regulären Ausdruck an, der es der Appliance ermöglicht, den Gruppennamen aus dem Text des Headers für authentifizierte Gruppen zu extrahieren. Der Standardwert lautet ^(?:.*/)?(?:([^=]*).*ou=([^\s,=]+).*)$. Wenn ausgewählt, werden Benutzernamen in der Protokolldatei angezeigt. Wenn nicht ausgewählt, wird kein Benutzername angezeigt. In einigen Ländern ist das Protokollieren einzelner Benutzernamen nicht zulässig. Gibt die zu verwendende Identität an, wenn in den X-Authentication-Headern keine Informationen angegeben sind. Wenn die Authentifizierung fehlschlägt, erzwingt die Appliance eine Richtlinie in Abhängigkeit dieses Benutzernamens. Wir empfehlen, dass dieser Benutzer zu einer Richtlinie gehören sollte, die nur eingeschränkten Internetzugriff ermöglicht. Der Standardwert lautet SCM_DEFAULT_USER. ICAP-Protokolleinstellungen Über diese Seite können Sie angeben, wie die Appliance einige Funktionen des ICAP-Protokolls verarbeitet, wie das Durchlassen von Daten. Web Web-Konfiguration ICAP Protokolleinstellungen Das Ändern dieser Einstellungen kann sich auf die Leistung beim Scannen auswirken. Wenden Sie sich an Ihren Netzwerkexperten, wenn Sie sich bzgl. der Auswirkungen beim Vornehmen von Änderungen nicht sicher sind. Die Seite verfügt über folgende Abschnitte: Grundlegende ICAP-Einstellungen Client-Warnmeldungen Durchlassen von Daten (nur Antwortänderung) 188 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

189 Übersicht über Web-Funktionen Web-Konfiguration 4 Berechtigung (nur Anfrageänderung) Diensteinstellungen sbeschreibungen Grundlegende ICAP-Einstellungen Abgelehnte REQMOD-Header Via-Header zu HTTP hinzufügen Abgelehnte RESPMOD-Header Gibt die zu entfernenden Anfrage-Header an. Beispielsweise kann die Appliance HTTP-Header entfernen, die Aufzeichnungen für "Accept-Encoding" und "Accept-Ranges" enthalten. Fügt Via-Header zu HTTP-Anfragen und -Antworten hinzu, um darauf hinzuweisen, dass die Nachricht die Appliance passiert hat. Siehe RFC 3507 für weitere Informationen. Gibt die zu entfernenden Antwort-Header an. Beispielsweise kann die Appliance die HTTP-Header "Accept-Encoding" und "Accept-Ranges" entfernen. sbeschreibungen Client-Warnmeldungen Verwenden Sie diesen Abschnitt, um Warnmeldungen zu ändern, die der Client möglicherweise erhält. Menü Bearbeiten Bietet eine umfassende Liste mit Ereignissen, wie Anfragetyp ist verboten und Daten können nicht gescannt werden. Durch Klicken hierauf wird ein Fenster geöffnet, in dem Sie den Text der Warnung bearbeiten können. sbeschreibungen Durchlassen von Daten (nur Antwortänderung) Durchlassen von Daten aktivieren Durchlassen von Daten Datendurchlass während des Datenempfangs aktivieren Aktiviert das Herunterladen großer Dateien auf den Client, bevor die ganze Datei vom Server empfangen wurde. Vorsicht: Das Durchlassen von Daten setzt Ihr Netzwerk möglicherweise Viren und anderer potenziell schädlicher Software aus, da die Datei nicht vollständig gescannt wird. Aus diesem Grund empfehlen wir das Durchlassen von Daten nicht. Die Standardwerte sind: Verzögerung vor Beginn des Durchlassens von Daten 15 Sekunden Daten durchlassen alle 10 Sekunden Menge der jedes Mal durchzulassenden Daten 1024 Byte Maximale Menge der durchzulassenden Daten 10 % Wenn ausgewählt, können Daten beim Datenempfang durchgelassen werden. Dies ist eine erweiterte Funktion nur für NetCache-Clients. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 189

190 4 Übersicht über Web-Funktionen Web-Konfiguration sbeschreibungen Berechtigung (nur Anfrageänderung) Abgelehnte Verben Zugelassene Verben Verweigerte Schemas Zulässige Schemas Zulässige Ports Zulässige SSL-Ports Zeigt die HTTP-Verben an, die nicht für die Kommunikation zwischen dem ICAP-Client und der Appliance verwendet werden können, wenn der ICAP-Client die REQMOD- verwendet. Wenn Sie HTTP-Verben zu dieser Liste hinzufügen, erlauben Sie es dem Benutzer, alle anderen Verben, die nicht in dieser Liste aufgeführt sind, zu verwenden. Zeigt die HTTP-Verben an, die für die Kommunikation zwischen dem ICAP-Client und der Appliance verwendet werden können, wenn der ICAP-Client die REQMOD- verwendet. Wenn Sie HTTP-Verben zu dieser Liste hinzufügen, verbieten Sie es dem Benutzer, alle anderen Verben, die nicht in dieser Liste aufgeführt sind, zu verwenden. Zeigt die Anforderungs-Schemas an, die nicht verwendet werden können. URLs enthalten Text, der definiert, welche Ressource angefordert wird. Wenn Sie beliebige Schemas zu dieser Liste hinzufügen, erlauben Sie es dem Benutzer, alle anderen Schemas, die nicht in dieser Liste aufgeführt sind, zu verwenden. Zeigt die Anforderungs-Schemas an, die verwendet werden können. URLs enthalten Text, der definiert, welche Ressource angefordert wird. Wenn Sie beliebige Schemas zu dieser Liste hinzufügen, verbieten Sie es dem Benutzer, alle anderen Schemas, die nicht in dieser Liste aufgeführt sind, zu verwenden. Zeigt die HTTP-Port-Nummern an, die die Appliance beim Weiterleiten von Datenverkehr verwendet. Aus Sicherheitsgründen leitet die Appliance nur Anforderungen an bestimmte Port-Nummern weiter, so dass Hacker nicht verschiedene Protokolle über einen HTTP-Tunnel leiten können. Verwenden Sie diese für HTTP-Verkehr, der nicht über SSL versendet wird. Der Eintrag bedeutet, dass die Port-Nummer 1025 oder höher ist. Zeigt die HTTP-Port-Nummern an, die die Appliance beim Weiterleiten von Datenverkehr über SSL (Secure Socket Layer) verwendet. Aus Sicherheitsgründen leitet die Appliance nur Anforderungen an bestimmte Port-Nummern weiter, so dass Hacker nicht verschiedene Protokolle über einen HTTP-Tunnel leiten können. Die Port-Nummern, die verwendet werden können, hängen vom HTTP-Verb ab. Der Zugriff über CONNECT-Verben ist stark eingeschränkt, da es nach dem Akzeptieren dieses Verbs nur wenig Beschränkungen für die Daten gibt, die übertragen werden können. Webbrowser, die für den Proxy-Modus konfiguriert wurden, verwenden das CONNECT-Verb, wenn versucht wird, eine HTTPS-Verbindung über SSL zu initiieren. Der Eintrag bedeutet, dass die Port-Nummer 1025 oder höher ist. Die typischen Werte sind 443 (HTTPS) und 563 (SNEWS). sbeschreibungen Diensteinstellungen Diesen Abschnitt können Sie nutzen, um Informationen zu den ICAP-Diensten zur Verfügung zu stellen, die die Appliance für Ihre ICAP-Client-Software bietet. In der Dokumentation für Ihren ICAP-Client finden Sie weitere Einzelheiten. Vorschaugröße Dienst-ID Gibt die Anzahl an Daten-Byte an, die von einem ICAP-Client mithilfe der ICAP-Vorschauoption gesendet werden. Einige ICAP-Clients akzeptieren keine Werte, die größer sind als 4096 Byte. Der Standardwert lautet vier Kilobyte. Gibt die ICAP-Dienst-ID an, die ausgegeben wird, wenn ein ICAP-Client eine ICAP OPTIONS-Anforderung stellt. Der Standardwert lautet appliance and Web Security Appliances 5.6 Patch 1 Produkthandbuch

191 Übersicht über Web-Funktionen Web-Konfiguration 4 Vollständige Kopie der Dateien dieses Typs senden Vorschau einer Kopie der Dateien dieses Typs senden Dateien dieses Typs ignorieren Zeigt die Datentypen an, die an die Appliance gesendet werden, ohne dass die Vorschauoption genutzt wird. (ICAP-Header: Übertragung Komplett). Standardmäßig ist der Wert auf * gesetzt, sodass Vorschauen deaktiviert sind. Zeigt die Datentypen an, die an die Appliance gesendet werden, wenn die Vorschauoption genutzt wird. (ICAP-Header: Transfer-Preview) Einige ICAP-Clients aktivieren die Vorschau nur, wenn dieser Header eingestellt ist. Wenn die meisten zum Scannen geschickten Dateien kleiner als die Vorschaugröße sind, setzen Sie diesen Wert auf *. Standardmäßig ist dieses Feld leer und die Vorschau ist durch das * im oben stehenden Feld deaktiviert. Zeigt die Datentypen an, die der ICAP-Client nicht an die Appliance senden darf. (ICAP-Header: Transfer-Ignore) Die Datei favicon.ico ist das kleine Symbol, das auf einigen Websites vor dem URL angezeigt wird. Es ist unbedenklich, wenn ico zu dieser Liste hinzugefügt wird, um zu vermeiden, dass dieser Inhalt gescannt wird. Die sicherste ist es, alle Dateitypen zu scannen. Bevor Sie das Scannen eines beliebigen Dateityps deaktivieren, sollten Sie die Sicherheitsrisiken bedenken. FTP-Verbindungseinstellungen Auf dieser Seite können Sie Verbindungseinstellungen für das FTP-Protokoll eingeben, wie Port-Nummern und Zeitüberschreitungen. Web Web-Konfiguration FTP Verbindungseinstellungen Das Ändern dieser Einstellungen kann sich auf die Leistung beim Scannen auswirken. Wenden Sie sich an Ihren Netzwerkexperten, wenn Sie sich bzgl. der Auswirkungen beim Vornehmen von Änderungen nicht sicher sind. sbeschreibungen Grundlegende FTP-Einstellungen FTP-Einstellungen aktivieren FTP-Ports Wenn ausgewählt, wird der gesamte FTP-Verkehr gescannt. Wenn ein Protokoll deaktiviert ist, scannt die Appliance keinen Datenverkehr für dieses Protokoll, auch wenn die spezifischen Scanoptionen aktiviert sind. Durch das Aktivieren eines Protokolls werden nicht automatisch alle möglichen Scanoptionen aktiviert. Sie müssen separat aktiviert werden. Zeigt die Port-Nummer an, die gescannt wird. Der Standardwert ist 21. Gibt die Ports an, die die Appliance auf Bedrohungen scannt, sofern sie im Modus "Expliziter Proxy" ausgeführt wird. Eine typische Port-Nummer lautet 21. Wenn sich eine Appliance im transparenten Modus befindet, können Sie festlegen, dass der Datenverkehr in einem Protokoll in bestimmten Bereichen des Netzwerks nicht gescannt wird entweder dauerhaft oder zu bestimmten Tageszeiten. Die sicherste besteht darin, den gesamten Datenverkehr zu scannen. Bevor Sie das Scannen beliebigen Datenverkehrs deaktivieren, sollten Sie die Sicherheitsrisiken bedenken. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 191

192 4 Übersicht über Web-Funktionen Web-Konfiguration Klicken Sie auf diese Symbole und die Port-Headings, um Symbole zum Verwalten der Port-Informationen anzuzeigen: Umgekehrte DNS-Suchen aktivieren Wenn ausgewählt, kann die Appliance den zu einer IP-Adresse gehörenden Host-Namen finden. Ändern Sie die Einstellungen für die umgekehrte Suche nur, wenn Sie sich über die Konsequenzen im Klaren sind. Wenn Sie umgekehrte DNS-Suchen verweigern, schlagen einige Funktionen möglicherweise fehl. sbeschreibungen Zeitüberschreitungen Zeitüberschreitung des Befehls Verbindung prüfen in Abständen von Gibt an, wie lange die Appliance wartet, bis eine FTP-Verbindung geschlossen wird, wenn sie keinen FTP-Befehl erhalten hat. Der Standardwert liegt bei 300 Sekunden. Gibt an, wie häufig die Appliance die FTP-Verbindung prüft. Der Standardwert liegt bei 20 Sekunden. FTP-Protokolleinstellungen Auf dieser Seite können Sie angeben, wie die Appliance die Kommunikation zwischen der Appliance und Hosts in Ihren Netzwerken steuert. Diese Möglichkeit kann für Funktionen wie das Durchlassen von Daten und das Keepalive-Intervall verwendet werden. Web Web-Konfiguration FTP Protokolleinstellungen Die Seite verfügt über folgende Abschnitte: Datenverarbeitung Downloadstatus und Durchlassen von Daten Uploadstatus und Durchlassen von Daten Übergabe-Host sbeschreibungen Datenverarbeitung Client-Meldungen aktivieren Hilfemeldung Konfigurieren Sie Client-Meldungen, die von der Appliance erzeugt und von Benutzern angezeigt werden, die über FTP eine Verbindung zur Appliance herstellen. Die Meldungen verhindern, dass bei FTP-Downloads eine Zeitüberschreitung auftritt. Sie stehen im Modus "Expliziter Proxy" oder in transparenten Modi zur Verfügung, wenn eine Verbindung über den Proxy der Appliance hergestellt wird. Gibt die Hilfenachricht an, die angezeigt wird, wenn ein Client eine FTP-Hilfeanfrage an die Appliance schickt. Die Nachricht muss als reine Textnachricht vorliegen und US-ASCII-konform sein and Web Security Appliances 5.6 Patch 1 Produkthandbuch

193 Übersicht über Web-Funktionen Web-Konfiguration 4 Begrüßung Keepalive-Intervall Keepalive-Befehl Verweigerte Befehle Gibt die Willkommensnachricht an, die einem Benutzer angezeigt wird, wenn er über FTP eine Verbindung zur Appliance herstellt. Die Nachricht muss als reine Textnachricht vorliegen und US-ASCII-konform sein. Gibt an, wie häufig ein Keepalive-Befehl gesendet werden soll. Der Standardwert liegt bei 60 Sekunden. Gibt einen Keepalive-Befehl an, der verhindert, dass eine Zeitüberschreitung bei der Verbindung zwischen der Appliance und dem weiterleitenden Netzwerkgerät auftritt, wenn die Appliance große Dateien scannt. Die Appliance sendet diesen Befehl wiederholt an das Gerät. Der Standardbefehl lautet SYST. Gibt FTP-Befehle an, die die Appliance nicht akzeptiert. (Erweiterte Einstellung.) sbeschreibungen Download-Status und Durchlassen von Daten Downloads zulassen Für Daten-Downloads 8-Bit-Daten im ASCII-Modus blockieren Nachrichten senden alle Durchlassen von heruntergeladenen Daten Sie können die Appliance so konfigurieren, dass mit dem Herunterladen (und Durchlassen) der Datei auf den Client begonnen wird, bevor die gesamte Datei vom Server empfangen und von der Appliance gescannt wurde. Gibt an, wie die Appliance FTP-Downloads verarbeitet. Die Standardwerte sind: Downloads zulassen Ja. Daten scannen Ja. 8-Bit-Daten im ASCII-Modus blockieren Nein. Wenn ausgewählt, wird die Übertragung einiger Typen blockiert. FTP erlaubt das Übertragen von Daten zwischen Computern in zwei Modi dem binären und dem 8-Bit-ASCII-Modus (American Standard Code for Information Interchange). Der binäre Modus ist konsistent über verschiedene Computer-Plattformen, so dass seine Daten effektiv gescannt werden können. Der 8-Bit-ASCII-Modus kann jedoch unterschiedliche Zeichencodes und Formatierungen enthalten, je nach den verwendeten Computersystemen, so dass sich Viren innerhalb dieser Daten verstecken können. Der Standardwert liegt bei 10 Sekunden. Gibt die Details zum Durchlassen von Daten an. Die Standardwerte sind: Verzögerung vor Beginn des Durchlassens von Daten 15 Sekunden. Daten durchlassen alle 10 Sekunden. Menge der jedes Mal durchzulassenden Daten 1024 Byte. Maximale Menge der durchzulassenden Daten 10 %. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 193

194 4 Übersicht über Web-Funktionen Web-Richtlinien sbeschreibungen Upload-Status und Durchlassen von Daten Uploads zulassen Für Daten-Uploads Die Appliance kann so konfiguriert werden, dass das Hochladen von Dateien über eine FTP-Verbindung zugelassen oder verweigert wird, und Statusnachrichten anzeigen, die den Client darüber informieren, dass ein Upload noch nicht abgeschlossen ist. Mit dem Hochladen von Dateien (Durchlassen von Daten) zu einem Client kann auch schon begonnen werden, bevor die gesamte Datei vom Server empfangen und von der Appliance gescannt wurde. Gibt an, wie die Appliance FTP-Downloads verarbeitet. Die Standardwerte sind: Uploads zulassen Ja. Daten scannen Ja. 8-Bit-Daten im ASCII-Modus blockieren Nein. Nachrichten senden alle Durchlassen von hochgeladenen Daten Der Standardwert liegt bei 10 Sekunden. Gibt die Details zum Durchlassen von Daten an. Die Standardwerte sind: Verzögerung vor Beginn des Durchlassens von Daten 15 Sekunden. Daten durchlassen alle 10 Sekunden. Menge der jedes Mal durchzulassenden Daten 1024 Byte. Maximale Menge der durchzulassenden Daten 10 %. sbeschreibungen Übergabe-Host Das Ändern dieser Einstellungen kann sich auf die Leistung beim Scannen auswirken. Wenden Sie sich an Ihren Netzwerkexperten, wenn Sie sich bzgl. der Auswirkungen beim Vornehmen von Änderungen nicht sicher sind. IP-Adresse des Übergabe-Hosts Gibt einen Server an, der für die Verarbeitung von Client-Anforderungen verantwortlich ist. Ein FTP-Übergabe-Host leitet alle Client-Anfragen an einen bestimmten FTP-Proxyserver weiter. Wenn Ihre Firewall beispielsweise über einen FTP-Proxyserver verfügt, benutzen Sie diese, um FTP-Anfragen an die Firewall umzuleiten. Web-Richtlinien Auf dieser Seite können Sie Richtlinien für Ihren Web-Verkehr festlegen und anzeigen. Inhalt Einführung in die Richtlinien Scan-Richtlinien für das Web Wörterbücher 194 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

195 Übersicht über Web-Funktionen Web-Richtlinien 4 Einführung in die Richtlinien Die Appliance verwendet Richtlinien zur der Aktionen, die die Appliance bei Bedrohung durch Viren, Spam, unerwünschte Dateien und Verlust kritischer Informationen ausführen muss. -Richtlinien Web Web-Richtlinien Richtlinien sind Sammlungen von Regeln oder Einstellungen, die auf bestimmte Arten von Datenverkehr oder auf Benutzergruppen angewendet werden können. FTP-Richtlinien Die Appliance bietet die folgenden Funktionen beim Scannen des FTP-Protokolls: Web Web-Richtlinien Scan-Richtlinien FTP Antiviren-Schutz Scanner-Steuerung Die Appliance kann auch die folgenden Inhaltstypen verarbeiten: Warnungseinstellungen ICAP-Richtlinien Die Appliance bietet beim Scannen des ICAP-Protokolls die folgenden Funktionen: Web Web-Richtlinien Scan-Richtlinien ICAP Antiviren-Schutz URL-Filterung Scanner-Steuerung Die Appliance kann auch die folgenden Inhaltstypen verarbeiten: Warnungseinstellungen HTML-Einstellungen Die Appliance kann verschiedene Richtlinien gemäß ICAP-Dienst anwenden Anfrageänderung (REQMOD) oder Antwortänderung (RESPMOD). HTTP-Richtlinien Web Web-Richtlinien Scan-Richtlinien HTTP and Web Security Appliances 5.6 Patch 1 Produkthandbuch 195

196 4 Übersicht über Web-Funktionen Web-Richtlinien Sie können Richtlinien festlegen, die steuern, wie die Appliance HTTP-Datenverkehr auf Bedrohungen scannen soll. Antiviren-Schutz URL-Filterung Scanner-Steuerung Die Appliance kann auch die folgenden Inhaltstypen verarbeiten: Warnungseinstellungen HTML-Einstellungen Scan-Richtlinien für das Web Nutzen Sie diese Seite als den zentralen Ort, von dem aus Sie auf die Seiten und Dialogfelder zugreifen können, über die Sie Ihre Richtlinien einrichten und konfigurieren können. Web Web-Richtlinien Scan-Richtlinien Richtlinieneinstellungen geben an, wie die Appliance Bedrohungen für Benutzer- oder Gerätegruppen verarbeitet. Eine Richtlinie kann beispielsweise für alle Computer im gleichen Subnetz oder alle Benutzer in einer Abteilung gelten. Vorteile der Verwendung der Seite "Scan-Richtlinien" Die Seite Scan-Richtlinien ermöglicht Ihnen den Zugriff auf alle Formulare, die Sie für das Konfigurieren und Verwalten der Richtlinien für die Protokolle HTTP, ICAP, FTP und HTTPS benötigen. Die Benutzerschnittstelle bietet einen Überblick über Ihre Richtlinieneinstellungen und liefert Informationen zu jeder Richtlinie, beispielsweise welche Maßnahme beim Erkennen eines Virus getroffen wird. Wenn Sie auf bestimmte Informationen klicken, wird die Seite angezeigt, auf der diese Einstellungen konfiguriert werden. Falls möglich, wird ein allgemeines Layout für die Unterseiten verwendet, über die Sie die Einstellungen bearbeiten können. Beispielsweise wird die Seite Virenschutzeinstellungen gleichermaßen unter -Richtlinien Scan-Richtlinien und unter Web Web-Richtlinien Scan-Richtlinien verwendet. Sie werden also mit Komponenten der Benutzerschnittstelle arbeiten, die Ihnen vertraut sind. Benutzerschnittstelle sbeschreibungen Folgende Bedienelemente und Informationen stehen für die Konfiguration dieser Funktion zur Verfügung: Tabelle 4-2 sbeschreibungen Protokoll auswählen: Reihenfolge Verwenden Sie die Dropdown-Liste, um Ihre Richtlinien für das HTTP-, ICAP- oder FTP-Protokoll anzuzeigen, zu erstellen oder zu bearbeiten. Die Richtlinien werden der Reihe nach von oben nach unten angewendet. Wenn Sie mehr als eine Richtlinie erstellt haben, können Sie die Reihenfolge auswählen, in der die Richtlinien angewendet werden sollen and Web Security Appliances 5.6 Patch 1 Produkthandbuch

197 Übersicht über Web-Funktionen Web-Richtlinien 4 Tabelle 4-2 sbeschreibungen (Fortsetzung) Richtlinienname Virenschutz Web-Reputation und Kategorisierung Compliance Zeigt den Namen jeder Richtlinie an. Die Appliance weist immer eine Standardrichtlinie auf, die für alle Objekte im Netzwerk gilt. Sie können die Standardrichtlinie ändern, jedoch nicht löschen. Um die Benutzer oder Geräte anzuzeigen, die von einer Richtlinie betroffen sind, bewegen Sie den Mauszeiger über den Richtliniennamen, und warten Sie, bis ein gelbes Kästchen angezeigt wird. Um Details der Richtlinie zu ändern, klicken Sie auf den blauen Link, um ein anderes Fenster zu öffnen. Zeigt kurz zusammengefasste Details zu den Einstellungen der Virenschutz-en an. Klicken Sie auf einen Link im Bereich Virenschutz der relevanten Richtlinie, um die Seite Virenschutzeinstellungen aufzurufen. Von der Seite Virenschutzeinstellungen aus können Sie auf Folgendes zugreifen: Virenschutzeinstellungen Grundlegende en Virenschutzeinstellungen McAfee Anti-Spyware Virenschutzeinstellungen Komprimierungsprogramme und Benutzerdefinierte Malware-en Zeigt kurz zusammengefasste Details zu den Einstellungen für die URL-Filterung an. Jeder Link im Bereich URL-Filterung der einzelnen Richtlinien öffnet eine separate Seite, die die Funktionen und en enthält, die Sie für die Konfiguration Ihrer Richtlinie benötigen. URL-Blacklists und -Whitelists HTTPS-Web-Kategorisierung McAfee GTI-Web-Kategorisierung Einstellungen für Web-Reputation und Kategorisierung (HTTP). Dazu gehören: SiteAdvisor-Web-Reputation Web-Kategorisierung Vom Benutzer kategorisierte URLs Warnungen und Einstellungen Zeitbasierte Einstellungen Zeigt kurz zusammengefasste Details zu den Einstellungen für die Compliance an. Jeder Link im Bereich Compliance der einzelnen Richtlinien öffnet eine separate Seite, die die Funktionen und en enthält, die Sie für die Konfiguration Ihrer Richtlinie benötigen. Sie können Folgendes konfigurieren: Compliance Stream-Medien Instant Messaging and Web Security Appliances 5.6 Patch 1 Produkthandbuch 197

198 4 Übersicht über Web-Funktionen Web-Richtlinien Tabelle 4-2 sbeschreibungen (Fortsetzung) Scanner-en Verschieben Zeigt kurz zusammengefasste Details zu den Einstellungen der Scanner-en an. Jeder Link im Bereich Scanner-en der einzelnen Richtlinien öffnet eine separate Seite, die die Funktionen und en enthält, die Sie für die Konfiguration Ihrer Richtlinie benötigen. Sie können Folgendes konfigurieren: Scan-Grenzen mit folgenden Informationen: Maximale Dateigröße Maximale Verschachtelungstiefe Maximale Scan-Zeit Inhaltsverarbeitung mit folgenden Informationen: HTML-en Beschädigter oder unleserlicher Inhalt Warnungseinstellungen HTTP-Scans Verwenden Sie die Pfeilsymbole, um Ihre Richtlinien in der Prioritätenreihenfolge nach oben oder unten zu verschieben. Verschiebt die Richtlinie nach unten Verschiebt die Richtlinie nach oben Die Standardrichtlinie wird immer am unteren Ende der Richtlinienliste angezeigt. Sie können die Position nicht verändern. Löschen Nach dem Erstellen der Richtlinien können Sie wählen, die Richtlinien zu löschen, die Sie nicht mehr benötigen, indem Sie auf das klicken. Sie können die Standardrichtlinie nicht löschen. Richtlinie hinzufügen Ermöglicht durch Klicken die Erstellung einer neuen Richtlinie. Vorgehensweise Anzeigen der Richtlinien für die Protokolle "HTTP", "ICAP" oder " FTP" Auf dieser Seite können Sie die -Scan-Richtlinien für HTTP, ICAP oder FTP festlegen. 1 Klicken Sie auf Web Web-Richtlinien Scan-Richtlinien. 2 Wählen Sie unterhalb von Protokoll auswählen: entweder HTTP, ICAP oder FTP aus der Dropdown-Liste aus. Die Seite Web Web-Richtlinien Scan-Richtlinien wird aktualisiert und zeigt die Richtlinien an, die für das ausgewählte Protokoll definiert wurden and Web Security Appliances 5.6 Patch 1 Produkthandbuch

199 Übersicht über Web-Funktionen Web-Richtlinien 4 Vorgehensweise Erstellen einer neuen Richtlinie Ihre Appliance scannt die über sie versendeten -Nachrichten anhand der von Ihnen erstellten Richtlinien. Sie können mehrere Richtlinien erstellen, um zu steuern, wie unterschiedliche Benutzer verwenden, oder um verschiedene Aktionen anzugeben, die abhängig von verschiedenen Bedingungen ausgeführt werden sollen. Gehen Sie wie nachfolgend beschrieben vor, um eine neue Scan-Richtlinie zu erstellen. 1 Klicken Sie auf Web Web-Richtlinien Scan-Richtlinien. 2 Wählen Sie das erforderliche Protokoll aus, indem Sie wie unter Anzeigen der Richtlinien für die Protokolle "HTTP", "ICAP" oder " FTP" beschrieben vorgehen. 3 Klicken Sie auf Richtlinie hinzufügen... 4 Geben Sie auf der Seite Scan-Richtlinien Neue Richtlinie folgende Informationen an: Einen Namen für die Richtlinie. Eine optionale für die neue Richtlinie. Woher sich die Einstellungen der neuen Richtlinie ableiten. Wenn Sie bereits eine ähnliche Richtlinie eingerichtet haben, wählen Sie diese aus, um deren Einstellungen in die neue Richtlinie zu übernehmen. Wählen Sie die erforderliche Übereinstimmungs-Logik für die Richtlinie aus. Wählen Sie den Regeltyp aus, wählen Sie, wie die Regel übereinstimmen sollte, und wählen Sie den den Wert aus, gegen den die Regel testet. Falls erforderlich, fügen Sie zusätzliche Regeln hinzu, und verwenden Sie die Schaltflächen und, um die Regeln in die richtige Reihenfolge zu bringen. 5 Klicken Sie auf OK. Die neue Regel wird an den Anfang der Richtlinienliste gesetzt. Vorgehensweise Ändern der Scan-Reihenfolge der Richtlinien Die Appliance berücksichtigt bei der Prüfung der gescannten -Nachrichten die Reihenfolge der Richtlinien. Eine Nachricht wird zuerst anhand der ersten Regel in der Reihenfolge geprüft. Wenn diese nicht greift, wird gegen Richtlinie 2 usw. geprüft, bis schließlich die Standard-Scan-Richtlinie angewendet wird. Wenn Sie mehr als zwei Scan-Richtlinien erstellt haben, können Sie die Reihenfolge ändern, in der die Appliance die Richtlinien für die Prüfung des -Verkehrs verwendet. Dies wird erreicht, indem die relevanten Richtlinien in der Richtlinienliste nach oben oder unten verschoben werden. Die Standardrichtlinie wird immer am unteren Ende der Richtlinienliste angezeigt. Sie können die Position nicht verändern. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 199

200 4 Übersicht über Web-Funktionen Web-Richtlinien 1 Klicken Sie auf Web Web-Richtlinien Scan-Richtlinien. 2 Identifizieren Sie die Richtlinie, die in der Auswertungsreihenfolge verschoben werden soll. 3 Klicken Sie in der Spalte Verschieben auf das Symbol oder, um die Richtlinie um eine Position zu verschieben. Falls sich die betreffende Richtlinie an erster Stelle in der Auswertungsreihenfolge oder direkt über der Standardrichtlinie befindet, kann jeweils eines der Symbole nicht ausgewählt werden. Vorgehensweise Löschen einer Richtlinie Die Standardrichtlinie kann nicht gelöscht werden. So löschen Sie eine zuvor erstellte Richtlinie: 1 Klicken Sie auf Web Web-Richtlinien Scan-Richtlinien. 2 Identifizieren Sie die Richtlinie, die gelöscht werden soll. 3 Klicken Sie auf das Symbol. 4 Bestätigen Sie, dass Sie die Richtlinie löschen möchten. Die Richtlinie wird gelöscht. Scan-Richtlinien Richtlinie hinzufügen... Verwenden Sie diese Seite, um eine neue Richtlinie anzugeben. Dazu gehört auch die Definition der Benutzer- oder Gerätegruppe, auf die die Richtlinie angewendet werden kann. -Richtlinien Scan-Richtlinien Richtlinie hinzufügen... Web Web-Richtlinien Scan-Richtlinien Richtlinie hinzufügen... Auf der Seite Richtlinie hinzufügen können Sie die Parameter angeben, die die Richtlinie definieren, die Benutzer oder Benutzergruppen hinzufügen, auf die die Richtlinie angewendet wird, sowie die Netzwerkgruppen und die URL-Gruppen angeben. sbeschreibungen Was definiert diese Richtlinie? Benutzergruppe hinzufügen, Netzwerkgruppe hinzufügen und URL-Gruppe hinzufügen Richtlinienname und (optional) Durch Klicken auf diese en können Sie komplexe Gruppen mit Benutzern, Geräten und URLs erstellen. Gibt den Richtliniennamen an, der auf der Seite Scan-Richtlinien angezeigt wird. Die wird nur hier angezeigt. Sie können eine ausführliche eingeben, um Sie an den Zweck dieser Richtlinie zu erinnern. Einstellungen erben von Bietet eine Liste aller vorhandenen Richtlinien, sodass Sie die Einstellungen einer neu erstellten Richtlinie von den bereits vorhandenen übernehmen können and Web Security Appliances 5.6 Patch 1 Produkthandbuch

201 Übersicht über Web-Funktionen Web-Richtlinien 4 Übereinstimmungs-Logik Regeltyp Übereinstimmung Wert Bietet eine Auswahl, die mit den Regeln in der Tabelle verwendet werden kann. Zeigt den Benutzer- oder Gerätetyp an. Beispiele von Anwendungsfällen für diese : Verzeichnisgruppe Wenn bereits Gruppen von Ihren LDAP-Servern importiert wurden. Sie werden dazu aufgefordert, eine Verzeichnisgruppe auszuwählen. Benutzergruppe Für eine komplexe Kombination aus -Adressen und Gruppen. Zeigt Verknüpfungswörter wie ist oder ist nicht gleich an. Verwenden Sie dieses Menü, um Benutzer und Gruppen ein- bzw. auszuschließen. Zeigt den Wert an, z. B. eine IP-Adresse. Bewegen Sie den Mauszeiger über die, um Hilfe zum Format des Werts zu erhalten. sbeschreibungen Benutzergruppe hinzufügen Gruppenname Regeltyp Übereinstimmung Wert Geben Sie den Namen der Benutzergruppe an. Zeigt den Benutzertyp an. Beispiele von Anwendungsfällen für diese : Authentifizierter Benutzer für authentifizierte Benutzer in Ihrem System. Verzeichnisgruppe des Benutzers für alle Benutzer in der angegebenen Verzeichnisgruppe. Zeigt Verknüpfungswörter wie ist oder ist nicht gleich an. Verwenden Sie dieses Menü, um Benutzer und Gruppen ein- bzw. auszuschließen. Art des Werts, wie der Name des authentifizierten Benutzers oder die Verzeichnisgruppe. Bewegen Sie den Mauszeiger über die, um Hilfe zum Format des Werts zu erhalten. sbeschreibungen Netzwerkgruppe hinzufügen Gruppenname Regeltyp Übereinstimmung Wert Geben Sie den Namen der Netzwerkgruppe an. Zeigt den Typ der Netzwerkinformationen an. Beispiele von Anwendungsfällen für diese : IP-Adresse Definiert die IP-Adresse, auf die die Regelgruppen angewendet werden. Host-Name Geben Sie den Host-Namen für die Regelgruppen an. Zeigt Verknüpfungswörter wie ist oder ist nicht gleich an. Verwenden Sie dieses Menü, um Benutzer und Gruppen ein- bzw. auszuschließen. Definiert den Wert, z. B. eine IP-Adresse. Bewegen Sie den Mauszeiger über die, um Hilfe zum Format des Werts zu erhalten. sbeschreibungen URL-Gruppe hinzufügen Gruppenname Regeltyp Geben Sie den Namen der URL-Gruppe an. Für die URL-Gruppe ist der Regeltyp Angefragter URL. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 201

202 4 Übersicht über Web-Funktionen Web-Richtlinien Übereinstimmung Wert Zeigt Verknüpfungswörter wie ist oder ist nicht gleich an. Verwenden Sie dieses Menü, um Benutzer und Gruppen ein- bzw. auszuschließen. Zeigt den Wert an, z. B. eine IP-Adresse. Bewegen Sie den Mauszeiger über die, um Hilfe zum Format des Werts zu erhalten. Virenschutzeinstellungen Grundlegende en Auf dieser Seite können Sie grundlegende en für den Virenscanner angeben. -Richtlinien Scan-Richtlinien [Antivirus] Antivirus Grundlegende en Web Web-Richtlinien Scan-Richtlinien [Antivirus] Antivirus Grundlegende en Tabelle 4-3 sbeschreibungen Virenscans aktivieren Zu scannende Dateien festlegen Bei Auswahl dieser werden Scans nach Viren und anderen Bedrohungen wie Würmern und Spyware durchgeführt. Die ist normalerweise auf Ja festgelegt. Wählen Sie nur dann Nein aus, falls im Netzwerk an anderer Stelle ein Virenschutz vorhanden ist. Alle Dateien scannen Diese bietet den höchsten Schutz. Die Scans nehmen jedoch mehr Zeit in Anspruch und können sich auf die Leistung auswirken. Standard-Dateitypen Es werden nur die anfälligsten Dateitypen gescannt. Definierte Dateitypen Es werden nur die Dateitypen in der Liste gescannt. Scannt Archivdateien (.ZIP,.ARJ,.RAR...) Bei Auswahl dieser wird dieser Dateityp gescannt. Die Scans nehmen jedoch mehr Zeit in Anspruch und können sich auf die Leistung auswirken. Der Inhalt dieser Dateien ist nur gefährlich, wenn die im Archiv befindlichen Dateien extrahiert werden. Diese Dateien können dann von Scannern auf einzelnen Computern im Netzwerk gescannt werden, die beim Zugriff auf die Dateien aktiv werden. Unbekannte Dateiviren suchen Unbekannte Makroviren finden bis Alle Makros aus Dokumentdateien entfernen Bei Auswahl dieser wird eine zusätzliche Analyse durchgeführt, um virusähnliches Verhalten aufzuspüren. Bei Auswahl dieser werden Aktionen gegen Makros in Dokumenten durchgeführt. Makros in Dokumenten sind ein beliebtes Ziel bei Virenautoren and Web Security Appliances 5.6 Patch 1 Produkthandbuch

203 Übersicht über Web-Funktionen Web-Richtlinien 4 Tabelle 4-3 sbeschreibungen (Fortsetzung) McAfee Global Threat Intelligence-Datei-Reputation aktivieren mit Empfindlichkeitsstufe Säuberung versuchen Wenn das Säubern erfolgreich ist Wenn das Säubern fehlschlägt Standardwarnung verwenden Und auch Wenn eine Datei nach dem Säubern null Byte aufweist Aufgedeckte Inhalte für andere Scanner verfügbar machen Aktiviert die Datei-Reputation von McAfee Global Threat Intelligence auf Ihrer Appliance. Die Datei-Reputation von McAfee Global Threat Intelligence ergänzt die DAT-basierten Signaturen, indem den Appliances der Zugriff auf Millionen von Cloud-basierten Signaturen ermöglicht wird. Dadurch wird die Zeitspanne zwischen der Entdeckung einer neuen Malware durch McAfee und deren Aufnahme in die DAT-Dateien reduziert, was den Schutz erhöht. Mithilfe der Empfindlichkeitssstufen können Sie zwischen dem Risiko, möglicherweise schädliche Inhalte zu übersehen (niedrige Einstellung), und dem Risiko von falsch-positiven Erkennungen (hohe Einstellung) abwägen. Für Gateway-Appliances ist "Mittel" die empfohlene Empfindlichkeitsstufe. Bei Auswahl dieser wird die Infektion im betroffenen Element nach Möglichkeit entfernt. Wenn diese deaktiviert ist, wird das gesamte Element entfernt. Bietet verschiedene Aktionen nach erfolgreicher Säuberung. Bietet verschiedene Aktionen nach nicht erfolgreicher Säuberung. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Bietet verschiedene weitere Aktionen. Bietet eine Aktion gegen Dateien, die nunmehr leer sind. Dateien mit einer Größe von null Byte können keine Bedrohungen enthalten. Möglicherweise möchten Sie diese jedoch entfernen, damit die Benutzer nicht verunsichert werden. Bei Auswahl dieser wird zusätzlicher Schutz vor unerwünschtem Inhalt hinzugefügt. Die Techniken, die versteckte Viren und Malware erkennen, werden für Inhaltsscans verfügbar gemacht. Virenschutzeinstellungen McAfee Anti-Spyware Auf dieser Seite können Sie die McAfee Anti-Spyware-Einstellungen für den Virenscanner angeben. -Richtlinien Scan-Richtlinien Viren: Virenschutzeinstellungen McAfee Anti-Spyware Web Web-Richtlinien Scan-Richtlinien Viren: Virenschutzeinstellungen McAfee Anti-Spyware and Web Security Appliances 5.6 Patch 1 Produkthandbuch 203

204 4 Übersicht über Web-Funktionen Web-Richtlinien Tabelle 4-4 sbeschreibungen Virenscans aktivieren Erkennung aktivieren Spyware bis Andere PUPe Ausschließen und Einschließen Bei Erkennung Standardwarnung verwenden Und auch Bei Auswahl dieser werden Scans nach Viren und anderen Bedrohungen wie Würmern und Spyware durchgeführt. Die ist normalerweise auf Ja festgelegt. Wählen Sie nur dann Nein aus, falls im Netzwerk an anderer Stelle ein Virenschutz vorhanden ist. Klicken Sie auf den Link, um den Disclaimer zu lesen. Bei Auswahl dieser wird dieser Programmtyp erkannt. Ermöglicht das Erstellen einer Liste mit Namen von Programmen, die gescannt oder ignoriert werden sollen. Bietet eine Hauptaktion, die durchgeführt werden soll. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Bietet verschiedene weitere durchzuführende Aktionen. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strg- oder Umschalttaste gedrückt. Weitere Informationen über Spyware finden Sie in der Bedrohungsbibliothek der McAfee Labs ( vil.nai.com/vil/default.aspx). Virenschutzeinstellungen Komprimierungsprogramme Verwenden Sie diese Seite, um die Aktionen anzugeben, die gegen Komprimierungsprogramme durchgeführt werden sollen. -Richtlinien Scan-Richtlinien [Antivirus] Komprimierungsprogramme Web Web-Richtlinien Scan-Richtlinien [Antivirus] Komprimierungsprogramme Komprimierungsprogramme komprimieren Dateien, wodurch die binäre Signatur von ausführbaren Dateien geändert wird. Komprimierungsprogramme können Trojaner komprimieren, wodurch diese schwerer zu erkennen sind. Tabelle 4-5 sbeschreibungen Ausschließen und Einschließen Bei Erkennung Standardwarnung verwenden Und auch Ermöglicht das Erstellen einer Liste mit Namen von Komprimierungsprogrammen, die gescannt oder ignoriert werden sollen. Bietet eine Hauptaktion, die durchgeführt werden soll. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Bietet verschiedene weitere durchzuführende Aktionen. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strg- oder Umschalttaste gedrückt and Web Security Appliances 5.6 Patch 1 Produkthandbuch

205 Übersicht über Web-Funktionen Web-Richtlinien 4 Virenschutzeinstellungen Benutzerdefinierte Malware-en Verwenden Sie diese Seite, um die Aktionen anzugeben, die beim Erkennen bestimmter schädlicher Software ("Malware") durchgeführt werden sollen. -Richtlinien Scan-Richtlinien [Antivirus] Benutzerdefinierte Malware-en Web Web-Richtlinien Scan-Richtlinien [Antivirus] Benutzerdefinierte Malware-en Tabelle 4-6 sbeschreibungen Mass-Mailer bis Trojaner Spezifischer Erkennungsname Bei Erkennung Standardwarnung verwenden Und auch Benutzerdefinierte Malware-Überprüfung nicht durchführen, falls das Objekt bereits gesäubert wurde Bei Auswahl dieser wird die angegebene Aktion bei dieser Art Malware durchgeführt. Wenn diese nicht ausgewählt ist, wird die Malware gemäß der in den grundlegenden en verarbeitet. Bei Auswahl dieser können Sie die Namen bestimmter erkannter Bedrohungen hinzufügen. Die Zeichen "*" und "?" können verwendet werden, um mehrere sowie einzelne Zeichen in den Malware-Namen darzustellen. Bietet verschiedene durchzuführende Aktionen. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Bietet weitere durchzuführende Aktionen. Bei Auswahl dieser wird die weitere Verarbeitung verhindert. Einstellungen für HTTPS-Web-Kategorisierung Mithilfe dieser Seite können Sie den SSL-/HTTPS-Zugriff auf bestimmte Websites blockieren. Die Adresse einer sicheren Website weist folgende Form auf: Web Web-Richtlinien Scan-Richtlinien HTTPS-Web-Kategorisierung and Web Security Appliances 5.6 Patch 1 Produkthandbuch 205

206 4 Übersicht über Web-Funktionen Web-Richtlinien Um zu bestimmen, welche Websites blockiert werden sollen, schlägt die Appliance in ihren Listen verweigerter URLs nach. Die HTTPS-Filterung funktioniert möglicherweise nicht wie erwartet. Da der URL (Website-Adresse) verschlüsselt ist, muss die Appliance die IP-Adresse in einen Namen auflösen und dann den Namen mit einer Liste verweigerter URLs abgleichen. Hinter einer einzelnen IP-Adresse verbergen sich oft viele Websites. Z. B. werden und in aufgelöst. Die IP-Adresse wird jedoch nur in aufgelöst. Wenn die Liste verweigerter URLs enthält, aber nicht kann die Appliance eine sichere HTTP-Verbindung zu nicht blockieren. Tabelle 4-7 sbeschreibungen Blacklist- und Whitelist-Überprüfungen für HTTPS-URLs aktivieren Wählen Sie diese aus, um HTTPS-URLs mit einer Liste zugelassener oder verweigerter URLs abzugleichen. HTTPS-Web-Kategorisierung McAfee GTI-Web-Kategorisierung Auf dieser Seite können Sie den Zugriff auf sichere Websites blockieren. Sichere Websites weisen Adressen folgender Form auf: Tabelle 4-8 sbeschreibungen McAfee GTI Web-Kategorisierung für HTTPS-URLs aktivieren URLs blockieren, wenn die Aktion "Coachen" lautet. Standardmäßig ist diese aktiviert. Die Appliance kann die verschlüsselten Inhalte einer HTTPS-Konversation nicht lesen, sie kann jedoch anhand der IP-Adresse herausfinden, ob der Zugriff auf die Website erlaubt werden sollte. Standardmäßig ist diese aktiviert. Alle gecoachten Websites werden über HTTPS blockiert, da die Appliance die verschlüsselten Inhalte einer HTTPS-Konversation nicht lesen und daher die über HTTP angebotene Coaching-Funktion nicht bereitstellen kann. FAQ Warum wird der HTTP-Zugriff auf eine Website blockiert, der HTTPS-Zugriff jedoch nicht? Es ist wichtig, die Reihenfolge zu kennen, in der die Appliance HTTP-Zugriffsanfragen prüft: Die Appliance schlägt den vom Browser bereitgestellten URL nach. Wenn der Name der Website mit einer verbotenen Kategorie übereinstimmt, wird der Zugriff auf die Website blockiert. Wenn die Appliance den vom Browser bereitgestellten URL nicht sehen kann, weil er verschlüsselt ist, jedoch die IP-Adresse sehen kann, zu der der Browser versucht, eine Verbindung herzustellen, führt die Appliance mit dieser IP-Adresse eine umgekehrte DNS-Suche aus, um den zugehörigen URL zu finden. Mit der Rückgabe von der DNS-Suche führt die Appliance dieselbe Website-Namenssuche aus wie bei einer HTTP-Zugriffsanfrage. Gelegentlich kann es vorkommen, dass die Website, auf die der Browser zuzugreifen versucht, nicht die erforderlichen DNS-Einträge hat. Beispiel: 206 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

207 Übersicht über Web-Funktionen Web-Richtlinien 4 ist eine bekannte bösartige Website wird in die IP-Adresse aufgelöst Bei der umgekehrten DNS-Suche mit erhält die Appliance eines der folgenden Ergebnisse: der HTTPS-Zugriff kann blockiert werden der HTTPS-Zugriff basiert auf dem anderen Website-Namen, der zurückgegeben wird NXDOMAIN es gibt keinen zu prüfenden Website-Namen, und die Appliance führt eine Zugriffsprüfung auf Grundlage der IP-Adresse aus URL-Blacklists und -Whitelists Verwenden Sie diese Seite, um Listen mit URLs (Listen mit Website-Adressen) zu kompilieren, für die der Zugriff durch Benutzer zulässig ist oder verweigert wird. Diese Seite enthält die folgenden Registerkarten, auf denen Sie verschiedene Listen definieren können: Blacklist-URLs Blacklist-URLs (Regex) Whitelist-URLs Whitelist-URLs (Regex) Auf jeder Registerkarte stehen Ihnen ähnliche Steuerelemente zum Verwalten der jeweiligen Listen zur Verfügung. Tabelle 4-9 sbeschreibungen URL URL hinzufügen Listen importieren Listen exportieren Zeigt die aktuelle Liste der URLs an. Klicken Sie, um einen URL zur Liste hinzuzufügen. Importieren Sie eine zuvor vorbereitete Liste von URLs. Dabei können Sie zwischen den folgenden en wählen: Die aktuellen Inhalte überschreiben Die neuen Werte mit den aktuellen Inhalten zusammenführen Exportieren Sie die aktuelle Liste der URLs in eine Textdatei, die Sie in Ihrem lokalen Dateisystem speichern können. Diese Datei kann in andere McAfee and Web Security-Appliances importiert werden. SiteAdvisor-Web-Reputation Mithilfe dieser Seite können Sie den Zugriff auf Websites entsprechend ihrer McAfee SiteAdvisor -Klassifizierung steuern. Web Web-Richtlinien Scan-Richtlinien [Web-Reputation und Kategorisierung] SiteAdvisor-Web-Reputation and Web Security Appliances 5.6 Patch 1 Produkthandbuch 207

208 4 Übersicht über Web-Funktionen Web-Richtlinien SiteAdvisor klassifiziert Sites entsprechend ihrem Verhalten oder ihrer Reputation, sodass Richtlinien auf der Appliance aktiviert werden, die den Zugriff auf unpassende Websites blockieren oder diesbezüglich Warnhinweise ausgeben. SiteAdvisor unterstützt Sie dabei, Störungen wie Spam und Adware zu reduzieren, die die Benutzer möglicherweise von einigen Websites erhalten. Wenn Sie Zeiteinstellung ausgewählt haben, können Sie auch Zeiträume angeben, in denen der Zugriff auf Websites variieren kann. Beispiel: An Wochentagen Montag bis Freitag, 8 bis 17 Uhr, tagsüber, ist nur der Zugriff auf Websites erlaubt, die als SiteAdvisor Test OK klassifiziert sind. Wochentags abends Montag bis Freitag jeweils an den Abenden ist der Zugriff auf Websites erlaubt, die als SiteAdvisor Vorsicht klassifiziert sind. Wochenende Am Samstag und Sonntag wird der Zugriff auf Websites gecoacht, die als SiteAdvisor Warnung klassifiziert sind. Tabelle 4-10 sbeschreibungen Wann (nur für Zeiteinstellungen) Klassifizierungscode Maßnahme Gibt den Zeitraum an, in dem diese Einstellungen für SiteAdvisor gelten. Wählen Sie eine passende Bezeichnung aus, wie Wochentags, Abends oder Am Wochenende. Zeigt das Symbol an, das Benutzer sehen, wenn sie versuchen, eine Website zu besuchen. Zeigt die Aktion an, die die Appliance durchführt, wie Zugriff verweigern. Die Klassifizierung Nicht getestet umfasst interne Websites und die Netzwerkinfrastruktur. Falls die Aktion auf Zugriff verweigern gesetzt ist, wird der Zugriff blockiert, und es können unerwartete Probleme auftreten. Wenn beispielsweise der Verwaltungszugriff auf die Appliance über die Appliance erfolgt, blockiert die Appliance den Zugriff auf ihre eigenen Webseiten. Web-Kategorisierung Mithilfe dieser Seite können Sie Websites entsprechend ihrer Kategorie verarbeiten. Web Web-Richtlinien Scan-Richtlinien [Web-Reputation und Kategorisierung] Web-Kategorisierung Wenn Sie Zeiteinstellung ausgewählt haben, können Sie auch Zeiträume angeben, in denen der Zugriff auf Websites variieren kann. Beispiel: An Wochentagen Montag bis Freitag, 8 bis 17 Uhr, tagsüber, ist nur der Zugriff auf Websites erlaubt, die als Zugriff überwachen klassifiziert sind. Wochentags abends Montag bis Freitag jeweils an den Abenden ist der Zugriff auf Websites erlaubt, die als Durchlassen klassifiziert sind. Wochenende Am Samstag und Sonntag wird der Zugriff auf Websites gecoacht, die als Zugriff coachen klassifiziert sind and Web Security Appliances 5.6 Patch 1 Produkthandbuch

209 Übersicht über Web-Funktionen Web-Richtlinien 4 Tabelle 4-11 sbeschreibungen Klassifizierungscode Aktionscode Stichwörter bearbeiten Remote-Suche zulassen Zeigt den Typ von gesperrten Begriffen an, wie Drogen oder Waffen. Die Liste beginnt mit einigen Kategorien zu Ihrer eigenen Verwendung, die mit Nicht kategorisiert und Vom Benutzer definiert bezeichnet sind. Gibt die Aktion an, die die Appliance durchführt, z. B. Zugriff verweigern oder Durchlassen. Wenn Sie hierauf klicken, wird ein weiteres Fenster geöffnet, in dem Sie Stichwörter für die ausgewählte Kategorie hinzufügen oder löschen können. Wenn diese aktiviert ist, können Sie die Durchführung von Remote-Suchen veranlassen. Bei Auswahl der gelten die folgenden Parameter und Standardwerte: Abfragezeitlimit: 200 ms Maximale Anzahl an Versuchen: 3 Cache-Gültigkeitsdauer: 15 Minuten Cache retry before expiry: 5 Minuten Die Remote-Suche wird nicht durchgeführt, wenn sie nach dem Zeitraum von "Cache-Gültigkeitsdauer MINUS Cache retry before expiry" angefordert wird. Die bedeutet wiederum, dass die Appliance nur innerhalb von 10 Minuten nach der Remote-Suche ein Ergebnis vom Cache erhält. Zu den oben genannten Zeitangaben werden nach der ersten Suche noch eins bis zwei Sekunden zusätzlich für den SSL-Handshake benötigt. Sie können diese Einstellungen innerhalb der Benutzeroberfläche nicht ändern. Filtern von Suchmodusstichwörtern deaktivieren Wählen Sie diese, um das Filtern von Suchmaschinenstichwörtern zu stoppen. Vom Benutzer kategorisierte URLs Mithilfe dieser Seite können Sie angeben, wie die Appliance Websites behandelt, die in den Kategorien aufgeführt sind. Web Web-Richtlinien Scan-Richtlinien [Web-Reputation und Kategorisierung] Vom Benutzer kategorisierte URLs Wenn Sie Zeiteinstellung ausgewählt haben, können Sie auch Zeiträume angeben, in denen der Zugriff auf Websites variieren kann. Tabelle 4-12 sbeschreibungen URL Kategorien Zeigt die Website an, auf die die Appliance den Zugriff blockiert oder coacht. Zeigt die Kategorie der Website an. Wenn Sie sehen möchten, welche Regel auf die Kategorie angewendet wird, wählen Sie in der Navigationsleiste Web Web-Richtlinien Scan-Richtlinien [Web-Reputation und Kategorisierung] Web-Kategorisierung. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 209

210 4 Übersicht über Web-Funktionen Web-Richtlinien Warnungen und Einstellungen Auf dieser Seite können Sie Warnungen erstellen, die Benutzer sehen, wenn sie unangemessene Websites besuchen. Web Web-Richtlinien Scan-Richtlinien [Web-Reputation und Kategorisierung] Warnungen und Einstellungen Tabelle 4-13 sbeschreibungen Warnung, die angezeigt wird, wenn ein URL abgelehnt wird Warnung, die angezeigt wird, wenn ein URL gecoacht wird (Ändern Sie den standardmäßigen Warnungstext.) Coaching-Zeitraum -Adresse des Administrators Anzeigename des Administrators Wählen Sie diese, um die Standardwarnung zu verwenden. Wählen Sie diese, um die Standardwarnung zu verwenden. Klicken Sie hier, um den angezeigten Warnungstext zu bearbeiten. Der Standardwert ist 15 Minuten. Geben Sie die -Adresse des Administrators ein, die den Benutzern angezeigt wird. Geben Sie den Namen des Administrators ein, der den Benutzern angezeigt wird. Compliance-Einstellungen Über diese Seite können Sie Compliance-Regeln erstellen und verwalten. -Richtlinien Scan-Richtlinien Compliance Web Web-Richtlinien Scan-Richtlinien Compliance Vorteile der Verwendung der Compliance Verwenden Sie Compliance-Scans zur Unterstützung der Compliance mit gesetzlichen und betrieblichen Auflagen. Sie können aus einer Bibliothek aus vordefinierten Compliance-Regeln wählen oder eigene Regeln und Wörterbücher für Ihr Unternehmen erstellen. Compliance-Regeln können hinsichtlich ihrer Komplexität von einem einfachen Auslöser bei der Erkennung eines einzelnen Begriffs in einem Wörterbuch bis hin zum Aufbauen auf und Kombinieren von faktorbasierten Wörterbüchern variieren, die nur auslösen, wenn ein bestimmter Schwellenwert erreicht wird. Mithilfe der erweiterten Funktionen von Compliance-Regeln können Wörterbücher mit den logischen Operationen eines von, alle von oder außer kombiniert werden. Tabelle 4-14 sbeschreibungen Compliance aktivieren Regeln Wählen Sie diese aus, um die Compliance-Richtlinieneinstellungen zu aktivieren. Listet die konfigurierten Compliance-Regeln auf and Web Security Appliances 5.6 Patch 1 Produkthandbuch

211 Übersicht über Web-Funktionen Web-Richtlinien 4 Tabelle 4-14 sbeschreibungen (Fortsetzung) Neue Regel erstellen Neue Regel aus Vorlage erstellen Wenn eine Compliance-Aktion zu einer Warnung führt Klicken Sie hier, um einen Assistenten zu öffnen, der eine neue Compliance-Regel erstellt. Weitere Informationen hierzu finden Sie unter Assistent für die Regelerstellung. Klicken Sie hier, um einen Assistenten zu öffnen, der die vordefinierten Compliance-Regeln auflistet. Weitere Informationen hierzu finden Sie unter Assistent für die Regelerstellung. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Vorgehensweise Blockieren von -Nachrichten, die die Richtlinie "Bedrohliche Sprache" verletzen 1 Navigieren Sie zu -Richtlinien Scan-Richtlinien, und wählen Sie Compliance. 2 Klicken Sie im Dialogfeld Standard-Compliance-Einstellungen auf Ja, um die Richtlinie zu aktivieren. 3 Klicken Sie auf Neue Regel aus Vorlage erstellen, um den Assistenten für die Regelerstellung zu öffnen. 4 Wählen Sie die Richtlinie Zulässige Nutzung - Bedrohliche Sprache aus, und klicken Sie auf Weiter. 5 Sie können den Namen der Regel optional ändern. Klicken Sie anschließend auf Weiter. 6 Ändern Sie die primäre Aktion in Verbindung verweigern (Blockieren), und klicken Sie auf Fertig stellen. 7 Klicken Sie auf OK, und übernehmen Sie die Änderungen. Vorgehensweise Erstellen einer einfachen benutzerdefinierten Regel zum Blockieren von -Nachrichten, die Sozialversicherungsnummern enthalten 1 Navigieren Sie zu -Richtlinien Scan-Richtlinien, und wählen Sie Compliance. 2 Klicken Sie im Dialogfeld Standard-Compliance-Einstellungen auf Ja, um die Richtlinie zu aktivieren. 3 Klicken Sie auf Neue Regel erstellen, um den Assistent für die Regelerstellung zu öffnen. 4 Geben Sie einen Namen für die Regel ein, und klicken Sie auf Weiter. 5 Geben Sie im Suchfeld sozial ein. 6 Wählen Sie das Wörterbuch "Sozialversicherungsnummer" aus, und klicken Sie zweimal auf Weiter. 7 Wählen Sie die Aktion Verbindung verweigern (Blockieren) aus, und klicken Sie auf Fertig stellen. Vorgehensweise Erstellen einer komplexen benutzerdefinierten Regel Gehen Sie wie nachfolgend beschrieben vor, um eine komplexe Regel zu erstellen, die auslöst, wenn sowohl Wörterbuch A als auch Wörterbuch B erkannt werden, jedoch nicht, wenn darüber hinaus auch Wörterbuch C erkannt wird. 1 Navigieren Sie zu -Richtlinien Scan-Richtlinien, und wählen Sie Compliance. 2 Klicken Sie im Dialogfeld Standard-Compliance-Einstellungen auf Ja, um die Richtlinie zu aktivieren. 3 Klicken Sie auf Neue Regel erstellen, um den Assistent für die Regelerstellung zu öffnen. 4 Geben Sie einen Namen für die Regel ein, und klicken Sie auf Weiter. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 211

212 4 Übersicht über Web-Funktionen Web-Richtlinien 5 Wählen Sie zwei Wörterbücher aus, die in die Regel aufgenommen werden sollen, und klicken Sie auf Weiter. 6 Wählen Sie in der Ausschlussliste ein Wörterbuch aus, das Sie von der Regel ausschließen möchten. 7 Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn die Regel ausgelöst wird. 8 Wählen Sie im Dropdown-Feld Und bedingt die Alle aus, und klicken Sie auf Fertig stellen. Vorgehensweise Hinzufügen eines neuen Wörterbuchs zu einer vorhandenen Regel 1 Navigieren Sie zu -Richtlinien Scan-Richtlinien, und wählen Sie Compliance. 2 Erweitern Sie die Regel, die Sie bearbeiten möchten. 3 Wählen Sie Wörterbuch hinzufügen. 4 Wählen Sie das neue Wörterbuch aus, das Sie hinzufügen möchten, und klicken Sie auf OK. Vorgehensweise Konfigurieren einer "Unzufriedenheit"-Regel, die mit einem niedrigen Schwellenwert überwacht wird und bei einem hohen Schwellenwert blockiert Bei faktorbasierten Wörterbüchern kann es sinnvoll sein, Auslöser zu überwachen, die einen niedrigen Schwellenwert erreichen, und die s nur zu blockieren, wenn ein hoher Schwellenwert erreicht wird: 1 Navigieren Sie zu -Richtlinien Scan-Richtlinien, und wählen Sie Compliance. 2 Klicken Sie auf Neue Regel erstellen, geben Sie einen Namen für die Regel ein, beispielsweise Unzufriedenheit - Niedrig, und klicken Sie auf Weiter. 3 Wählen Sie das Wörterbuch "Unzufriedenheit" aus, und geben Sie unter Schwelle den Wert 20 ein. 4 Klicken Sie auf Weiter und anschließend erneut auf Weiter. 5 Akzeptieren Sie unter Wenn die Compliance-Regel ausgelöst wird die Standardaktion. 6 Klicken Sie auf Fertig stellen. 7 Wiederholen Sie die Schritte 2 bis 4, um eine weitere neue Regel zu erstellen. Nennen Sie diese jedoch Unzufriedenheit - Hoch, und weisen Sie ihr den Schwellenwert 40 zu. 8 Wählen Sie unter Wenn die Compliance-Regel ausgelöst wird die Verbindung verweigern (Blockieren) aus. 9 Klicken Sie auf Fertig stellen. 10 Klicken Sie auf OK, und übernehmen Sie die Änderungen and Web Security Appliances 5.6 Patch 1 Produkthandbuch

213 Übersicht über Web-Funktionen Web-Richtlinien 4 Vorgehensweise Bearbeiten des einer vorhandenen Regel zugewiesenen Schwellenwerts Bei dieser Vorgehensweise wird davon ausgegangen, dass Ihre Regel ein Wörterbuch enthält, das die Aktion basierend auf einem Schwellenwert auslöst, beispielsweise das Wörterbuch Vergütung und Leistungen. Unter Wörterbücher finden Sie Informationen zu dem Faktor, der einem bestimmten Begriff zugewiesen ist. 1 Navigieren Sie zu -Richtlinien Scan-Richtlinien, und wählen Sie Compliance. 2 Erweitern Sie die Regel, die Sie bearbeiten möchten, und wählen Sie anschließend das Symbol Bearbeiten neben dem Wörterbuch aus, dessen Faktor Sie ändern möchten. 3 Geben Sie unter "Schwellenwert für Wörterbuch" den Faktor ein, bei dem die Regel ausgelöst werden soll, und klicken Sie auf OK. Vorgehensweise Beschränken des Faktorbeitrags eines Wörterbuchbegriffs Bei dieser Vorgehensweise wird davon ausgegangen, dass Ihre Regel ein Wörterbuch enthält, das die Aktion basierend auf einem Schwellenwert auslöst, beispielsweise das Wörterbuch Vergütung und Leistungen. Bei solchen Wörterbüchern können Sie beschränken, wie oft ein Begriff zum Gesamtfaktor beitragen kann. Unter Wörterbücher finden Sie Informationen zu dem Faktor, der einem bestimmten Begriff zugewiesen ist. Wenn beispielsweise "Testbegriff" in einem Wörterbuch den Faktor 10 hat und fünfmal in einer erkannt wird, wird der 50 zum Gesamtfaktor addiert. Alternativ können Sie eine Beschränkung festlegen, sodass beispielsweise nur zwei Vorkommnisse zum Gesamtwert beitragen, indem Sie für "Max. Begriffsanzahl" den Wert "2" angeben. 1 Navigieren Sie zu -Richtlinien Scan-Richtlinien, und wählen Sie Compliance. 2 Erweitern Sie die Regel, die Sie bearbeiten möchten, und klicken Sie anschließend auf das Symbol Bearbeiten neben dem Wörterbuch, dessen Faktor Sie ändern möchten. 3 Geben Sie unter Max. Begriffsanzahl die maximale Anzahl an Vorkommnissen eines Begriffs an, die zum Gesamtfaktor beitragen sollen. Stream-Medien Auf dieser Seite können Sie einige Typen von Stream-Medien angeben, die die Appliance passieren. Web Web-Richtlinien Scan-Richtlinien [Compliance] Stream-Medien Die Appliance kann Stream-Medien nicht scannen. Wir empfehlen Ihnen, Stream-Medien des Typs "application/octet-stream" oder "application/*" die Appliance nicht passieren zu lassen, da diese MIME-Typen ausführbar sind und ein Sicherheitsrisiko darstellen. Tabelle 4-15 sbeschreibungen Inhaltstyp Servertyp Zeigt die Inhaltstypen für Stream-Daten an. Zeigt die Servertypen für Stream-Daten an. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 213

214 4 Übersicht über Web-Funktionen Web-Richtlinien Instant Messaging Verwenden Sie diese Seite, um anzugeben, wie Instant Messaging-Daten verarbeitet werden. Web Web-Richtlinien Scan-Richtlinien [Compliance] Instant Messaging Instant Messaging-Daten können Malware enthalten. Darüber hinaus kann die unangemessene Verwendung von Instant Messaging Mitarbeiter ablenken und die Produktivität verringern. Einige Instant Messaging-Clients versuchen, den Instant Messaging-Datenverkehr über einen HTTP-Tunnel zu übertragen. Die Appliance kann diese Nachrichten jedoch blockieren. Tabelle 4-16 sbeschreibungen ICQ, MSN und Yahoo Instant Messaging Standardmäßig werden keine Instant Messaging-Dienste blockiert. Scanner-Grenzen Auf dieser Seite können Sie Einschränkungen für das Scannen festlegen, um Angriffe sowie verschiedene andere Leistungsprobleme zu vermeiden. -Richtlinie Scan-Richtlinien Scanner-en Scan-Grenzen Web Web-Richtlinien Scan-Richtlinien [Scanner-en] Scan-Grenzen Die Standardwerte der Richtlinie sind in der Regel für die Verwendung geeignet. Möglicherweise ist jedoch eine weitere Richtlinie erforderlich, um die gelegentliche Übertragung von großen, tief verschachtelten Dateien zu ermöglichen oder um mögliche Angriffe zu untersuchen. sbeschreibungen Maximale Dateigröße Wenn die erweiterte Dateigröße größer ist als (Menü) Und auch Standardwarnung verwenden Gibt die Grenze an. Der Standardwert beträgt: Dateigröße 500 MB Gibt eine Hauptaktion an, die gegen die Nachricht unternommen werden soll. Bietet weitere Aktionen. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strgoder Umschalttaste gedrückt. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern and Web Security Appliances 5.6 Patch 1 Produkthandbuch

215 Übersicht über Web-Funktionen Web-Richtlinien 4 sbeschreibungen Maximale Verschachtelungstiefe Wenn die Verschachtelungstiefe größer ist als (Menü) Und auch Standardwarnung verwenden Gibt die Grenze an. Der Standardwert beträgt: Verschachtelungstiefe 100 Gibt eine Hauptaktion an, die gegen die Nachricht unternommen werden soll. Bietet weitere Aktionen. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strgoder Umschalttaste gedrückt. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. sbeschreibungen Maximale Scan-Zeit Wenn die Scan-Zeit länger ist als (Menü) Und auch Standardwarnung verwenden Gibt die Grenze an. Der Standardwert beträgt: Scan-Zeit 8 Minuten. Gibt eine Hauptaktion an, die gegen die Nachricht unternommen werden soll. Bietet weitere Aktionen. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strgoder Umschalttaste gedrückt. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Inhaltsverarbeitungseinstellungen HTML-en Verwenden Sie diese Seite, um anzugeben, wie die Appliance bestimmte in HTML-Daten eingebettete Elemente und Komponenten verarbeitet. -Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung HTML-en Web Web-Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung HTML-en Tabelle 4-17 sbeschreibungen Script-Elemente bis ActiveX-Komponenten Kommentare bis Raw HTML Bei Auswahl dieser wird das Element entfernt. Bei Flash-Objekten handelt es sich um ActiveX-Objekte, weshalb Sie diese auf Wunsch beibehalten können. Bei Auswahl dieser en werden die Elemente auf unangemessenen Inhalt hin gescannt. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 215

216 4 Übersicht über Web-Funktionen Web-Richtlinien Inhaltsverarbeitungseinstellungen Beschädigter oder unleserlicher Inhalt Beschädigter Inhalt Verwenden Sie diese Seite, um anzugeben, wie beschädigter Inhalt verarbeitet wird. -Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung Beschädigter oder unleserlicher Inhalt Web Web-Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung Beschädigter oder unleserlicher Inhalt Beschädigter Inhalt Bei Scannern und anderen Anwendungen können beim Lesen beschädigten Inhalts Schwierigkeiten auftreten. Sie können festlegen, welche Aktion ausgeführt werden soll, wenn die Appliance beschädigten Inhalt in Folgendem erkennt: -Nachrichten Archive Dokumente Tabelle 4-18 sbeschreibungen Wenn beschädigter Inhalt erkannt wird Und auch Bietet eine Hauptaktion, die bei beschädigtem Inhalt durchgeführt wird. Bietet verschiedene weitere durchzuführende Aktionen. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strgoder Umschalttaste gedrückt. Inhaltsverarbeitungseinstellungen Beschädigter oder unleserlicher Inhalt Geschützte Dateien Mithilfe dieser Seite können Sie angeben, welche Aktion bei Dateien durchgeführt werden soll, die in beliebiger Weise geschützt sind. -Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung Geschützte Dateien Web Web-Richtlinien Scan-Richtlinien Scanner-en Inhaltsverarbeitung Beschädigter oder unleserlicher Inhalt Geschützte Dateien Sie können festlegen, welche Aktion ausgeführt werden soll, wenn die Appliance einen -Anhang (Archiv oder Dokument) oder eine Datei, die von einer Website angefordert wird, aufgrund eines Kennwortschutzes nicht scannen kann. Wenn der Inhalt durch ein Kennwort geschützt ist, kann die Appliance die Inhalte nicht prüfen, da sie verschlüsselt sind. Wenn Sie auswählen, dass solche Dateien in Ihrem Netzwerk zulässig sind, müssen Sie sicherstellen, dass ihre Inhalte später von einem Zugriffsscanner auf sämtliche Bedrohungen hin gescannt werden können and Web Security Appliances 5.6 Patch 1 Produkthandbuch

217 Übersicht über Web-Funktionen Web-Richtlinien 4 Tabelle 4-19 sbeschreibungen Wenn ein lesegeschütztes Dokument erkannt wird Wenn eine kennwortgeschützte Archivdatei erkannt wird Standardwarnung verwenden Und auch Bietet eine Hauptaktion, die durchgeführt werden soll. Die Aktion, die lesegeschützten Dokumenten zugeordnet ist, wird nur ausgelöst, wenn Compliance-Scans aktiviert sind und der Inhalt des Dokuments nicht extrahiert werden kann. Bietet eine Hauptaktion, die durchgeführt werden soll. Bei Auswahl dieser wird beim Erkennen von Viren die Standardwarnung ausgegeben. Wenn diese deaktiviert ist, können Sie auf den Link klicken und dann den Text der Warnung ändern. Bietet verschiedene weitere durchzuführende Aktionen. Halten Sie zum Auswählen mehrerer Elemente beim Klicken die Strgoder Umschalttaste gedrückt. HTTP-Scans Verwenden Sie diese Seite zum Scannen von Anfrage- und Antworttexten, Cookies und Headern, um Exploits wie beispielsweise Pufferüberlaufangriffe und schädliche Skripts zu verhindern. Web Web-Richtlinien Scan-Richtlinien Scanner-en HTTP-Scans Tabelle 4-20 HTTP-Anfragen sbeschreibungen Anfrage-Header scannen Anfragetext scannen Wählen Sie diese aus, um die Header-Informationen von HTTP-Anfragen zu scannen. Wählen Sie diese aus, um die Body-Informationen von HTTP-Anfragen zu scannen. Tabelle 4-21 HTTP-Antworten sbeschreibungen Antwort-Header scannen Antworttext scannen Wählen Sie diese aus, um die Header-Informationen von HTTP-Antworten zu scannen. Wählen Sie diese aus, um die Body-Informationen von HTTP-Antworten zu scannen. Wörterbücher Auf dieser Seite können Sie Compliance-Wörterbücher anzeigen und bearbeiten. -Richtlinien Wörterbücher and Web Security Appliances 5.6 Patch 1 Produkthandbuch 217

218 4 Übersicht über Web-Funktionen Web-Richtlinien Web Web-Richtlinien Wörterbücher Die Wörterbücher enthalten Wörter und Ausdrücke, von denen sich einige Leser möglicherweise beleidigt fühlen. Vorteile der Verwendung von Compliance-Wörterbüchern Verwenden Sie Compliance-Scans zur Unterstützung der Compliance mit gesetzlichen und betrieblichen Auflagen. Sie können aus einer Bibliothek aus vordefinierten Compliance-Regeln wählen oder eigene Regeln und Wörterbücher für Ihr Unternehmen erstellen. Compliance-Regeln können hinsichtlich ihrer Komplexität von einem einfachen Auslöser bei der Erkennung eines einzelnen Begriffs in einem Wörterbuch bis hin zum Aufbauen auf und Kombinieren von faktorbasierten Wörterbüchern variieren, die nur auslösen, wenn ein bestimmter Schwellenwert erreicht wird. Mithilfe der erweiterten Funktionen von Compliance-Regeln können Wörterbücher mit den logischen Operationen "eines von", "alle von" oder "außer" kombiniert werden. Informationen zur Verwendung von Wörterbüchern finden Sie unter "Compliance-Einstellungen". sbeschreibungen Wörterbuchliste Sprache Filtert die Wörterbücher nach dem Gebietsschema. Durch die Auswahl einer Sprache werden alle in der Sprache verfügbaren Wörterbücher und alle sprachneutralen Wörterbücher ausgewählt. Wörterbuch Kategorie Verwendet von Bearbeiten Löschen Wörterbuch hinzufügen Zeigt den Namen des Wörterbuchs und ein Symbol zu dessen Typenidentifikation an: Rotes Buch: Nicht faktorbasiert Blaues Buch: Faktorbasiert Grünes Buch: Benutzerdefiniert Offenes Buch: Derzeit ausgewähltes Element Wörterbücher werden in verwandte Kategorien unterteilt. So gehören beispielsweise "Obszönitäten" und "Sex" zur Kategorie Zulässige Nutzung. Zeigt die Anzahl an Richtlinien an, die das Wörterbuch verwenden. Durch Klicken auf das Symbol wird ein Fenster geöffnet, in dem Sie den Wörterbuchnamen und die ändern können. Durch Klicken auf das Symbol wird das Wörterbuch in dieser Zeile entfernt. Durch Klicken auf diese wird ein neues Wörterbuch hinzugefügt. Geben Sie einen Namen und eine für das Wörterbuch ein, und wählen Sie aus, ob bei diesem Wörterbuch eine Übereinstimmung mithilfe von regulären Ausdrücken oder einfachen Zeichenfolgen ermittelt werden soll. Es wird eine neue Zeile für Ihr Wörterbuch unten in der Liste der Wörterbücher angezeigt. Sie können die Wörter zu einem späteren Zeitpunkt zu einem neuen Wörterbuch hinzufügen and Web Security Appliances 5.6 Patch 1 Produkthandbuch

219 Übersicht über Web-Funktionen Web-Richtlinien 4 Wörterbücher importieren Wörterbücher exportieren Wenn Sie darauf klicken, wird eine Datei importiert, die Ihre bestehenden Wörterbücher ersetzt. Wenn Sie auf diese klicken, werden die Wörterbücher als XML-Datei exportiert. Sie können die Datei an andere Appliances senden und so sicherstellen, dass Inhalts-Scans konsistent durchgeführt werden. Liste der Begriffe für das ausgewählte Wörterbuch Klicken Sie auf eine Zeile in der Wörterbuchliste, um den Inhalt des entsprechenden Wörterbuchs anzuzeigen. Tabelle 4-22 sbeschreibungen Öffnet das Fenster Einen Begriff suchen, in dem Sie Text eingeben können, um nach den Begriffen im derzeit ausgewählten Wörterbuch zu suchen. Sie können hier einen regulären Ausdruck in der Syntax von Boost Perl eingeben. Bei regulären Ausdrücken wird die Groß-/Kleinschreibung berücksichtigt. Wenn ein Muster die Groß-/Kleinschreibung nicht beachten sollen, beginnen Sie es mit (?I). Kopiert die aufgelisteten Begriffe im ausgewählten Wörterbuch. Fügt die kopierten Begriffe in das ausgewählte Wörterbuch ein. Öffnet ein Fenster, in dem Sie die für das derzeit ausgewählte Wörterbuch ändern können. Sie können den Namen der von McAfee zur Verfügung gestellten Wörterbücher nicht ändern. Löscht den ausgewählten Begriff. Bedingungen (OR) Bei Wörterbüchern, die nicht faktorbasiert sind, können Sie Begriffslisten anzeigen, die mithilfe des logischen Operators "OR" kombiniert werden. Das Wörterbuch wird ausgelöst, wenn eine der Begriffslisten ausgelöst wird. Einzelne Begriffslisten können für verschiedene Kontexte gelten. Eine Begriffsliste könnte beispielsweise im Nachrichtentext nach Begriffen suchen und eine andere in der Betreffzeile. Begriffslisten Bei Wörterbüchern, die faktorbasiert sind, können Sie die einzelnen Begriffslisten im ausgewählten Wörterbuch anzeigen. Einzelne Begriffslisten können für verschiedene Kontexte gelten. Eine Begriffsliste könnte beispielsweise im Nachrichtentext nach Begriffen suchen und eine andere in der Betreffzeile. Bezieht sich auf Begriff Klicken Sie auf den Link, um die Kategorie und die Unterkategorie anzugeben, anhand derer nach den Begriffen gesucht wird, beispielsweise eine Suche nach Begriffen in der Betreffzeile einer -Nachricht. Zeigt das auslösende Wort bzw. den auslösenden Ausdruck an. Das Symbol vor dem Begriff gibt an, ob er ein regulärer Ausdruck, eine einfache Zeichenfolge oder ein komplexer Begriff ist. Bewegen Sie den Mauszeiger auf das Symbol, damit der Begriffstyp angezeigt wird. Wert Zeigt den dem Begriff zugeordneten Faktor an. Sie können das Wörterbuch faktorbasiert machen, indem Sie auf Hinzufügen klicken. Weitere Informationen zur Verwendung von Schwellenwerten und Werten finden Sie in den Vorgehensweisen unter "Compliance-Einstellungen". and Web Security Appliances 5.6 Patch 1 Produkthandbuch 219

220 4 Übersicht über Web-Funktionen Web-Richtlinien Tabelle 4-22 sbeschreibungen (Fortsetzung) Groß-/ Kleinschreibung beachten Platzhalter Beginnt mit Endet mit Bei Auswahl dieser reagiert die Appliance nur auf Text, der dem Begriff in Groß- und Kleinschreibung genau entspricht. Beispiel: Falls es sich beim Begriff um Abc handelt, reagiert die Appliance auf das Wort Abc. Die Schreibweisen abc oder ABC werden von der Appliance hingegen ignoriert. Wenn diese ausgewählt ist, wird die Verwendung von "?" und "*" in dem Begriff zur Darstellung von unbekannten einzelnen Zeichen oder mehreren Zeichen zugelassen. Beispiel: Falls es sich beim Begriff um ab? handelt, reagiert die Appliance auf das Wort abc oder abd. Falls es sich beim Begriff um ab*f handelt, reagiert die Appliance auf das Wort abcdef oder abcf. Bei Auswahl dieser stimmt der Begriff überein, wenn er am Anfang eines Worts steht. Beispiel: Falls es sich beim Begriff um bc handelt, reagiert die Appliance auf die Wörter bc, bcd oder bcdef. Die Wörter abc oder abcd werden von der Appliance hingegen ignoriert. Bei Auswahl dieser stimmt der Begriff überein, wenn er am Ende eines Worts steht. Beispiel: Falls es sich beim Begriff um bc handelt, reagiert die Appliance auf die Wörter bc oder abc. Die Wörter bcd oder abcd werden von der Appliance hingegen ignoriert. Bei gleichzeitiger Verwendung von Beginnt mit und Endet mit stimmt der Begriff überein, wenn er als ganzes Wort auftritt. Beispiel: Falls es sich beim Begriff um bc handelt, reagiert die Appliance auf das Wort bc. Die Wörter bcd oder abc werden von der Appliance hingegen ignoriert. Bearbeiten Löschen Wenn Sie auf dieses Symbol klicken, wird ein Fenster geöffnet, das Ihnen ermöglicht, die grundlegenden Begriffseigenschaften zu ändern oder einen komplexen Begriff zu erstellen. Begriffdetails Bearbeiten Sie die grundlegenden Begriffseigenschaften, darunter den Text, nach dem Sie suchen, sowie die oben definierten Einstellungen für "Groß-/ Kleinschreibung beachten", "Platzhalter", "Beginnt mit" und "Endet mit". Kontextübereinstimmung (erweitert) Legen Sie Auslöser für Begriffe basierend auf der Nähe zu anderen Begriffen fest. Klicken Sie zum Festlegen dieser Details auf Wort oder Ausdruck hinzufügen: Angezeigte Zeichenfolge Legt den Anzeigenamen für den Begriff in der Liste der Wörterbuchbegriffe fest. Übereinstimmung basierend auf Nähe aktivieren Aktiviert oder deaktiviert Auslöser basierend auf der Nähe. Bedingung Geben Sie die Bedingungen an, unter denen der Begriff ausgelöst werden soll. In einem Block Legen Sie fest, in welcher Nähe zueinander die Begriffe gefunden werden müssen. Wort oder Ausdruck Die Liste der Begriffe. Entfernt den Begriff aus dem Wörterbuch and Web Security Appliances 5.6 Patch 1 Produkthandbuch

221 Übersicht über Web-Funktionen Web-Richtlinien 4 Tabelle 4-22 sbeschreibungen (Fortsetzung) OR-Bedingung hinzufügen Klicken Sie bei nicht faktorbasierten Wörterbüchern auf diese, um neue Listen, die mit dem logischen Operator "OR" kombiniert werden, mit den folgenden Einstellungen hinzuzufügen: Name Der Name, den Sie der Begriffsliste geben möchten. Eine eindeutige für die Liste. Übereinstimmungstyp Geben Sie an, ob die Liste reguläre Ausdrücke oder einfache Zeichenfolgen enthält. Bezieht sich auf Klicken Sie auf den Link, um die Kategorie und die Unterkategorie anzugeben, anhand derer nach den Begriffen gesucht wird, beispielsweise eine Suche nach Begriffen in der Betreffzeile einer -Nachricht. Begriff Geben Sie den ersten Begriff in der Liste an. Das Wörterbuch wird ausgelöst, wenn eine der Begriffslisten ausgelöst wird. Einzelne Begriffslisten können für verschiedene Kontexte gelten. Eine Begriffsliste könnte beispielsweise im Nachrichtentext nach Begriffen suchen und eine andere in der Betreffzeile. AND-Bedingung hinzufügen Klicken Sie bei nicht faktorbasierten Wörterbüchern auf diese, um neue Listen, die mit dem logischen Operator "AND" kombiniert werden, mit den folgenden Einstellungen hinzuzufügen: Übereinstimmungstyp Geben Sie an, ob die Liste reguläre Ausdrücke oder einfache Zeichenfolgen enthält. Bezieht sich auf Klicken Sie auf den Link, um die Kategorie und die Unterkategorie anzugeben, anhand derer nach den Begriffen gesucht wird, beispielsweise eine Suche nach Begriffen in der Betreffzeile einer -Nachricht. Begriff Geben Sie den ersten Begriff in der Liste an. Das Wörterbuch wird ausgelöst, wenn alle Bedingungen ausgelöst werden. Einzelne Begriffslisten können für verschiedene Kontexte gelten. Eine Begriffsliste könnte beispielsweise im Nachrichtentext nach Begriffen suchen und eine andere in der Betreffzeile. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 221

222 4 Übersicht über Web-Funktionen Web-Richtlinien Tabelle 4-22 sbeschreibungen (Fortsetzung) Begriffsliste hinzufügen Klicken Sie bei faktorbasierten Wörterbüchern auf diese, um mit den folgenden Einstellungen eine Begriffsliste im ausgewählten Wörterbuch hinzuzufügen: Name Der Name, den Sie der Begriffsliste geben möchten. Eine eindeutige für die Liste. Übereinstimmungstyp Geben Sie an, ob die Liste reguläre Ausdrücke oder einfache Zeichenfolgen enthält. Bezieht sich auf Klicken Sie auf den Link, um die Kategorie und die Unterkategorie anzugeben, anhand derer nach den Begriffen gesucht wird, beispielsweise eine Suche nach Begriffen in der Betreffzeile einer -Nachricht. Begriff Geben Sie den ersten Begriff in der Liste an. Einzelne Begriffslisten können für verschiedene Kontexte gelten. Eine Begriffsliste könnte beispielsweise im Nachrichtentext nach Begriffen suchen und eine andere in der Betreffzeile. Begriff einfügen Durch Klicken auf diese wird ein Fenster geöffnet, in dem Sie mit den folgenden Einstellungen einen neuen Begriff hinzufügen können: Begriffdetails Geben Sie die grundlegenden Begriffseigenschaften an, darunter den Text, nach dem Sie suchen, sowie die oben definierten Einstellungen für "Groß-/ Kleinschreibung beachten", "Platzhalter", "Beginnt mit" und "Endet mit". Kontextübereinstimmung (erweitert) Legen Sie Auslöser für Begriffe basierend auf der Nähe zu anderen Begriffen fest. Klicken Sie zum Festlegen dieser Details auf Wort oder Ausdruck hinzufügen: Angezeigte Zeichenfolge Legen Sie den Anzeigenamen für den Begriff in der Liste der Wörterbuchbegriffe fest. Übereinstimmung basierend auf Nähe aktivieren Aktiviert oder deaktiviert Auslöser basierend auf der Nähe. Bedingung Geben Sie die Bedingungen an, unter denen der Begriff ausgelöst werden soll. In einem Block Legen Sie fest, in welcher Nähe zueinander die Begriffe gefunden werden müssen. Wort oder Ausdruck Die Liste der Begriffe. Bei dieser Funktion wird angenommen, dass Sie ein Wörterbuch und eines seiner Elemente ausgewählt haben. Wenn Sie im Fenster Begriffdetails auf OK klicken, fügt die Appliance den Begriff neben dem ausgewählten Begriff zum Wörterbuch hinzu. Beide Begriffe weisen dieselbe Bedingung auf. Einführung in reguläre Ausdrücke Zeichen stimmen mit sich selbst überein, mit Ausnahme der folgenden Metazeichen:.[{()\*+? ^$. stimmt mit einem beliebigen Zeichen überein \. stimmt mit dem Zeichen "." überein 222 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

223 Übersicht über Web-Funktionen Web-Richtlinien 4 \\ stimmt mit dem Zeichen "\" überein (Zeichenfolge1 Zeichenfolge2) stimmt sowohl mit Zeichenfolge1 als auch mit Zeichenfolge2 überein Für Anker ist es erforderlich, dass ein Ausdruck an einer bestimmten Stelle in einer Zeichenfolge gefunden wird. Sie stimmen selbst jedoch nicht mit Zeichen überein (Assertion mit der Länge null) \b stimmt mit einer Wortgrenze überein (Anfang oder Ende eines Worts) ^ stimmt mit dem Anfang einer Zeile überein $ stimmt mit dem Ende einer Zeile überein Zeichenklassen stimmen mit einem bestimmten Zeichentyp überein \s stimmt mit einem beliebigen Leerraumzeichen überein \w stimmt mit einem beliebigen Wortzeichen überein (a-z, A-Z, 0-9 und "_") \d stimmt mit einer beliebigen Ziffer überein [abc] stimmt mit genau einem der Zeichen a, b oder c überein Quantifizierer betreffen den voranstehenden Ausdruck: * stimmt mit 0 oder mehr Vorkommen des voranstehenden Ausdrucks überein + stimmt mit 1 oder mehr Vorkommen des voranstehenden Ausdrucks überein Beispiel: ^aa stimmt mit Zeilen überein, die mit aa beginnen bb$ stimmt mit Zeilen überein, die mit bb enden cc stimmt mit ccd, acc und accd überein ab*c stimmt mit ac, abc und abbc überein a\d+b stimmt mit a2b und a23456b überein, aber nicht mit ab a.c stimmt mit abc überein, aber nicht mit ac oder abbc a.*c stimmt mit ac, abc und adefghb überein a[bcd]e stimmt mit abe, ace und ade überein, aber nicht mit abcde "Zeit zum (Mittag Abend)essen" stimmt mit "Zeit zum Mittagessen" und "Zeit zum Abendessen" überein Vorgehensweise Hinzufügen eines neuen Wörterbuchs 1 Navigieren Sie zu -Richtlinien Wörterbücher. 2 Klicken Sie auf Wörterbuch hinzufügen, und geben Sie die Details für das Wörterbuch an: Geben Sie den Namen des Wörterbuchs ein. Geben Sie optional eine an. Wählen Sie aus, ob Sie einfache Zeichenfolgen oder reguläre Ausdrücke abgleichen möchten. 3 Klicken Sie auf OK. Das Wörterbuch wird in der Wörterbuchliste ausgewählt angezeigt, und die dazugehörige Begriffsliste wird im unteren Bereich der Seite angezeigt. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 223

224 4 Übersicht über Web-Funktionen Web-Richtlinien 4 Klicken Sie auf das Symbol "Bearbeiten" neben dem Standardbegriff "Neuer Eintrag", ersetzen Sie diesen durch den Text, bei dem ausgelöst werden soll, und klicken Sie auf OK. 5 Klicken Sie auf Begriff einfügen, um neue Begriffe zum Wörterbuch hinzuzufügen. 6 Übernehmen Sie die Änderungen. Vorgehensweise Anpassen der Werte, die dem Wörterbuch "Unzufriedenheit" zugewiesen sind 1 Navigieren Sie zu -Richtlinien Wörterbücher. 2 Wählen Sie das Wörterbuch Unzufriedenheit aus. 3 Wählen Sie in der Begriffsliste den Begriff aus, den Sie anpassen möchten, und ändern Sie dessen Wert. 4 Übernehmen Sie die Änderungen. Vorgehensweise Testen der regulären Ausdrücke der Sozialversicherungsnummer 1 Navigieren Sie zu -Richtlinien Wörterbücher. 2 Wählen Sie das Wörterbuch Sozialversicherungsnummer aus. 3 Wählen Sie den ersten regulären Ausdruck aus, klicken Sie auf das Symbol "Bearbeiten", und klicken Sie anschließend auf Testen. 4 Geben Sie den Text Dies ist eine Sozialversicherungsnummer ein, und klicken Sie auf OK. Im Bereich "Übereinstimmungen" wird der Text angezeigt, der mit dem regulären Ausdruck übereinstimmt. Klicken Sie zweimal auf OK oder Abbrechen. 5 Wählen Sie den zweiten regulären Ausdruck aus, klicken Sie auf das Symbol "Bearbeiten", und klicken Sie anschließend auf Testen. 6 Geben Sie den Text Hier ist die Nummer ein, und klicken Sie auf OK. Im Bereich "Übereinstimmungen" wird der Text angezeigt, der mit dem regulären Ausdruck übereinstimmt. Klicken Sie zweimal auf OK oder Abbrechen. Vorgehensweise Testen der regulären Ausdrücke der Sozialversicherungsnummer 1 Navigieren Sie zu -Richtlinien Wörterbücher. 2 Wählen Sie das Wörterbuch Sozialversicherungsnummer aus. 3 Wählen Sie den ersten regulären Ausdruck aus, klicken Sie auf das Symbol "Bearbeiten", und klicken Sie anschließend auf Testen. 4 Geben Sie den Text Dies ist eine Sozialversicherungsnummer ein, und klicken Sie auf OK. Im Bereich "Übereinstimmungen" wird der Text angezeigt, der mit dem regulären Ausdruck übereinstimmt. Klicken Sie zweimal auf OK oder Abbrechen. 5 Wählen Sie den zweiten regulären Ausdruck aus, klicken Sie auf das Symbol "Bearbeiten", und klicken Sie anschließend auf Testen. 6 Geben Sie den Text Hier ist die Nummer ein, und klicken Sie auf OK. Im Bereich "Übereinstimmungen" wird der Text angezeigt, der mit dem regulären Ausdruck übereinstimmt. Klicken Sie zweimal auf OK oder Abbrechen and Web Security Appliances 5.6 Patch 1 Produkthandbuch

225 Übersicht über Web-Funktionen Web-Richtlinien 4 Vorgehensweise Hinzufügen eines komplexen Begriffs, um das Wort "Poker" nur dann zu finden, wenn es sich in der Nähe des Wortes "Spiel" befindet 1 Navigieren Sie zu -Richtlinien Wörterbücher. 2 Erstellen Sie entweder ein neues, nicht faktorbasiertes Wörterbuch, oder wählen Sie ein vorhandenes, nicht faktorbasiertes Wörterbuch (durch ein rotes Buch gekennzeichnet) aus. 3 Klicken Sie in der Begriffsliste auf Begriff einfügen, und geben Sie Poker ein. 4 Wählen Sie Kontextübereinstimmung (erweitert) aus, und klicken Sie auf Wort oder Ausdruck hinzufügen. 5 Geben Sie Spiel ein. Geben Sie unter Angezeigte Zeichenfolge den Text Poker in der Nähe von Spiel ein. 6 Ändern Sie den Wert unter In einem Block in Klicken Sie auf OK, um die Änderungen zu übernehmen. Wörterbuchdetails In diesem Dialogfeld können Sie Details zu einer Wörterbuchliste eingeben oder ändern. -Richtlinien Wörterbücher -Wörterbuchliste Wörterbuch hinzufügen Web Web-Richtlinien Wörterbücher Web-Wörterbuchliste Wörterbuch hinzufügen Tabelle 4-23 sbeschreibungen Name Sprache Übereinstimmungstyp Geben Sie einen Namen zur Identifikation der Wörterbuchliste ein. Fügen Sie eine für die Wörterbuchliste hinzu, sofern erforderlich. Definieren Sie die Sprache für den Inhalt der Liste. Wählen Sie aus, wie die Appliance Begriffe aus dem Wörterbuch abgleicht. Bedingung: Verwenden Sie dieses Dialogfeld, um neue Begriffe in ein Wörterbuch einzugeben. -Richtlinien Wörterbücher Wörterbuch Bedingung hinzufügen Web Web-Richtlinien Wörterbücher Wörterbuch Bedingung hinzufügen and Web Security Appliances 5.6 Patch 1 Produkthandbuch 225

226 4 Übersicht über Web-Funktionen Web-Richtlinien Tabelle 4-24 sbeschreibungen Übereinstimmungstyp Bezieht sich auf Begriff Wählen Sie aus, wie die Appliance Begriffe aus dem Wörterbuch abgleicht. Wählen Sie aus, worauf sich der Begriff bezieht. Klicken Sie auf den Link, und wählen Sie eine der verfügbaren en aus. Geben Sie den Begriff ein, nach dem die Appliance suchen soll and Web Security Appliances 5.6 Patch 1 Produkthandbuch

227 5 Übersicht 5 über Systemfunktionen Dieses Thema bietet einen Überblick über die Funktionen der and Web Security Appliances, die die Appliance und ihre Konfiguration betreffen. System Inhalt Appliance-Verwaltung Cluster-Verwaltung Benutzer, Gruppen und Dienste Virtuelles Hosting Zertifikatsverwaltung Protokollierung, Warnungen und SNMP Komponentenverwaltung Setup-Assistent Appliance-Verwaltung Die Seite "Appliance-Verwaltung" ermöglicht Ihnen, grundlegende Einstellungen und Netzwerkeinstellungen für die Appliance zurückzusetzen, und bietet Links zu weiteren Konfigurationsseiten für die Appliance-Verwaltung, auf denen Einstellungen, wie beispielsweise der Remote-Zugriff sowie DNS und Routing, angegeben werden. System Appliance-Verwaltung Verwenden Sie diese Seiten, um Einstellungen für die Appliance zu definieren, wie beispielsweise den Domänennamen und das Standard-Gateway. Allgemein Auf dieser Seite können Sie grundlegende Einstellungen für die Appliance angeben, beispielsweise die Einstellungen, die Sie im Setup-Assistenten definiert haben. Die Appliance verarbeitet IP-Adressen in den Formaten IPv4 und IPv6. System Appliance-Verwaltung Allgemein and Web Security Appliances 5.6 Patch 1 Produkthandbuch 227

228 5 Übersicht über Systemfunktionen Appliance-Verwaltung Die Seite verfügt über folgende Abschnitte: Grundlegende Einstellungen Einstellungen für Netzwerkschnittstelle Einige Abschnitte sind nur relevant, wenn sich die Appliance im entsprechenden Modus befindet. Definieren von grundlegenden Einstellungen für die Appliance Der Abschnitt Grundlegende Einstellungen zeigt Einstellungen wie den Standard-Gateway und den Domänennamen an. Tabelle 5-1 sbeschreibungen Grundlegende Einstellungen Name der Appliance Domänenname Gibt einen Namen an, z. B. Appliance1. Gibt einen Namen an, z. B. domain.example.com. Standard-Gateway (IPv4) Gibt eine Adresse an, z. B Nächster Hop-Router (IPv6) Betriebssprache Gibt eine Adresse an, z. B. FD4A:A1B2:C3D4::1. Gibt die Sprache an, die für interne Berichte und Fehlermeldungen verwendet wird. Definieren von Einstellungen der Netzwerkschnittstelle Im Abschnitt Einstellungen für Netzwerkschnittstelle werden die aktuellen Netzwerkschnittstellen-Einstellungen für Netzwerkkarte 1 und Netzwerkkarte 2 angezeigt. Sie können die Einstellungen ändern, indem Sie auf Netzwerkeinstellungen ändern klicken, um einen Assistenten zu starten. Klicken Sie auf Weiter, um jeweils zur nächsten Assistentenseite zu gelangen. Wenn Sie eine eigenständige Appliance verwenden, die im Modus "Transparente Bridge" ausgeführt wird, haben Sie die Möglichkeit, für den Fall, dass bei der Appliance ein Fehler auftritt, ein Umleitungsgerät hinzuzufügen. Netzwerkschnittstellen-Assistent auf Seite 228 Netzwerkschnittstellen-Assistent Verwenden Sie den Netzwerkschnittstellen-Assistenten, um die IP-Adresse und Adaptereinstellungen für NIC 1 und NIC 2 einzugeben und den ausgewählten Betriebsmodus zu ändern. System Appliance-Verwaltung General Einstellungen für Netzwerkschnittstelle Netzwerkeinstellungen ändern Einführung in den Netzwerkschnittstellen-Assistenten Die en, die im Netzwerkschnittstellen-Assistenten angezeigt werden, hängen vom Betriebsmodus ab. Auf der ersten Seite des Assistenten können Sie den Betriebsmodus der Appliance ändern. Im Modus Transparenter Router oder Transparente Bridge wissen andere Netzwerkgeräte wie -Server nicht, dass die Appliance die vor dem Weiterleiten abgefangen und gescannt hat. Der Vorgang auf der Appliance ist für andere Geräte transparent, also unsichtbar. Im Modus Expliziter Proxy senden einige Netzwerkgeräte Datenverkehr an die Appliances. Die Appliance fungiert dann als Proxy und verarbeitet den Datenverkehr für die Geräte and Web Security Appliances 5.6 Patch 1 Produkthandbuch

229 Übersicht über Systemfunktionen Appliance-Verwaltung 5 Wenn die Appliance im Modus "Transparente Bridge" betrieben wird und Sie in Ihrem Netzwerk das Spanning Tree-Protokoll (STP) ausführen, müssen Sie sicherstellen, dass die Appliance gemäß den STP-Regeln konfiguriert ist. Außerdem können Sie im Modus "Transparente Bridge" ein Umleitungsgerät einrichten. Tabelle 5-2 sbeschreibungen Modus "Expliziter Proxy" des Netzwerkschnittstellen-Assistenten Seite "Netzwerkschnittstelle 1" oder "Netzwerkschnittstelle 2" IP-Adresse Legen Sie die Details für "Netzwerkschnittstelle 1" fest, und klicken Sie anschließend auf die Schaltfläche "Weiter", um ggf. Details für "Netzwerkschnittstelle 2" festzulegen. Gibt Netzwerkadressen an, die es der Appliance ermöglichen, mit Ihrem Netzwerk zu kommunizieren. Sie können mehrere IP-Adressen für die Netzwerkanschlüsse der Appliance angeben. Bei der ersten IP-Adresse in der Liste handelt es sich um die primäre Adresse. Bei den nachfolgenden IP-Adressen handelt es sich um Aliasse. Sie müssen mindestens über jeweils eine IP-Adresse in "Netzwerkschnittstelle 1" und "Netzwerkschnittstelle 2" verfügen. Sie können jedoch die Auswahl der Aktiviert neben allen IP-Adressen aufheben, die Sie nicht überwachen möchten. Netzwerkmaske Aktiviert Virtuell Gibt die Netzwerkmaske an. In IPv4 können Sie ein Format wie oder eine CIDR-Notation wie 24 verwenden. In IPv6 müssen Sie die Präfixlänge verwenden, z. B. 64. Wenn diese ausgewählt ist, akzeptiert die Appliance Verbindungen auf der IP-Adresse. Wenn diese ausgewählt ist, behandelt die Appliance diese IP-Adresse als virtuelle Adresse. Diese wird nur in Cluster-Konfigurationen oder auf einem McAfee Content Security Blade Server angezeigt. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 229

230 5 Übersicht über Systemfunktionen Appliance-Verwaltung Tabelle 5-2 sbeschreibungen Modus "Expliziter Proxy" des Netzwerkschnittstellen-Assistenten (Fortsetzung) Neue Adresse/Ausgewählte Adresse löschen "Adapteroptionen für NIC 1" oder "Adapteroptionen für NIC 2" Fügen Sie eine neue Adresse hinzu, oder entfernen Sie eine ausgewählte IP-Adresse. Erweitern Sie den entsprechenden Eintrag, um die folgenden en einzurichten: MTU-Größe Gibt die MTU-Größe (Maximum Transmission Unit) an. Bei MTU handelt es sich um die maximale Größe (in Byte) einer einzelnen Dateneinheit (z. B. ein Ethernet-Rahmen), die über die Verbindung gesendet werden kann. Der Standardwert ist Byte. Autonegotiations-Status Entweder: Ein Ermöglicht, dass die Appliance die Geschwindigkeit und den Duplex-Status für die Kommunikation mit anderen Netzwerkgeräten aushandelt. Aus Ermöglicht es dem Benutzer, die Geschwindigkeit und den Duplex-Status auszuwählen. Verbindungsgeschwindigkeit Bietet einen Bereich mit Verbindungsgeschwindigkeiten. Der Standardwert lautet 100 MB. Duplex-Status Bietet Duplex-Status. Beim Standardwert handelt es sich um "Vollduplex". Automatische Konfiguration von IPv6 aktivieren Wählen Sie diese aus, um der Appliance die automatische Konfiguration ihrer IPv6-Adressen und IPv6-Next-Hop-Standardrouter durch den Empfang von vom IPv6-Router gesendeten Nachrichten zur Router-Bekanntgabe zu ermöglichen. Diese ist standardmäßig nicht verfügbar, wenn die Appliance im Modus "Transparenter Router" ausgeführt wird, einer Cluster-Konfiguration angehört oder als Teil einer Blade-Server-Installation ausgeführt wird. Tabelle 5-3 sbeschreibungen Modus "Transparenter Router" des Netzwerkschnittstellen-Assistenten Seite "Netzwerkschnittstelle 1" oder "Netzwerkschnittstelle 2" IP-Adresse Netzwerkmaske Aktiviert Virtuell Gibt Netzwerkadressen an, die es der Appliance ermöglichen, mit Ihrem Netzwerk zu kommunizieren. Sie können mehrere IP-Adressen für die Anschlüsse der Appliance angeben. Bei der ersten IP-Adresse in der Liste handelt es sich um die primäre Adresse. Bei den nachfolgenden IP-Adressen handelt es sich um Aliasse. Gibt die Netzwerkmaske an, z. B.: In IPv4 können Sie ein Format wie oder eine CIDR-Notation wie 24 verwenden. In IPv6 müssen Sie die Präfixlänge verwenden, z. B. 64. Wenn diese ausgewählt ist, akzeptiert die Appliance Verbindungen auf dieser IP-Adresse. Wenn diese ausgewählt ist, behandelt die Appliance diese IP-Adresse als virtuelle Adresse. Diese wird nur in Cluster-Konfigurationen oder auf einem McAfee Content Security Blade Server angezeigt and Web Security Appliances 5.6 Patch 1 Produkthandbuch

231 Übersicht über Systemfunktionen Appliance-Verwaltung 5 Tabelle 5-3 sbeschreibungen Modus "Transparenter Router" des Netzwerkschnittstellen-Assistenten (Fortsetzung) Neue Adresse/Ausgewählte Adresse löschen "Adapteroptionen für NIC 1" oder "Adapteroptionen für NIC 2" Fügen Sie eine neue Adresse hinzu, oder entfernen Sie eine ausgewählte IP-Adresse. Erweitern Sie den entsprechenden Eintrag, um die folgenden en einzurichten: MTU-Größe Gibt die MTU-Größe (Maximum Transmission Unit) an. Bei MTU handelt es sich um die maximale Größe (in Byte) einer einzelnen Dateneinheit (z. B. ein Ethernet-Rahmen), die über die Verbindung gesendet werden kann. Der Standardwert ist Byte. Autonegotiations-Status Entweder: Ein Ermöglicht, dass die Appliance die Geschwindigkeit und den Duplex-Status für die Kommunikation mit anderen Netzwerkgeräten aushandelt. Aus Ermöglicht es dem Benutzer, die Geschwindigkeit und den Duplex-Status auszuwählen. Verbindungsgeschwindigkeit Bietet einen Bereich mit Verbindungsgeschwindigkeiten. Der Standardwert lautet 100 MB. Duplex-Status Bietet Duplex-Status. Beim Standardwert handelt es sich um "Vollduplex". Automatische Konfiguration von IPv6 aktivieren Wählen Sie diese aus, um der Appliance die automatische Konfiguration ihrer IPv6-Adressen und IPv6-Next-Hop-Standardrouter durch den Empfang von vom IPv6-Router gesendeten Nachrichten zur Router-Bekanntgabe zu ermöglichen. Diese ist standardmäßig nicht verfügbar, wenn die Appliance im Modus "Transparenter Router" ausgeführt wird, einer Cluster-Konfiguration angehört oder als Teil einer Blade-Server-Installation ausgeführt wird. Tabelle 5-4 sbeschreibungen Modus "Transparente Bridge" des Netzwerkschnittstellen-Assistenten Ethernet-Bridge IP-Adresse Netzwerkmaske Aktiviert Neue Adresse/Ausgewählte Adresse löschen Gibt Netzwerkadressen an, die es der Appliance ermöglichen, mit Ihrem Netzwerk zu kommunizieren. Sie können mehrere IP-Adressen für die Anschlüsse der Appliance angeben. Die IP-Adressen für beide Anschlüsse werden in einer Liste kombiniert. Bei der ersten IP-Adresse in der Liste handelt es sich um die primäre Adresse. Bei den nachfolgenden IP-Adressen handelt es sich um Aliasse. Gibt die Netzwerkmaske an, z. B.: In IPv4 können Sie ein Format wie oder eine CIDR-Notation wie 24 verwenden. In IPv6 müssen Sie die Präfixlänge verwenden, z. B. 64. Wenn diese ausgewählt ist, akzeptiert die Appliance Verbindungen auf dieser IP-Adresse. Fügen Sie eine neue Adresse hinzu, oder entfernen Sie eine ausgewählte IP-Adresse. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 231

232 5 Übersicht über Systemfunktionen Appliance-Verwaltung Tabelle 5-4 sbeschreibungen Modus "Transparente Bridge" des Netzwerkschnittstellen-Assistenten (Fortsetzung) NIC-Adapteroptionen Erweitern Sie den entsprechenden Eintrag, um die folgenden en einzurichten: MTU-Größe Gibt die MTU-Größe (Maximum Transmission Unit) an. Bei MTU handelt es sich um die maximale Größe (in Byte) einer einzelnen Dateneinheit (z. B. ein Ethernet-Rahmen), die über die Verbindung gesendet werden kann. Der Standardwert ist Byte. Autonegotiations-Status Entweder: Ein Ermöglicht, dass die Appliance die Geschwindigkeit und den Duplex-Status für die Kommunikation mit anderen Netzwerkgeräten aushandelt. Aus Ermöglicht es dem Benutzer, die Geschwindigkeit und den Duplex-Status auszuwählen. Verbindungsgeschwindigkeit Bietet einen Bereich mit Verbindungsgeschwindigkeiten. Der Standardwert lautet 100 MB. Duplex-Status Bietet Duplex-Status. Beim Standardwert handelt es sich um "Vollduplex". Automatische Konfiguration von IPv6 aktivieren Wählen Sie diese aus, um der Appliance die automatische Konfiguration ihrer IPv6-Adressen und IPv6-Next-Hop-Standardrouter durch den Empfang von vom IPv6-Router gesendeten Nachrichten zur Router-Bekanntgabe zu ermöglichen. Diese ist standardmäßig nicht verfügbar, wenn die Appliance im Modus "Transparenter Router" ausgeführt wird, einer Cluster-Konfiguration angehört oder als Teil einer Blade-Server-Installation ausgeführt wird and Web Security Appliances 5.6 Patch 1 Produkthandbuch

233 Übersicht über Systemfunktionen Appliance-Verwaltung 5 Tabelle 5-4 sbeschreibungen Modus "Transparente Bridge" des Netzwerkschnittstellen-Assistenten (Fortsetzung) Spanning Tree-Protokolleinstellungen STP aktivieren STP ist standardmäßig aktiviert. Bridge-Priorität Legt die Priorität für die STP-Bridge fest. Niedrigere Zahlen haben eine höhere Priorität. Sie können eine Höchstzahl von festlegen. Erweiterte Parameter Erweitern Sie diesen Eintrag, um die folgenden en einzurichten. Ändern Sie die Einstellungen nur, wenn Sie sich über die möglichen Auswirkungen im Klaren sind oder einen Experten befragt haben. Weiterleitungsverzögerung Interface für Hello (Sekunden) Maximales Alter (Sekunden) Intervall für Garbage-Collection (Sekunden) Alterungszeit (Sekunden) Einstellungen für Umleitungsgerät Das Umleitungsgerät erbt die Einstellungen von den Angaben unter NIC-Adapteroptionen. Bypass-Gerät auswählen Sie können eines von zwei unterstützten Geräten auswählen. Watchdog-Zeitüberschreitung (Sekunden) Heartbeat-Intervall (Sekunden) Richten Sie ein, dass der Heartbeat standardmäßig überwacht wird. Erweiterte Parameter Wird aktiv, wenn Sie ein Umleitungsgerät auswählen. Zeitüberschreitung für Link-Aktivität (Sekunden) Wird aktiv, wenn Sie Heartbeat und Link-Aktivitäten überwachen unter Modus auswählen. Buzzer aktivieren Ist standardmäßig aktiviert. DNS und Routing Verwenden Sie diese Seite, um die Verwendung von DNS und Routing durch die Appliance zu konfigurieren. System Appliance-Verwaltung DNS und Routing Vorteile der Angabe von DNS-Servern und des Hinzufügens von Routen Wenn Sie sich zum ersten Mal bei der Appliance anmelden, werden auf der Seite DNS und Routing die Server und Routen angezeigt, die Sie im Setup-Assistenten angegeben haben. Auf dieser Seite können Sie die Einträge prüfen, Routen und Server hinzufügen oder entfernen und deren Priorität ändern. DNS-Server (Domain Name System ) übertragen die Namen von Netzwerkgeräten in IP-Adressen bzw. ordnen diese zu. Mithilfe der Pfeile können Sie die Server in der Liste nach oben und unten verschieben. Beim ersten Server in der Liste muss es sich um den nächstgelegenen oder den zuverlässigsten Server handeln. Falls der erste Server die Anforderung nicht auflösen kann, nimmt die Appliance Kontakt mit dem zweiten Server auf. Falls keiner der Server in der Liste die Anforderung auflösen kann, leitet die Appliance die Anforderung an die DNS-Root-Namenserver im Internet weiter. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 233

234 5 Übersicht über Systemfunktionen Appliance-Verwaltung Sie können festlegen, dass die Appliance dynamisches Routing verwenden soll, wenn Folgendes zutrifft: Die Appliance befindet sich im Modus "Transparenter Router" Ihr Netzwerk unterstützt dynamisches Routing Standardmäßig verwendet die Appliance das gängige Protokoll für dynamisches Routing, das Routing Information Protocol (RIP) genannt wird. Tabelle 5-5 sbeschreibungen DNS-Server Serveradresse Neuer Server/ Ausgewählte Server löschen Nur Anfragen an diese Server senden Zeigt die IP-Adressen der DNS-Server an. Beim ersten Server in der Liste muss es sich um den schnellsten bzw. zuverlässigsten Server handeln. Falls der erste Server die Anforderung nicht auflösen kann, nimmt die Appliance Kontakt mit dem zweiten Server auf. Falls keiner der Server in der Liste die Anforderung auflösen kann, leitet die Appliance die Anforderung an die DNS-Root-Namenserver im Internet weiter. Geben Sie die IP-Adresse eines lokalen Geräts mit Namensauflösungsfunktion an, wenn DNS-Suchen (in der Regel auf Port 53) von der Firewall verhindert werden. Fügt einen neuen Server zur Liste hinzu oder entfernt einen Server, beispielsweise, wenn Sie einen Server aufgrund von Netzwerkänderungen außer Betrieb setzen müssen. Standardmäßig ausgewählt. McAfee empfiehlt, diese ausgewählt zu lassen, da sie DNS-Abfragen möglicherweise beschleunigt, weil die Appliance die Abfragen nur an die angegebenen DNS-Server sendet. Wenn die Adresse unbekannt ist, werden Anfragen an die Root-DNS-Server im Internet gesendet. Wenn eine Antwort eingeht, empfängt die Appliance die Antwort und legt diese im Cache ab, sodass andere Server, die Abfragen an diesen DNS-Server senden, schneller eine Antwort erhalten können. Wenn Sie diese deaktivieren, versucht die Appliance zuerst, die Anfragen aufzulösen oder Abfragen an DNS-Server außerhalb Ihres Netzwerks zu senden. Tabelle 5-6 sbeschreibungen Routing Netzwerkadresse Maske Gateway Messgröße Neue Route Dynamisches Routing aktivieren Geben Sie die Netzwerkadresse der Route ein. Gibt an, wie viele Hosts sich in Ihrem Netzwerk befinden, beispielsweise Gibt die IP-Adresse des Routers an, der als nächster Hop außerhalb des Netzwerks verwendet wird. Die Adresse (IPv4) oder :: (IPv6) bedeutet, dass der Router über kein Standard-Gateway verfügt. Gibt die Priorität an, die der Route beigemessen wird. Eine niedrige Zahl weist auf eine hohe Priorität der jeweiligen Route hin. Fügen Sie eine neue Route zur Tabelle hinzu. Mithilfe der Pfeile können Sie die Route in der Liste nach oben und unten verschieben. Die Routen werden auf Grundlage ihrer Metrik ausgewählt. Verwenden Sie diese nur im Modus "Transparenter Router". Wenn diese aktiviert ist, kann die Appliance: Per Broadcast verbreitete Routing-Informationen empfangen, die über RIP (Standard) empfangen werden, und diese auf ihre Routing-Tabelle anwenden, sodass Sie Routing-Informationen, die bereits im Netzwerk vorhanden sind, nicht auf der Appliance duplizieren müssen Routing-Informationen per Broadcast verbreiten, wenn statische Routen über RIP in der Benutzeroberfläche konfiguriert wurden 234 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

235 Übersicht über Systemfunktionen Appliance-Verwaltung 5 Vorgehensweise Einrichten einer Liste von DNS-Servern 1 Klicken Sie auf System Appliance-Verwaltung DNS und Routing. 2 Klicken Sie auf Neuer Server, und geben Sie die IP-Adresse ein. Die Appliance sendet Anfragen an DNS-Server in der Reihenfolge, in der die Server aufgelistet sind. 3 Klicken Sie bei Bedarf auf Nur Abfragen an diese Server senden, und wählen Sie die Server aus. Vorgehensweise Einrichten einer statischen Route 1 Navigieren Sie zu System Appliance-Verwaltung DNS und Routing. 2 Klicken Sie auf Neue Route, und fügen Sie die folgenden Informationen hinzu: Netzwerkadresse Gateway Messgröße 3 Übernehmen Sie die Änderungen. Datum und Uhrzeit Über diese Seite können Sie die Uhrzeit und das Datum auf der Appliance konfigurieren. System Appliance-Verwaltung Uhrzeit und Datum Vorteile der Einstellung von Uhrzeit- und Datumsoptionen Die richtigen Zeiteinstellungen sind wichtig, um sicherzustellen, dass die Appliance ihre Protokolle, Berichte und Zeitpläne exakt speichert. Sie können die Details manuell, von Ihrem eigenen Computer aus oder über das Network Time Protocol (NTP) eingeben. Tabelle 5-7 sbeschreibungen Zeitzone der Appliance Appliance-Zeit (UTC) Jetzt einstellen Client-Zeit Appliance mit Client synchronisieren Gibt die Zeitzone der Appliance an. Wenn in Ihrer Region Sommer- und Winterzeit gelten, müssen Sie die Zeitzone zweimal im Jahr ändern. Gibt das Datum und die UTC-Zeit für die Appliance an. Um das Datum festzulegen, klicken Sie auf das Kalendersymbol. Sie können die UTC-Zeit von Websites ablesen, wie Wenn Sie hierauf klicken, werden das Datum und die UTC-Zeit, die Sie in dieser Zeile ausgewählt haben, angewendet. Zeigt die Zeit entsprechend dem Client-Computer an, von dem aus Ihr Browser derzeit mit der Appliance verbunden ist. Bei Auswahl übernimmt die Zeit unter Appliance-Zeit (UTC) sofort den Wert aus Client-Zeit. Sie können dieses Kontrollkästchen als Alternative verwenden, um manuell die Appliance-Zeit (UTC) einzustellen. Die Appliance errechnet die UTC-Zeit basierend auf der Zeitzone, die sie im Client-Browser findet. Stellen Sie sicher, dass der Client-Computer Sommer- und Winterzeit berücksichtigt. Um die Einstellung in Microsoft Windows zu finden, klicken Sie mit der rechten Maustaste in die untere rechte Ecke des Bildschirms. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 235

236 5 Übersicht über Systemfunktionen Appliance-Verwaltung Tabelle 5-7 sbeschreibungen (Fortsetzung) NTP aktivieren NTP-Client-Broadcasts aktivieren NTP-Server Neuer Server Wenn ausgewählt, akzeptiert NTP Nachrichten von einem angegebenen Server oder einem Netzwerk-Broadcast. NTP synchronisiert die Uhrzeiten unter den Geräten in einem Netzwerk. Einige Internet-Dienstanbieter bieten einen Uhrzeitdienst an. Da NTP-Nachrichten nicht häufig versendet werden, beeinträchtigen Wenn ausgewählt, akzeptiert NTP Nachrichten nur von Netzwerk-Broadcasts. Diese Methode ist hilfreich, wenn das Netzwerk ausgelastet ist, aber anderen Geräten im Netzwerk vertrauen muss. Wenn diese nicht ausgewählt ist, akzeptiert NTP Nachrichten nur von Servern, die in der Liste angegeben sind. Zeigt die Netzwerkadresse oder einen Domänennamen eines oder mehrerer NTP-Server an, die die Appliance verwendet. Z. B. time.nist.gov. Wenn Sie mehrere Server angeben, prüft die Appliance jede NTP-Nachricht, um die richtige Uhrzeit zu bestimmen. Geben Sie die IP-Adresse eines neuen NTP-Servers ein. Vorgehensweise Einstellen von Datum und Uhrzeit der Appliance mithilfe eines NTP-Servers 1 Klicken Sie auf System Appliance-Verwaltung Datum und Uhrzeit. 2 Wählen Sie NTP aktivieren, und klicken Sie auf Neuer Server. 3 Geben Sie die IP-Adresse Servers an, den Sie hinzufügen möchten. Hilfreiche Websites (aktuelle UTC-Zeit) Appliance-Verwaltung Remote-Zugriff Mithilfe dieser Seite können Sie die Methoden für den Remote-Zugriff auf die Appliance angeben. System Appliance-Verwaltung Remote-Zugriff Vorteile der Verwendung der Funktion "Remote-Zugriff" Diese Funktion steuert den Zugriff auf die Benutzeroberfläche und die Secure Shell und bietet zusätzlich zu der Sicherheit, die durch die Benutzer- und Kennwortauthentifizierung gewährleistet wird, eine zusätzliche Schutzebene. Nutzen Sie die Out-of-Band-Schnittstelle, wenn Sie nicht möchten, dass ein Zugriff auf die Benutzeroberfläche oder Secure Shell über dasselbe Netzwerk wie das des Datenverkehrs möglich ist, der gescannt wird. Die Seite verfügt über folgende Abschnitte: 236 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

237 Übersicht über Systemfunktionen Appliance-Verwaltung 5 Secure Shell-Konfiguration Konfiguration des Zugriffs auf die Benutzeroberfläche Out of Band-Verwaltung sbeschreibungen Secure Shell-Konfiguration Secure Shell aktivieren Klicken Sie hier, um die Verwendung von Secure Shell (SSH) für die Herstellung einer Remote-Verbindung mit der Appliance zu aktivieren. Bei der Aktivierung der SSH werden standardmäßig alle Hosts oder Netzwerke zugelassen, die auf die Appliance zugreifen können. Klicken Sie auf Unten aufgeführte zulässige Hosts/Netzwerke erlauben, und wählen Sie anschließend Neue Adresse, um nur den angegebenen Geräten Zugriff zu gewähren. Sie können den SSH-Client verwenden, um auf das Unterstützungskonto auf der Appliance zuzugreifen. Verwenden Sie dasselbe Kennwort, das Sie für den Zugriff auf die Schnittstelle von einem Remote-Computer aus verwenden. Ändern Sie die SSH-Konfiguration so, dass Secure Shell-Zugriff zulässig ist, wenn Sie die Out-of-Band-Verwaltung verwenden und Port 22 gesperrt haben. Zulässiger Host/ Zulässiges Netzwerk Zeigt Details zu Geräten an, die auf die Appliance zugreifen können. Standardmäßig können ALLE Hosts oder Netzwerke zugreifen, die Secure Shell (SSH) verwenden können. Die Einträge unter dieser werden zur Datei "/etc/hosts.allow" hinzugefügt und müssen daher die für diese Datei gültigen Konventionen einhalten. Wir empfehlen, dass Sie anfangs den Zugriff auf bekannte Domänen bzw. Benutzer zulassen. Verwenden Sie die folgenden Notationsformate, um ein Netzwerk hinzuzufügen IPv4: /24 oder / (gewährt jedem Host mit einer Netzwerkadresse, die mit beginnt, Zugriff auf die Secure Shell) IPv6: [3ffe:505:2:1::]/64 (lässt jede Adresse im Bereich von '3ffe:505:2:1::' bis '3ffe:505:2:1:ffff:ffff:ffff:ffff' zu) Platzhalter für Domänen: *.example.com (gewährt allen Hosts in der Domäne 'example.com' Zugriff auf die Secure Shell) Verwenden Sie die folgenden Notationsformate, um einen individuellen Host hinzuzufügen IPv4: (gewährt nur diesr IP-Adresse Zugriff auf die Secure Shell) IPv6: [2001:470:921b:7896::3c]. Die Folge in [ ] muss eingegeben werden. Hostname: host1.example.com (gewährt nur 'host1' in der Domäne 'example.com' Zugriff auf die Secure Shell) Zum Hinzufügen individueller Hosts können keine Netzwerkmasken verwendet werden. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 237

238 5 Übersicht über Systemfunktionen Appliance-Verwaltung sbeschreibungen Konfiguration des Zugriffs auf die Benutzeroberfläche Alle Hosts/ Netzwerke erlauben Unten aufgeführte zulässige Hosts/ Netzwerke erlauben Ermöglicht jedem Benutzer, eine Verbindung zur Benutzeroberfläche herzustellen Zeigt Details zu Geräten an, die auf die Appliance über ihre webbasierte Benutzeroberfläche (nur IPv4-Adressen) zugreifen können. Beschränkt den Zugriff auf die Benutzeroberfläche auf die hier angegebenen Hosts oder Netzwerke. Die Standardeinstellung lautet, dass der Zugriff für ALLE Geräte möglich ist. Klicken Sie auf Neue Adresse. Geben Sie die IP-Adressen oder Domänen sorgfältig ein, anderen falls können Sie möglicherweise nicht mehr auf die Appliance zugreifen. Verwenden Sie die folgenden Notationsformate, um ein Netzwerk hinzuzufügen IPv4: /24 oder / (gewährt jedem Host mit einer Netzwerkadresse, die mit beginnt, Zugriff auf die Secure Shell) Platzhalter für Domänen: *.example.com (gewährt allen Hosts in der Domäne 'example.com' Zugriff auf die Secure Shell) Verwenden Sie die folgenden Notationsformate, um einen individuellen Host hinzuzufügen IPv4: (gewährt nur diesr IP-Adresse Zugriff auf die Secure Shell) Hostname: host1.example.com (gewährt nur 'host1' in der Domäne 'example.com' Zugriff auf die Secure Shell) -Adresse des Administrators Die -Adresse des Haupt-Administrators der Appliance. Diese Adresse wird angezeigt, wenn ein Benutzer auf eine ungültige Seite der Appliance-Benutzeroberfläche zugreifen möchte, in Form der -Adresse des Webmasters. sbeschreibungen Out of Band-Verwaltung Im Regelfall sind die Befehle, die für die Appliance ausgegeben werden, Bestandteil des Netzwerkverkehrs. Mit der Out-of-Band-Verwaltung werden die Befehle auf einen dritten Port der Appliance umgeleitet und sind somit vom restlichen Netzwerkverkehr getrennt (Out of Band). Vor der Aktivierung der Out-of-Band-Verwaltung sollten Sie sich vergewissern, dass Sie zunächst den externen USB-Ethernet-Adapter an Ihre Appliance anschließen und mit einem geeigneten Netzwerk verbinden. Für einige neuere Appliances, die bereits über die integrierte Out-of-band-Verwaltung verfügen, muss diese nicht separat aktiviert werden. Informationen darüber, ob dies für Ihre Appliance gilt, finden Sie in der der Hardware-Anschlüsse für and Web Security Appliances. Out of Band-Schnittstelle aktivieren Ethernet-Adapter Durch Auswahl dieser wird die Steuerung der Appliance über eine direkte Verbindung ermöglicht. Bietet eine Auswahl der Ethernet-Adapter, beispielsweise Belkin F5D5050 für einen USB-Netzwerkadapter oder Gb4(mb3) für einen integrierten Netzwerkadapter and Web Security Appliances 5.6 Patch 1 Produkthandbuch

239 Übersicht über Systemfunktionen Appliance-Verwaltung 5 IP-Adresse/ Netzwerkmaske NIC-Adapteroptionen Legt die IP-Adresse und die Netzwerkmaske für den Port fest. Sie können keine IP-Adresse angeben, die sich auf demselben Subnetz befindet wie die Ports des normalen Betriebsnetzes. Gibt verschiedene Details für die Out-of-Band-Verbindung an, wobei es sich gewissermaßen um eine dritte NIC-Verbindung für die Appliance handelt. MTU-Größe Die maximale Größe (in Byte) einer einzelnen Dateneinheit (z. B. ein Ethernet-Rahmen), die über die Verbindung gesendet werden kann. Beim Standardwert handelt es sich um 1500 Byte. Autonegotiations-Status Ist standardmäßig aktiviert. Verbindungsgeschwindigkeit Ist standardmäßig 100MB/s. Duplex-Status Ist standardmäßig auf "Vollduplex" festgelegt. Automatische Konfiguration von IPv6 aktivieren Wählen Sie diese aus, um der Appliance die automatische Konfiguration ihrer IPv6-Adressen und IPv6-Next-Hop-Standardrouter durch den Empfang von vom IPv6-Router gesendeten Nachrichten zur Router-Bekanntgabe zu ermöglichen. Diese ist standardmäßig nicht verfügbar, wenn die Appliance im Modus "Transparenter Router" betrieben wird oder Teil einer Cluster-Konfiguration ist. In Band-Verwaltung aktivieren Karte für Remote-Zugriff Gibt Ports an zur Verhinderung von Versuchen, per Ports über die Hauptschnittstelle (ohne Verwaltung) auf die Appliance zuzugreifen. Neuer Port Ausgewählten Port löschen In den Versionen 3300 und 3400 der Appliance ist eine integrierte Karte für Remote-Zugriff installiert. Dieser Bereich der Benutzeroberfläche wird auf anderen Appliance-Modellen nicht angezeigt. Festlegen, dass die IP-Adresse dynamisch über DHCP abgerufen wird IP-Adresse / Netzwerkmaske DRAC-Netzwerkoptionen Erweitern Sie diese, um: den Abhör-Port einzurichten die Einstellungen für das Standard-Gateway festzulegen primäre und sekundäre DNS-Server anzugeben auszuwählen, ob die Appliance DNS-Informationen dynamisch über DHCP abrufen soll DRAC-Adapteroptionen Erweitern Sie diese, um: die Firmware-Version zu überprüfen die MAC-Adresse zu konfigurieren die MTU-Größe festzulegen (standardmäßig 1500) die Autonegotiation zu verwenden (ist standardmäßig aktiviert) die Verbindungsgeschwindigkeit zu überprüfen (100 MB 100 MB) den Duplex-Status festzulegen (ist standardmäßig auf "Vollduplex" festgelegt) and Web Security Appliances 5.6 Patch 1 Produkthandbuch 239

240 5 Übersicht über Systemfunktionen Appliance-Verwaltung Vorgehensweise So verwalten Sie die Appliance über ein Management-Netzwerk 1 Navigieren Sie zu System Appliance-Verwaltung Remote-Zugriff. 2 Klicken Sie auf Out of Band-Schnittstelle aktivieren. 3 Wählen Sie im Dropdown-Feld das USB-Laufwerk oder den integrierten Ethernet-Adapter aus. 4 Geben Sie die IP-Adresse und die Netzwerkmaske für die Out-of-Band-Oberfläche ein. 5 Erweitern Sie den Bereich NIC-Adapteroptionen (optional), und ändern Sie die Informationen nach Bedarf. 6 Übernehmen Sie die Änderungen, und melden Sie sich von der Appliance ab. 7 Wechseln Sie zu der zuvor angegebenen IP-Adresse, um auf die Benutzeroberfläche zuzugreifen. Sie können weiterhin mit der IP-Adresse der Appliance auf die Benutzeroberfläche zugreifen. Unteraufgabe Einschränken des Verwaltungszugriffs auf die Appliance auf das Management-Netzwerk 1 Greifen Sie über die Out-of-Band-Schnittstelle auf die Appliance zu, und navigieren Sie zu System Appliance-Verwaltung Remote-Zugriff. 2 Deaktivieren Sie In-Band-Verwaltung aktivieren. Die Benutzeroberfläche (Port 443), die Secure Shell (Port 22) und SNMP (Port 161) sind standardmäßig auf der Appliance-IP-Adresse blockiert. 3 Klicken Sie auf Neuer Port, um neue Ports hinzuzufügen, die auf der Appliance-IP-Hauptadresse blockiert werden sollen und für die ein Zugriff nur über das Management-Netzwerk möglich sein soll. 4 Übernehmen Sie die Änderungen. Um die Appliance mit Mechanismen wie der Off-Box-Syslog-Funktion zu überwachen, navigieren Sie zu System Protokollierung, Warnungen und SNMP, und konfigurieren Sie den Remote-Server. Stellen Sie dabei sicher, dass er über das Out-of-band-Netzwerk weitergeleitet werden kann. USV-Einstellungen Auf dieser Seite können Sie die Details von Systemen zur unterbrechungsfreien Stromversorgung (USV) angeben, die mit der Appliance verbunden sind. System Appliance-Verwaltung UPS-Einstellungen Die Seite "USV-Einstellungen" ist in zwei Abschnitte unterteilt: USV-Gerätekonfiguration USV-Statusanfragen von folgenden Adressen akzeptieren Dieser Abschnitt wird angezeigt, wenn Sie ein neues USV-Gerät hinzufügen and Web Security Appliances 5.6 Patch 1 Produkthandbuch

241 Übersicht über Systemfunktionen Appliance-Verwaltung 5 Vorteile der Angabe von USV-Geräten Die Appliance kann den Status einer beliebigen Anzahl von USV-Systemen überwachen, sodass ein normales Herunterfahren möglich ist, auch wenn die Hauptstromversorgung fehlschlägt. Die Appliance kann auch andere Geräte über das Ereignis benachrichtigen. Mithilfe eines Namens und Kennworts können andere Geräte (als Clients bezeichnet) auf Informationen der Appliance zu UPS-Systemen zugreifen, wodurch der Client auf einen bevorstehenden Stromausfall reagieren kann. Tabelle 5-8 sbeschreibungen USV-Gerätekonfiguration Verzögerung vor dem Herunterfahren der Appliance, wenn auf USV-Stromversorgung umgeschaltet wurde Status Gibt den Zeitraum in Minuten an, nach dem die Appliance heruntergefahren wird. Die Standardoption So lange wie möglich bedeutet, dass die Stromversorgung aufrechterhalten wird, bis die USV signalisiert, dass der Ladezustand des Akkus niedrig ist. Wenn Sie den Minutenwert auf Null setzen, wird die Appliance sofort heruntergefahren. Zeigt den Status des Geräts an: Normaler Betrieb. Erfordert Aufmerksamkeit. Erfordert sofortige Aufmerksamkeit. Geräte und Treiber Typ Neues Gerät Zeigt den Typ (das Modell) des USV-Geräts und des Treibers an. Zeigt den Typ der Verbindung zwischen der Appliance und dem USV-Gerät an USB-Kabel, serielles Kabel oder Netzwerk. Wenn Sie auf diese klicken, wird der Assistent USV-Gerät hinzufügen auf Seite 243 geöffnet, in dem Sie die USV-Einstellungen für die (Master-) Appliance, die eine Verbindung zum USV-Gerät herstellt, oder Einstellungen für eine oder mehrere Appliances (Slaves) angeben können, die über das Netzwerk eine Verbindung zur Master-Appliance herstellen. Tabelle 5-9 sbeschreibungen USV-Statusanfragen von folgenden Adressen akzeptieren Appliance-Name oder -Adresse Typ Neuer Client Zeigt die IP-Adresse des überwachenden Geräts an. Zeigt den Status des überwachenden Geräts an. Alle hinzugefügten Geräte sind als Slaves definiert. Diese Liste enthält immer einen Master-Eintrag. Wenn Sie hierauf klicken, wird ein Fenster geöffnet, in dem Sie die Adresse des Client sowie einen Benutzernamen und ein Kennwort angeben können, die der Client für den Zugriff auf die USV-Informationen verwenden muss. Bei dem Benutzernamen und dem Kennwort handelt es sich um den Benutzernamen und das Kennwort, die Sie beim Einrichten des Master-Geräts angegeben haben. Weitere Informationen hierzu finden Sie unter USV-Gerät hinzufügen auf Seite 243. Vorgehensweise Hinzufügen eines USB-USV-Geräts 1 Verbinden Sie das USB-USV-Gerät mit der Appliance, um sicherzustellen, dass das USV-Gerät in der Liste angezeigt wird. 2 Navigieren Sie zu System Appliance-Verwaltung USV-Einstellungen. 3 Klicken Sie auf USV-Unterstützung aktivieren und anschließend auf Neues Gerät. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 241

242 5 Übersicht über Systemfunktionen Appliance-Verwaltung 4 Wählen Sie USB-Gerät, und klicken Sie anschließend auf Weiter. 5 Wählen Sie die entsprechenden Werte für Vendor-Name, USV-Gerätemodell und Angeschlossenes USB-Gerät aus. Für den Anfang können Sie die Standardeinstellungen für die en "Aus-Verzögerung" und "Ein-Verzögerung" beibehalten. 6 Klicken Sie auf Fertig stellen, und übernehmen Sie die Änderungen. Klicken Sie auf Bearbeiten und anschließend auf Weiter, um weitere Konfigurationsoptionen zu ändern. Diese en werden angezeigt, wenn die USV funktioniert (dies wird durch ein grünes Häkchen in der Spalte "Status" angezeigt). 7 Bearbeiten Sie die Einstellungen für die folgenden en, sofern zutreffend (weitere Informationen hierzu finden Sie unter USV-Gerät hinzufügen auf Seite 243: Verbleibender Akkustand, wenn die USV zum Zustand 'Niedriger Akkustand' wechselt Verbleibende Akkulaufzeit, wenn die USV zum Zustand 'Niedriger Akkustand' wechselt Intervall, das abgewartet wird, nachdem das Herunterfahren durch einen Verzögerungsbefehl erfolgte Intervall, das abgewartet wird, bevor das Laden (erneut) beginnt 8 Klicken Sie auf Fertig stellen, und übernehmen Sie anschließend die Änderungen. Vorgehensweise Hinzufügen eines seriellen USV-Geräts 1 Verbinden Sie das serielle USV-Gerät über das im Lieferumfang der USV enthaltene serielle Kabel mit der Appliance. 2 Navigieren Sie zu System Appliance-Verwaltung USV-Einstellungen. 3 Klicken Sie auf USV-Unterstützung aktivieren und anschließend auf Neues Gerät. 4 Wählen Sie Serielles Gerät aus, und klicken Sie anschließend auf Weiter. 5 Wählen Sie die entsprechenden Werte für Herstellername, USV-Gerätemodell und Serieller Port aus. 6 Klicken Sie auf Fertig stellen, und übernehmen Sie anschließend die Änderungen. 7 Klicken Sie auf Bearbeiten, um die Einstellungen für die folgenden en nach Bedarf zu ändern (siehe USV-Gerät hinzufügen auf Seite 243 für weitere Informationen). Diese en werden angezeigt, wenn die USV funktioniert (dies wird durch ein grünes Häkchen in der Spalte "Status" angezeigt): Verbleibender Akkustand, wenn die USV zum Zustand 'Niedriger Akkustand' wechselt Verbleibende Akkulaufzeit, wenn die USV zum Zustand 'Niedriger Akkustand' wechselt Intervall, das abgewartet wird, nachdem das Herunterfahren durch einen Verzögerungsbefehl erfolgte Intervall, das abgewartet wird, bevor das Laden (erneut) beginnt 8 Klicken Sie auf Fertig stellen, und übernehmen Sie anschließend die Änderungen. Vorgehensweise Konfigurieren Ihrer Appliance zum Akzeptieren von USV-Statusanfragen von anderen Appliances 1 Stellen Sie sicher, dass Ihre USV funktioniert (in der Spalte "Status" wird ein grünes Häkchen angezeigt). 2 Navigieren Sie zu System Appliance-Verwaltung USV-Einstellungen. 3 Wählen Sie Neuer Client and Web Security Appliances 5.6 Patch 1 Produkthandbuch

243 Übersicht über Systemfunktionen Appliance-Verwaltung 5 4 Geben Sie unter "Client-Adresse" die IP-Adresse des Clients ein, von dem Sie Abfragen zulassen möchten. 5 Notieren Sie sich die Informationen in den Feldern "Benutzername" und "Kennwort". Sie benötigen sie später zur Eingabe auf dem Client-Computer. 6 Wählen Sie OK. Vorgehensweise Einrichten einer Client-Appliance zum Überwachen einer USV auf einer anderen Appliance 1 Führen Sie die Schritte unter Konfigurieren Ihrer Appliance zum Akzeptieren von USV-Statusanfragen von anderen Appliances aus. 2 Navigieren Sie zu System Appliance-Verwaltung USV-Einstellungen. 3 Klicken Sie auf USV-Unterstützung aktivieren und anschließend auf Neues Gerät. 4 Wählen Sie Status der Netzspannung einer anderen EWS-Appliance abfragen, und klicken Sie auf Weiter. 5 Geben Sie den Namen oder die IP-Adresse der Appliance ein, mit der das USV-Gerät verbunden wird. 6 Fügen Sie den Benutzernamen und das Kennwort hinzu, die Sie sich beim Ausführen der Schritte unter Konfigurieren Ihrer Appliance zum Akzeptieren von USV-Statusanfragen von anderen Appliances notiert haben. 7 Klicken Sie auf Authentifizierung testen, um zu prüfen, ob die Kommunikation funktioniert. Wählen Sie anschließend Fertig stellen, und übernehmen Sie die Änderungen. USV-Gerät hinzufügen Verwenden Sie diesen Assistenten, um den Typ des USV-Geräts auszuwählen, das Sie hinzufügen möchten, und die Details zu dem Gerät anzugeben. System Appliance-Verwaltung USV-Einstellungen Neues Gerät Einführung zum Assistenten "USV-Gerät hinzufügen" Welche en im Assistenten angezeigt werden, hängt davon ab, welchen Gerätetyp Sie auswählen. Wählen Sie auf dem Bildschirm USV-Geräteverbindung zwischen den folgenden en: USB-Gerät (diese ist erst verfügbar, nachdem Sie ein USB-Gerät hinzugefügt haben) Serielles Gerät Status der Netzspannung einer anderen EWS-Appliance abfragen Tabelle 5-10 sbeschreibungen Bildschirm "Details zum USB-Gerät" Hersteller USV-Gerätemodell Angeschlossenes USB-Gerät Aus-Verzögerung Ein-Verzögerung Listet unterstützte Hersteller auf Treffen Sie eine Auswahl aus der Liste der unterstützten USB-Modelle des von Ihnen gewählten Herstellers Details des USB-Geräts Gibt an, wie viele Sekunden nach Eingang des Befehls zum Ausschalten die USV ausgeschaltet wird Gibt an, wie viele Sekunden nach Rückkehr des Netzstroms die USV die Stromversorgung wiederherstellt and Web Security Appliances 5.6 Patch 1 Produkthandbuch 243

244 5 Übersicht über Systemfunktionen Appliance-Verwaltung Tabelle 5-11 sbeschreibungen Bildschirm "Details zum seriellen Gerät" Hersteller USV-Gerätemodell Serieller Port Listet unterstützte Hersteller auf Treffen Sie eine Auswahl aus der Liste der unterstützten USB-Modelle des von Ihnen gewählten Herstellers Wählen Sie den zu verwendenden seriellen Anschluss aus. COM1 ist der integrierte serielle Anschluss auf der Appliance Tabelle 5-12 sbeschreibungen Status der Netzspannung einer anderen EWS-Appliance abfragen Appliance-Name oder -Adresse Benutzername Kennwort Authentifizierung testen Der Host-Name oder die IP-Adresse der Master-Appliance Der an die Master-Appliance vergebene Benutzername Das der Master-Appliance zugewiesene Kennwort Klicken Sie, um die Verbindung zwischen der Appliance und dem oben definierten Master-Gerät zu testen. Datenbankwartung Auf dieser Seite können Sie die Anzahl der in der Berichtsdatenbank enthaltenen Ereignisse und die Anzahl der mithilfe der Nachrichtensuchfunktion identifizierten Elemente verwalten sowie externen Geräten ermöglichen, per SQL auf Informationen zu -Ereignissen zuzugreifen. System Appliance-Verwaltung Datenbankwartung Klicken Sie unten auf den entsprechenden Link, um die Hilfe-Seite für den Bereich der Benutzeroberfläche anzuzeigen, zu dem Sie Informationen benötigen. Tabelle 5-13 sbeschreibungen Aufbewahrungsgrenzwerte Ereignisoptionen Externer Zugriff Verwaltung In diesem Bereich können Sie die Grenzwerte für den maximalen Zeitraum oder die maximale Anzahl an Elementen für die Aufbewahrung in der Datenbank festlegen. Die Grenzwerte variieren abhängig von Ihrem Hardware-Modell und der Größe der Festplatte der Appliance. Ereignisse werden als in der Berichtsdatenbank enthaltene Elemente und mithilfe der Nachrichtensuche identifizierte Elemente (isolierte Nachrichten, blockierte Nachrichten, zugestellte Nachrichten und unzustellbare Nachrichten) definiert. Verwenden Sie diesen Bereich, um die Ereignisse zu definieren, die in der Datenbank gespeichert sind. Verwenden Sie diesen Bereich, um Ihre Appliance so zu konfigurieren, dass sie einen Off-Box-SQL-Datenbankzugriff auf die Berichtsdatenbank der Appliance zulässt, um Informationen über - und Web-Erkennungen sowie Konfigurationsänderungsereignisse anzuzeigen. Verwenden Sie diesen Bereich, um festzulegen, wie häufig Datenbankwartungs-Tasks ausgeführt werden und um diese Aufgaben manuell auszulösen and Web Security Appliances 5.6 Patch 1 Produkthandbuch

245 Übersicht über Systemfunktionen Appliance-Verwaltung 5 Aufbewahrungsgrenzwerte In diesem Bereich können Sie die Grenzwerte für den maximalen Zeitraum oder die maximale Anzahl an Berichterstellungs- oder Nachrichtenelementen in der Datenbank festlegen. System Appliance-Verwaltung Datenbankwartung Aufbewahrungsgrenzwerte Die Appliance verwendet Informationen aus dieser Datenbank für die Anzeige von Berichten, die Sie über die Berichte in der Navigationsleiste abrufen können. Informationen zu früheren Ereignissen werden in regelmäßigen Abständen entfernt. Die Aufbewahrungsgrenzwerte hängen vom Hardware-Typ und der Größe des Festplattenspeichers der Appliance ab. McAfee empfiehlt, diese Werte nicht zu ändern, sofern Sie nicht von einem McAfee-Support-Mitarbeiter dazu aufgefordert wurden. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 245

246 5 Übersicht über Systemfunktionen Appliance-Verwaltung Tabelle 5-14 sbeschreibungen Ereignisse In der Berichtsdatenbank angezeigte Elemente. Die Standardwerte sind: Hardware-Modell Elemente Hardware-Modell Elemente Hardware-Modell Elemente Hardware-Modell Elemente Hardware-Modell Elemente Blade-Server Elemente Virtuelle Appliance Elemente Isolierte s Höchstzahl der Nachrichten oder Dauer, für die Nachrichten in der Quarantäne-Datenbank gespeichert werden können. Hardware-Modell Tage oder Elemente Hardware-Modell Tage oder Elemente Hardware-Modell Tage oder Elemente Hardware-Modell Tage oder Elemente Hardware-Modell Tage oder Elemente Blade-Server Nicht zutreffend (zum Isolieren von s vom Blade-Server ist McAfee Quarantine Manager erforderlich). Virtuelle Appliance 14 Tage oder Elemente Zustellungsstatus (zugestellt, blockiert, gebounct) Höchstzahl der Nachrichten oder der Dauer, für die zugestellte, blockierte oder gebouncte Nachrichten in der Datenbank gespeichert werden und von der Funktion "Nachrichtensuche" gefunden werden können. Hardware-Modell Elemente Hardware-Modell Elemente Hardware-Modell Elemente Hardware-Modell Elemente Hardware-Modell Elemente Blade-Server Elemente Virtuelle Appliance Elemente Ereignisoptionen Verwenden Sie diesen Bereich, um die Ereignisse zu definieren, die in der Datenbank gespeichert sind. System Appliance-Verwaltung Datenbankwartung Ereignisoptionen 246 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

247 Übersicht über Systemfunktionen Appliance-Verwaltung 5 Tabelle 5-15 sbeschreibungen Ereignisse in die Datenbank einfügen Wählen Sie diese aus, um Informationen zu Berichterstellungsereignissen zur Datenbank hinzuzufügen. Beachten Sie, dass sich die Datenbank schnell füllen kann, wenn Berichterstellungsereignisse gespeichert werden. McAfee empfiehlt Benutzern eines Content Security Blade Servers, für Berichterstellungsereignisse die Off-Box-Syslog-Funktion zu verwenden und diese zu deaktivieren. Nur primäre Ereignisse in die Datenbank einfügen Ereignisse an die Protokollierungskanäle weiterleiten Wählen Sie diese aus, um nur Informationen zu primären Berichterstellungsereignissen zur Datenbank hinzuzufügen, beispielsweise Virenerkennungen. Eine Nachricht, die sowohl einen Viren- als auch einen Spam-"Treffer" auslöst, wird in der Datenbank zweimal protokolliert. Wenn Sie diese deaktivieren, wird nur die Erkennung, die die primäre Aktion für die Nachricht verursacht hat, in der Datenbank protokolliert. Wählen Sie diese aus, um zuzulassen, dass Ereignisse aus Protokollierungs- und Warnungsquellen wie Syslog, SNMP, McAfee Web Reporter und -Erkennungen an die Protokollierungskanäle übergeben werden. Externer Zugriff In diesem Bereich können Sie die Appliance so konfigurieren, dass sie einen beschränkten Zugriff von einem Off-Box-SQL-Client aus zulässt, um Informationen zu -Erkennungen, Web-Erkennungen und Konfigurationsänderungsereignissen anzuzeigen, die in drei separaten Ansichten gespeichert sind. System Appliance-Verwaltung Datenbankwartung Externer Zugriff Einführung zum externen Zugriff Es ist möglich, den externen Zugriff auf einen begrenzten Umfang an Ansichten der Berichtsdatenbank auf einer Appliance zu konfigurieren. Standardmäßig sind dies die folgenden drei Ansichten: -Details zeigt eine eindeutige Ereignis-ID, das Datum und die Uhrzeit, zu der das Ereignis hinzugefügt wurde, eine eindeutige ID für die Nachricht, deren vorgesehenes Ziel, die IP-Adresse, die Domäne und die -Adresse des Absenders, die IP-Adresse, die Domäne und die -Adresse des vorgesehenen Empfängers, die von der Appliance ausgeführte Aktion, die verwendete Scan-Richtlinie und ggf. die verwendete Inhaltsfilterung, sowie die Erkennungskategorie und den Namen der Erkennung, sofern verfügbar. Web-Details zeigt eine eindeutige Ereignis-ID, das Datum und die Uhrzeit, zu der das Ereignis hinzugefügt wurde, eine eindeutige ID für den Web-Zugriffsversuch, die IP-Adresse, den Domänennamen und den Benutzernamen des Absenders, den angeforderten URL, die von der Appliance ausgeführte Aktion, die Scan-Richtlinie und die Erkennungskategorie, sowie den Namen der Erkennung, sofern verfügbar. Konfigurationsänderung zeigt eine eindeutige Ereignis-ID, das Datum und die Uhrzeit, zu der das Ereignis hinzugefügt wurde, den Anmeldenamen der Person, die die Änderungen vorgenommen hat, und die IP-Adresse des Computers, der zum Vornehmen der Änderung verwendet wurde. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 247

248 5 Übersicht über Systemfunktionen Appliance-Verwaltung Tabelle 5-16 sbeschreibungen Off-Box-SQL-Zugriff aktivieren Externen Datenbankzugriff für diesen Adressbereich zulassen Externen Datenbankzugriff für Benutzer zulassen Berichtskennwort festlegen Wählen Sie diese aus, um zuzulassen, dass ein Off-Box-SQL-Client auf die Appliance zugreift. Definieren Sie die Adresse und die Subnetzmaske für die externen Hosts, denen Sie Zugriff gewähren möchten. Definieren Sie den Benutzer, den der externe Client für die Anmeldung bei der Appliance verwendet. Die Standardeinstellung ist reporter. Definieren Sie das Kennwort, den die externe Datenbank für die Anmeldung bei der Appliance verwendet. Die Standardeinstellung ist reports. Vorgehensweise Anzeigen von Informationen zu -Erkennungen von einem Off-Box-Client aus mithilfe der interaktiven Anwendung PSQL von Postgres 1 Öffnen Sie die Befehlszeile auf dem Computer, auf dem Sie die Datenbank anzeigen möchten. 2 Geben Sie psql -U <Benutzername> -d reports - h <Host-Adresse> ein, und drücken Sie die Eingabetaste. 3 Geben Sie das Kennwort für den Benutzer ein, dem Sie Zugriff erteilt haben. 4 Drücken Sie die Eingabetaste, um die Liste der verfügbaren Berichtsansichten anzuzeigen. Folgende en stehen zur Auswahl: _details Web_details Configuration_change_view. Verwaltung Verwenden Sie diesen Bereich, um festzulegen, wie häufig Datenbankwartungs-Tasks ausgeführt werden und um diese Aufgaben manuell auf der Appliance auszulösen. System Appliance-Verwaltung Datenbankwartung Wartung Bei Ausführung bereinigen die Wartungs-Tasks den Inhalt der Berichtsdatenbank und die mit der Nachrichtensuchfunktion identifizierten Elemente entsprechend den Einstellungen im Bereich Aufbewahrungsgrenzwerte. McAfee empfiehlt, die Berichtsdatenbank und die Elemente der Nachrichtensuche regelmäßig zu bereinigen, damit die Datenbank nicht zu groß wird and Web Security Appliances 5.6 Patch 1 Produkthandbuch

249 Übersicht über Systemfunktionen Appliance-Verwaltung 5 Tabelle 5-17 sbeschreibungen Wartungszeitplan Datenbank zurücksetzen Wählen Sie aus, wie häufig die Appliance die Datenbankwartungs-Tasks ausführt. Die Standardeinstellung ist alle 30 Minuten. Geben Sie das Kennwort ein, und klicken Sie anschließend auf Datenbank zurücksetzen, um die Datenbank auf ihren Standardzustand zurückzusetzen. Alle Informationen in der Datenbank gehen verloren. Datenbank warten Klicken Sie auf diese, um die Datenbankwartungs-Tasks manuell alle X Minuten zu starten. Die Datenbank sucht mit der Nachrichtensuchfunktion, ob Elemente in der Berichtsdatenbank oder identifizierte Elemente die von Ihnen festgelegte Aufbewahrungsgrenze erreicht haben. Appliance-Verwaltung Systemverwaltung Auf der Seite "Systemverwaltung" stehen Tools zur Verfügung, mit deren Hilfe Sie Ihre Appliance auf sichere Weise ausschalten oder neu starten und Ihre Rescue-Images verwalten können. System Appliance-Verwaltung Systemverwaltung Tabelle 5-18 sbeschreibungen Systembefehle auf Seite 249 Mithilfe dieser Seite können Sie die Appliance sicher herunterfahren, neu starten oder die standardmäßigen Werkseinstellungen wiederherstellen. Um Missbrauch oder versehentliches Pausieren zu verhindern, müssen Sie das Kennwort eingeben, wenn Sie diese Funktionen verwenden möchten. Internes Rescue-Image verwalten auf Seite 251 Von dieser Seite aus können Sie erzwingen, dass die Appliance von einem auf der Festplatte oder einem USB-Laufwerk gespeicherten Rescue-Image startet. Rescue-Images können hier importiert und exportiert werden. Systembefehle Mithilfe dieser Seite können Sie die Appliance sicher herunterfahren, neu starten oder die standardmäßigen Werkseinstellungen wiederherstellen. System Appliance-Verwaltung Systemverwaltung Systembefehle Um Missbrauch oder versehentliches Anhalten der Appliance zu verhindern, müssen Sie das Kennwort eingeben, wenn Sie diese Funktionen verwenden möchten. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 249

250 5 Übersicht über Systemfunktionen Appliance-Verwaltung Vorteile der Verwendung von Systembefehlen Hin und wieder muss Ihre Appliance beendet werden, beispielsweise, wenn Arbeiten an der Stromversorgung anstehen oder wenn die Netzwerktopographie geändert werden soll. Außerdem kann ein Neustart der Appliance notwendig werden, entweder als Teil eines Softwareupgrades oder um alle Dienste erneut zu starten. Unter bestimmten Umständen kann es vorkommen, dass Sie alle konfigurierten en Ihrer Appliance löschen und die Standardwerkseinstellungen wiederherstellen möchten. sbeschreibungen Systembefehle Appliance beenden Appliance neu starten Zur Standardkonfiguration zurückkehren Wenn Sie darauf klicken, wird die Appliance ausgeschaltet oder in einen Status versetzt, in dem Sie sie sicher ausschalten können. Wenn Sie hierauf klicken, wird die Appliance neu gestartet. Wenn Sie auf diese klicken, werden alle ursprünglichen "Werkseinstellungen" der Appliance wieder hergestellt. Vorgehensweise Beenden der Appliance Bevor Sie die Appliance beenden, vergewissern Sie sich, dass Sie über die notwendigen Berechtigungen verfügen und dass ein Netzwerkausfallplan vorliegt. 1 Navigieren Sie zu System Appliance-Verwaltung Systemverwaltung Systembefehle. 2 Geben Sie neben der Schaltfläche Appliance beenden das Systemkennwort ein. 3 Klicken Sie auf Appliance beenden. Der Vorgang zum Beenden der Appliance wird eingeleitet und ist nach wenigen Minuten abgeschlossen. Task Neustarten der Appliance Bevor Sie einen Neustrt der Appliance durchführen, vergewissern Sie sich, dass Sie über die notwendigen Berechtigungen verfügen und dass ein Netzwerkausfallplan vorliegt. 1 Navigieren Sie zu System Appliance-Verwaltung Systemverwaltung Systembefehle. 2 Geben Sie neben der Schaltfläche Appliance neu starten das Systemkennwort ein. 3 Klicken Sie auf Appliance neu starten. Der Vorgang zum Beenden der Appliance wird eingeleitet. Nach ca. fünf Minuten wird die Appliance erneut gestartet. Task Wiederherstellen der Standardkonfiguration Bevor Sie die Werkseinstellungen Appliance wiederherstellen, vergewissern Sie sich, dass Sie über die notwendigen Berechtigungen verfügen und dass ein Netzwerkausfallplan vorliegt. Wir empfehlen, vor der Wiederherstellung der Werkseinstellungen eine Sicherungskopie Ihrer vorhandenen Konfiguration zu erstellen. 1 Navigieren Sie zu System Appliance-Verwaltung Systemverwaltung Systembefehle. 2 Geben Sie neben der Schaltfläche Zur Standardkonfiguration zurückkehren das Systemkennwort ein and Web Security Appliances 5.6 Patch 1 Produkthandbuch

251 Übersicht über Systemfunktionen Appliance-Verwaltung 5 3 Klicken Sie auf Zur Standardkonfiguration zurückkehren. Sie werden darüber informiert, dass Ihre Einstellungen außer Kraft gesetzt und dass Sie abgemeldet werden.. 4 Klicken Sie auf OK, um Ihre Konfiguration wiederherzustellen. Internes Rescue-Image verwalten Verwenden Sie diese Seite, um zu erzwingen, dass die Appliance von einem Rescue-Image startet, das in einer geschützten Partition auf der Festplatte gespeichert ist. Von hier aus können Sie auch die Rescue-Images verwalten und ein bootfähiges USB-Laufwerk mit dem Rescue-Image erstellen. System Appliance-Verwaltung Systemverwaltung Internes Rescue-Image verwalten Diese Version der Appliance bietet die Möglichkeit zum Speichern eines Rescue-Images: Auf einer geschützten Partition auf der Festplatte der Appliance Auf einem USB-Laufwerk: das an eines der externen USB-Anschlüsse der Appliance angeschlossen ist. das intern in der Appliance gemountet ist, sofern Ihre Appliance mit einem optionalen internen USB-Laufwerk ausgestattet ist. (Nur für Appliances, die auf der Dell R610-Hardware basieren.) Beim Erstellen eines bootfähiges Rescue-Images auf einem USB-Laufwerk werden alle Dateien gelöscht, die sich auf dem USB-Laufwerk befinden. Um Missbrauch oder versehentliches Anhalten der Appliance zu verhindern, müssen Sie das Kennwort der Appliance eingeben, wenn Sie diese Funktionen verwenden möchten. Vorteile der Verwendung des internen Rescue-Images Die Verwendung des internen Rescue-Images bietet folgende Vorteile: Wenn Sie Ihre and Web Security Appliances verwalten, können Sie, wenn das Image für jede Appliance auf einer geschützten Partition auf der Festplatte oder dem USB-Laufwerk für jede Appliance gespeichert ist, remote ein neues Image Ihrer Appliances einspielen, ohne nach einer CD mit der richtigen Version der Software suchen zu müssen. Durch das Rescue-Image entfällt die Notwendigkeit, Ihre Appliance mit Karten für den Remote-Zugriff auszustatten (sofern Sie geeignete Appliance-Modelle verwenden), um von einem Remote-Standort aus ein neues Image auf die Appliances einzuspielen. Wenn Sie eine Bibliothek der gespeicherten Rescue-Images in Ihrem lokalen Netzwerk oder auf einem lokalen FTP- oder HTTP-Server erstellen, können Sie Ihre Appliances mit den Rescue-Images auf eine frühere ISO-Version der Software zurückführen oder sie auf eine neuere Version aktualisieren. Importieren Sie hierzu das erforderliche Image auf die Rescue-Partition Ihrer Appliance, und erzwingen Sie dann mithilfe der Vollständige Installation ausführen und dabei vorhandene Daten überschreiben, dass Ihre Appliance vom neu importierten Rescue-Image startet. Verwenden Sie für die Zurückführung die 2 oder 3 und für die Aktualisierung die 2, 3 oder 4. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 251

252 5 Übersicht über Systemfunktionen Appliance-Verwaltung sbeschreibungen zum Verwalten des internen Rescue-Images Folgende Bedienelemente und Informationen stehen für die Konfiguration dieser Funktion zur Verfügung: Tabelle 5-19 sbeschreibungen Details zum Rescue-Image Starten vom Rescue-Image erzwingen Bietet Details zum Rescue-Image, das derzeit auf der Rescue-Partition Ihrer Appliance gespeichert ist. Bietet en zum Neustart Ihrer Appliance von einem Rescue-Image: Starten mit Menü Stellen Sie bei der Auswahl von Starten mit Menü sicher, dass Sie sich in Bezug auf die Appliance lokal befinden oder dass Sie über eine DRAC-Karte auf die Appliance zugreifen können. Vollständige Installation ausführen und dabei vorhandene Daten überschreiben Software unter Beibehaltung der Konfiguration und der -Nachrichten installieren Software nur unter Beibehaltung der Netzwerkkonfiguration installieren Software nur unter Beibehaltung der Konfiguration installieren Neues Rescue-Image importieren Rescue-Image exportieren Navigieren Sie zu dem Rescue-Image, das auf Ihrem lokalen Laufwerk oder einem lokalen FTP- oder HTTP-Server gespeichert ist, und kopieren Sie das Image auf die Rescue-Partition Ihrer Appliance. Speichern Sie ein Rescue-Image in einer Datei, oder wählen Sie ein USB-Laufwerk aus, um eine bootfähige Kopie des Rescue-Images auf dem USB-Laufwerk zu erstellen. Vorgehensweise Überprüfen der Version des aktuellen Rescue-Images Bei der Installation einer neuen Version der Software (von einem ISO-Image) auf Ihrer Appliance wird das entsprechende Image automatisch auf die Rescue-Partition der Festplatte der Appliance geladen So überprüfen Sie das aktuell gespeicherte Rescue-Image 1 Klicken Sie auf System Appliance-Verwaltung Systemverwaltung Internes Rescue-Image verwalten. 2 Verifizieren Sie die unter Details zum Rescue-Image oder im Fenster Infos zur Appliance angezeigten Versionsinformationen. Vorgehensweise Verwenden des Rescue-Images auf der Festplatte der Appliance In diesem Abschnitt werden die Vorgehensweisen beschrieben, die für das auf der Festplatte der Appliance gespeicherte Rescue-Image relevant sind. Unteraufgabe Aktualisieren des auf der Festplatte der Appliance gespeicherten Rescue-Images über ein lokales Netzwerk oder Laufwerk Mit der Software können Sie die Rescue-Partition mit einem neuen Image überschreiben, ohne die Software neu zu installieren. Sie können ein Image von einem lokalen Netzwerk oder Laufwerk importieren. 1 Klicken Sie auf System Appliance-Verwaltung Systemverwaltung Internes Rescue-Image verwalten. 2 Klicken Sie auf Image importieren and Web Security Appliances 5.6 Patch 1 Produkthandbuch

253 Übersicht über Systemfunktionen Appliance-Verwaltung 5 3 Navigieren Sie zu der entsprechenden Datei. 4 Klicken Sie auf OK. Unteraufgabe Aktualisieren des auf der Festplatte der Appliance gespeicherten Rescue-Images über einen lokalen FTP- oder HTTP-Server Mit der Software können Sie die Rescue-Partition mit einem neuen Image überschreiben, ohne die Software neu zu installieren. Sie können ein Image von einem lokalen FTP- oder HTTP-Server importieren. 1 Klicken Sie auf System Appliance-Verwaltung Systemverwaltung Internes Rescue-Image verwalten. 2 Klicken Sie auf Image vom Server herunterladen. 3 Geben Sie die Servereinstellungen sowie ggf. Ihre Proxy-Einstellungen und Kennwörter an. 4 Klicken Sie auf OK. Die Server- und Proxy-Einstellungen werden von der Appliance gespeichert. Unteraufgabe Installation vom Rescue-Image auf der Festplatte der Appliance Nachdem Sie verifiziert haben, dass auf der geschützten Partition der Festplatte der Appliance die richtige Version des Rescue-Images gespeichert ist, können Sie dieses Image auf Ihrer Appliance einspielen: 1 Klicken Sie auf System Appliance-Verwaltung Systemverwaltung Internes Rescue-Image verwalten. 2 Klicken Sie auf Starten vom Rescue-Image erzwingen. 3 Treffen Sie Ihre Auswahl aus den folgenden en: Starten mit Menü Stellen Sie bei der Auswahl von Starten mit Menü sicher, dass Sie sich in Bezug auf die Appliance lokal befinden oder dass Sie über eine DRAC-Karte auf die Appliance zugreifen können. Vollständige Installation ausführen und dabei vorhandene Daten überschreiben Ausführen einer vollständigen Installation, bei der die vorhandenen Daten überschrieben, aber die Netzwerkeinstellungen beibehalten werden Wenn Sie eine der en für die vollständige Installation auswählen, sind weitere Schritte erforderlich, um gespeicherte Konfigurationen zu importieren oder die Appliance neu zu konfigurieren. Software unter Beibehaltung der Konfiguration und der -Nachrichten installieren 4 Geben Sie das Kennwort der Appliance ein. 5 Klicken Sie auf OK. Die Appliance startet neu und spielt das Rescue-Image mit den ausgewählten Installationsoptionen auf der Appliance ein. Vorgehensweise Verwenden des Rescue-Images auf dem USB-Laufwerk Führen Sie die folgenden Aufgaben aus, um das Rescue-Image auf einem USB-Laufwerk zu speichern: Unteraufgabe Exportieren eines Rescue-Images auf ein USB-Laufwerk and Web Security Appliances 5.6 Patch 1 Produkthandbuch 253

254 5 Übersicht über Systemfunktionen Appliance-Verwaltung Exportieren Sie zum Erstellen eines Images auf einem USB-Laufwerk das Image auf ein geeignetes USB-Laufwerk, das an Ihre Appliance angeschlossen ist. Um ein externes USB-Laufwerk zu verwenden, muss es an einen USB-Anschluss der Appliance angeschlossen werden. Es ist nicht möglich, über die VMTrial-Version der Software ein Rescue-Image auf ein USB-Laufwerk zu exportieren. Wenn Ihre Appliance über ein optionales internes USB-Laufwerk verfügt, können Sie dieses auswählen. (Nur für Appliances, die auf der Dell R610-Hardware basieren.) 1 Klicken Sie auf System Appliance-Verwaltung Systemverwaltung Internes Rescue-Image verwalten. 2 Klicken Sie auf Liste der USB-Geräte aktualisieren. 3 Wählen Sie das erforderliche USB-Gerät in der Dropdown-Liste "USB-Gerät" aus. 4 Klicken Sie auf Image mit USB-Gerät brennen. Das Rescue-Image wird auf das USB-Laufwerk kopiert, wobei alle vorhandenen Dateien überschrieben werden, und es wird ein bootfähiges Image erstellt. Unteraufgabe Installation vom Rescue-Image, das auf dem USB-Laufwerk der Appliance gespeichert ist Sie können mit dem bootfähigen Rescue-Image, das auf einem externen oder internen USB-Laufwerk (je nach Hardware) gespeichert ist, ein neues Image auf der Appliance einspielen. Vorgehensweise: 1 Klicken Sie auf System Appliance-Verwaltung Systemverwaltung Internes Rescue-Image verwalten. 2 Stellen Sie sicher, dass das USB-Laufwerk mit der richtigen Version des Rescue-Images an Ihre Appliance angeschlossen ist. 3 Stellen Sie sicher, dass ein Monitor und eine Tastatur an die Appliance angeschlossen sind. 4 Geben Sie das Kennwort der Appliance in das Textfeld neben Appliance neu starten unter Systembefehle ein. 5 Klicken Sie auf Appliance neu starten im Bereich Systembefehle. 6 Wählen Sie beim Neustart der Appliance über die Tastatur und den Monitor der Appliance Boot-Menü aus. 7 Wählen Sie im Menü das USB-Laufwerk aus, von dem gestartet werden soll. Die Appliance startet neu und spielt das auf dem USB-Laufwerk gespeicherte Rescue-Image auf der Appliance ein. Hierbei werden die Installationsoptionen verwendet, die Sie in der Standardlizenz und der Konsole ausgewählt haben, die auf dem an der Appliance angeschlossenen Monitor angezeigt werden and Web Security Appliances 5.6 Patch 1 Produkthandbuch

255 Übersicht über Systemfunktionen Appliance-Verwaltung 5 Vorgehensweise Erstellen eines bootfähigen Rescue-Images auf dem USB-Laufwerk, ohne die Appliance zu verwenden Sie können ein bootfähiges Rescue-Image auf einem USB-Laufwerk erstellen, ohne die Appliance zu verwenden. Sie benötigen einen Computer mit Internetzugang, Ihre McAfee Grant-Nummer für die and Web Security Appliance sowie Software von Drittanbietern, mit der Sie ein bootfähiges Image auf einem USB-Laufwerk erstellen können. 1 Navigieren Sie zur McAfee-Download-Seite, und geben Sie Ihre Grant-Nummer ein. 2 Laden Sie die ISO-Datei für die Version der and Web Security Appliance-Software herunter. 3 Erstellen Sie anhand der heruntergeladenen Datei ein bootfähiges Image auf dem USB-Laufwerk, und verwenden Sie dabei geeignete Systembefehle oder Disk-Imaging-Software. Standardeinstellungen des Servers Auf dieser Seite können Sie Details von HTTP- und FTP-Proxyservern angeben, über die die Appliance Updates erhält, und einen Remote-Backup-Server einrichten. System Standardeinstellungen des Servers Vorteile der Konfiguration von Standardeinstellungen des Servers Die FTP- und HTTP-Proxyserver, die Sie hier angeben, werden von der Appliance als Standard-Proxyserver für Folgendes verwendet: Abrufen von Bedrohungserkennungsdatei-Updates (Antiviren-, Anti-Spam- und Web-Kategorisierungsdatenbank) Installation von Paket-Updates (Patches und Hotfixes) Der standardmäßige Remote-Backup-Server, den Sie hier angeben, wird von der Appliance als Standard-Server für Folgendes verwendet: Automatische Sicherung Ihrer Konfiguration Erstellen eines Systemprotokollarchivs Sie können in den jeweiligen Konfigurationsassistenten festlegen, dass die Appliance für jede dieser Aktionen unterschiedliche Server verwenden soll. Die Seite ist in folgende Bereiche unterteilt: Standardmäßige HTTP-Proxy-Einstellungen Standardmäßige FTP-Proxyeinstellungen Standardeinstellungen für Remote-Sicherungen Geben Sie die folgenden Informationen an, um den HTTP-Proxy und den FTP-Proxy einzurichten: Proxyserver Proxy-Port Proxy-Benutzername Proxy-Kennwort and Web Security Appliances 5.6 Patch 1 Produkthandbuch 255

256 5 Übersicht über Systemfunktionen Cluster-Verwaltung Einstellungen des Remote-Backup-Servers Für die Sicherung auf einem Remote-Server stehen drei en zur Auswahl: FTP SSH mit Kennwortauthentifizierung SSH mit Authentifizierung mittels eines öffentlichen Schlüssels Wenn Sie FTP oder SSH mit der Kennwortauthentifizierung verwenden, werden Ihre Kennwörter in den Konfigurationsdateien der Appliance im Klartextformat gespeichert. Die sicherste ist die Verwendung von SSH zusammen mit der Authentifizierung mittels eines öffentlichen Schlüssels. Um diese Funktion zu verwenden, müssen Sie auf den Link klicken, um eine Schlüsseldatei zu generieren, die Sie anschließend kopieren und in Ihre Datei mit den autorisierten Schlüsseln einfügen müssen, damit die Appliance die Sicherung durchführen kann. Geben Sie die folgenden Informationen an, um einen Remote-Backup-Server einzurichten: Tabelle 5-20 sbeschreibungen Standardeinstellungen für Remote-Sicherungen An FTP-Server übertragen Standardmäßig ausgewählt: Server Port Verzeichnis Proxyserver Proxy-Port Proxy-Benutzername Benutzername (der Standardwert ist "anonymous") Proxy-Kennwort Kennwort (der Standardwert ist "anonymous") Übertragung über SSH Klicken Sie hier, um die Einstellungen für die Übertragung der Sicherung über SSH anzugeben: Server Port Verzeichnis Benutzername (der Standardwert ist "anonymous") Kennwortauthentifizierung/Kennwort (der Standardwert ist "anonymous") Authentifizierung mittels eines öffentlichen Schlüssels/Öffentlicher Schlüssel (bietet einen Link zum öffentlichen Schlüssel) Cluster-Verwaltung Die Cluster-Verwaltung ermöglicht Ihnen, Gruppen von zusammenarbeitenden Appliances einzurichten, um die Scan-Arbeitslast zu verteilen und für den Fall eines Hardware-Fehlers Redundanz zu bieten. Auf diesen Seiten können Sie Ihre Konfigurationen sichern und wiederherstellen, Konfigurationen von einer Appliance auf andere Appliances übertragen und den Lastenausgleich zwischen den Appliances einrichten and Web Security Appliances 5.6 Patch 1 Produkthandbuch

257 Übersicht über Systemfunktionen Cluster-Verwaltung 5 Thema Konfiguration sichern und wiederherstellen Konfigurations-Push Lastenausgleich Verwenden Sie diese Seite, um die Informationen in der Konfiguration der Appliance zu sichern und wiederherzustellen. Verwenden Sie diese Seite, um die Einstellungen einer Appliance auf andere Appliances zu kopieren. Sie können beispielsweise angeben, dass alle Ihre Appliances dieselben Einstellungen für Viren-Scans verwenden. Auf dieser Seite können Sie die Anforderungen zur Lastverteilung für die Appliance angeben, wenn sie Teil eines Clusters ist. Inhalt Konfiguration sichern und wiederherstellen Konfigurations-Push Lastenausgleich Ausfallsicherer Modus Konfiguration sichern und wiederherstellen Verwenden Sie diese Seite, um die Informationen in der Konfiguration der Appliance zu sichern und wiederherzustellen. System Cluster-Verwaltung Konfiguration sichern und wiederherstellen Sie können die Konfiguration von der Appliance zu einer anderen kopieren oder die Sicherungskopie verwenden, um Ihre Appliance auf die vorhergehenden Einstellungen zurückzusetzen. Tabelle 5-21 sbeschreibungen Konfiguration sichern Konfigurationsdatei speichern Wenn Sie hierauf klicken, werden alle Konfigurationseinstellungen für die Appliance in einer Datei gespeichert, und Sie können diese Datei herunterladen. Sie können die Konfigurationsdetails zum Offline-Betrieb der Appliance sicher speichern und diese Informationen später wiederherstellen, falls die ursprüngliche Appliance ausfällt. Die Systemkonfigurationsdateien werden in einer.zip-datei gespeichert, die hauptsächlich XML-Dateien und zugehörige DTD-Dateien enthält. Die Größe der.zip-datei beträgt üblicherweise weniger als 1 MB. Wenn Sie auf diese klicken, können Sie die Konfigurationsdatei herunterladen. Der Link ist erst aktiv, nachdem die Konfigurationsdatei erstellt wurde. Data Loss Prevention-Datenbank einschließen Importieren von TLS-Zertifikaten... Wenn diese ausgewählt ist, werden in die Sicherungsdatei Informationen zu DLP-Kategorien und Datei-Fingerabdrücken aufgenommen. Den Inhalt der DLP-Datenbank finden Sie unter -Richtlinien Registrierte Dokumente. Wenn diese ausgewählt ist, werden in die Sicherungsdatei Informationen zu sämtlichen digitalen Zertifikaten und privaten Schlüsseln, die auf der Appliance gespeichert sind, mit aufgenommen. Sie müssen dabei die Sicherheit Ihrer privaten Schlüssel bedenken. Die Zertifikate finden Sie unter -Konfiguration Protokollkonfiguration Transport Layer Security (SMTP). and Web Security Appliances 5.6 Patch 1 Produkthandbuch 257

258 5 Übersicht über Systemfunktionen Cluster-Verwaltung Tabelle 5-21 sbeschreibungen (Fortsetzung) Kennwortsatz für privaten Schlüssel/Kennwortsatz wiederholen Automatisches Sichern aktivieren Importieren von TLS-Zertifikaten... Beim Anwenden der Konfiguration automatisch sichern Sicherung geplant Aus Datei wiederherstellen Bericht erstellen/bericht anzeigen Konfigurationsänderungen durchsehen Gibt einen Kennwortsatz zum Schutz der digitalen Zertifikate und privaten Schlüssel an. Wenn diese ausgewählt ist, werden regelmäßig Sicherungen der Konfiguration erstellt und an einen Server gesendet, dessen Details Sie angeben können. Wenn noch kein Server konfiguriert ist, wird der Assistent "Automatische Sicherungen der Konfiguration konfigurieren" gestartet. Klicken Sie anderenfalls auf den Link neben Sicherung geplant, um den Server anzugeben. Wenn diese ausgewählt ist, werden in die Sicherung auf dem Remote-Server Informationen zu allen auf der Appliance gespeicherten digitalen Zertifikaten und privaten Schlüsseln aufgenommen. Diese werden in einer Form hinzugefügt, die lesbar (also nicht verschlüsselt) ist, weshalb Sie die Sicherheit Ihrer Schlüssel bedenken sollten, wenn Sie diese aktivieren. Wenn Sie auf diese klicken, wird von allen auf der Appliance gespeicherten Konfigurationsänderungen eine Sicherung erstellt und auf den Remote-Server übertragen. Klicken Sie hier, um den Assistenten Automatische Sicherungen der Konfiguration konfigurieren zu öffnen. Wenn Sie darauf klicken, werden die Konfigurationsdateien aus einer Sicherungsdatei wiederhergestellt. Sie können auswählen, welche Details Sie benötigen. Wenn die Datei aus einer früheren Version der Software stammt, sind einige Details nicht verfügbar. Verwenden Sie diese, um einen Online-Bericht zu erstellen, der Details zu Änderungen und Einstellungen in den einzelnen Bereichen der Appliance-Konfiguration und der Statusseiten enthält. Zeigt Details zu den an der Appliance vorgenommenen Änderungen an. Kommentar Der Kommentar wird automatisch von der Appliance erstellt oder es handelt sich um Text, der in das Fenster Kommentar zur Konfigurationsänderung nach dem Klicken auf das grüne Häkchen eingegeben wurde. Client-IP-Adresse Der Standardwert ist (oder "Home"). Benutzer Dies ist typischerweise scmadmin oder andere Benutzer. Wählen Sie zum Anzeigen der Benutzerliste in der Navigationsleiste System Benutzer, Gruppen und Dienste Rollenbasierte Benutzerkonten. Sitzung Eine PID ist eine Zahl, die einen Prozess identifiziert. Konfigurations-Push Verwenden Sie diese Seite, um die Einstellungen einer Appliance auf andere Appliances zu kopieren. Sie können beispielsweise angeben, dass alle Ihre Appliances dieselben Einstellungen für Viren-Scans verwenden. System Cluster-Verwaltung Konfigurationsübertragung 258 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

259 Übersicht über Systemfunktionen Cluster-Verwaltung 5 Tabelle 5-22 sbeschreibungen Host-Name/-Adresse Plattform Aktualisierungsfortschritt Konfiguration anwenden Zeigt die IP-Adresse der Appliance an. Zeigt Informationen zur Appliance an. Zeigt den Status der Konfigurationsaktualisierung an und wird alle zwei Sekunden aktualisiert. Wenn Sie darauf klicken, werden die Einstellungen an die anderen Appliances in der Liste gesendet. Parameter, die nicht auf eine andere Appliance gepusht werden Die folgenden Konfigurationsparameter werden nicht auf die anderen Appliances gepusht. Netzwerkeinstellungen: Host-Name und Domänenname Standardrouten IP-Adressen Ethernet-Einstellungen, z. B. MTU und Duplex Appliance-Betriebsmodus; expliziter Proxy, transparente Bridge, transparenter Router Spanning Tree-Protokolleinstellungen (nur Modus "Transparente Bridge") DNS-Serveradressen DHCP-Server-Einstellungen (gilt für Cluster-Konfigurationen) Lastenausgleichs-Einstellungen Statische Routes Proxyeinstellungen USV-Einstellungen McAfee Quarantine Manager-Einstellungen: Quarantine Manager-System-ID Einstellungen für die Karte für den Remote-Zugriff: DRAC zugewiesene IP-Adresse(n) Management-Port-Einstellungen: Ob die Out-of-Band-Verwaltung aktiviert ist (IP-Adresse, Treiber) Lastenausgleich Auf dieser Seite können Sie die Anforderungen zur Lastverteilung für die Appliance angeben, wenn sie Teil eines Clusters ist. System Cluster-Verwaltung Lastenausgleich Der Inhalt dieser Seite kann variieren. In Abhängigkeit des Cluster-Modus sind einige der en nicht verfügbar. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 259

260 5 Übersicht über Systemfunktionen Cluster-Verwaltung Beim Konfigurieren einer Gruppe von Appliance oder McAfee Content Security Blade Servern verwendet der aktuelle Master einen Algorithmus nach dem Prinzip "Am wenigsten verwendet", um den Appliances oder Blades Verbindungen zuzuweisen, deren Datenverkehr gescannt werden soll. Die nächste Verbindung wird der Appliance bzw. Blade, die aktuell die geringste Zahl von Verbindungen aufweist, zugewiesen. Für einen Appliance-Cluster: Wenn Sie nur über eine Master- und eine Failover-Appliance verfügen, die beide für das Scannen des Datenverkehrs konfiguriert sind, sendet die Master-Appliance die meisten Verbindungen zum Scannen an die Failover-Appliance. Wenn Sie über Scan-Appliances verfügen und das Scannen auf der Master- und der Failover-Appliance aktiviert haben, erhalten die Scan-Appliances den meisten Datenverkehr zum Scannen. Die Failover-Appliance erhält weniger Datenverkehr und die Master-Appliance am wenigsten. Falls Sie mehr als drei Appliances in einem Cluster betreiben, empfiehlt McAfee, das Scannen nicht auf der Master-Appliance zu aktivieren. Sie können die Master- und Failover-Blades eines McAfee Content Security Blade Server nicht zum Scannen von Datenverkehr konfigurieren. McAfee empfiehlt, McAfee Quarantine Manager zum Isolieren von -Nachrichten zu verwenden, wenn Sie Ihre Appliance in einer Cluster-Umgebung verwenden. sbeschreibungen Verwaltung des Scan-Geräts (Master-Cluster- und Failover-Cluster-Appliances Status Zeigt den Status des Geräts an: Normaler Betrieb. Name Erfordert Aufmerksamkeit. Erfordert sofortige Aufmerksamkeit. Zeigt den Namen der Appliance an. MAC-Adresse Gibt die MAC-Adresse (Media Access Control) des Geräts mit 12 Hexadezimalstellen im folgenden Format an: A1:B2:C3:D4:E5:F6. IP-Adresse Typ des Scan-Geräts Zeigt die IP-Adresse der Appliance an. Cluster-Master Cluster-Failover and Web Security Appliance Security Appliance Web Security Appliance Web Gateway-Appliance Status Zeigt den Status des Geräts an: Redundant Das Cluster-Failover-Gerät arbeitet derzeit nicht, übernimmt jedoch, falls die Master-Cluster-Appliance fehlschlägt. OK Die Appliance funktioniert normal and Web Security Appliances 5.6 Patch 1 Produkthandbuch

261 Übersicht über Systemfunktionen Cluster-Verwaltung 5 Maßnahme Neues Verwaltungsgerät konfigurieren (nur Blade-Server) Wenn Sie hierauf klicken, können Sie die einzelnen Appliances herunterfahren oder neu starten. Durch Klicken auf diese Schaltfläche können Sie ein anderes Blade als Management-Blade-Server konfigurieren. Folgende en stehen zur Verfügung: Nächstes Gerät konfigurieren Auf dem nächsten Gerät, das über PXE gestartet wird, wird ein Image des Management-Blade-Servers eingespielt. Ein Gerät mit der folgenden MAC-Adresse Wenn das Blade mit der von Ihnen eingegebenen MAC-Adresse über PXE gestartet wird, wird darauf ein Image des Management-Blade-Servers eingespielt. Nachdem das Image des Management-Blade-Servers auf dem ausgewählten Blade eingespielt wurde, wird diese zurückgesetzt. sbeschreibungen Cluster-Modus (Alle Appliances) Cluster-Modus Gibt den Typ der Appliance an: Aus Dies ist eine Standard-Appliance. Cluster-Kennung Cluster-Scanner Die Appliance empfängt ihre Scan-Arbeit von einer Master-Appliance. Cluster-Master Die Appliance steuert die Scan-Arbeit verschiedener anderer Appliances. Cluster-Failover Falls der Master ausfällt, steuert diese Appliance stattdessen die Scan-Arbeit. Bei Content Security Blade Servern wird der Blade-Typ wie folgt angegeben: Cluster-Master Der Management-Blade-Server steuert die Scan-Arbeit verschiedener Scan-Blades. Cluster-Failover Falls der Master-Management-Blade-Server ausfällt, steuert stattdessen der Failover-Management-Blade-Server die Scan-Arbeit. Wenn Sie mehrere Cluster oder McAfee Content Security Blade Server im selben Subnetz betreiben, weisen Sie jedem Cluster eine andere Cluster-Kennung zu, damit es keine Konflikte zwischen den Clustern gibt. Der zulässige Bereich ist sbeschreibungen Cluster-Konfiguration (Master-Cluster- und Failover-Cluster-Appliances) Für Lastenausgleich zu verwendende Adresse Scannen auf dieser Appliance aktivieren (Nicht zutreffend auf Content Security Blade Servern) Gibt eine Auswahl von Appliance-Adressen an. Wenn diese nicht ausgewählt ist, verteilt diese Appliance die gesamte Scan-Arbeitslast auf die Scan-Appliances. Wenn Sie in einem Appliance-Cluster nur über eine Master- und eine Failover-Appliance verfügen, die beide für das Scannen des Datenverkehrs konfiguriert sind, sendet die Master-Appliance die meisten Verbindungen zum Scannen an die Failover-Appliance. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 261

262 5 Übersicht über Systemfunktionen Cluster-Verwaltung Netzwerkschnittstellen-Assistent Cluster-Verwaltung Mithilfe des Netzwerkschnittstellen-Assistenten können Sie die IP-Adressen und Adaptereinstellungen zum Einrichten eines Appliance-Clusters angeben. System Cluster-Verwaltung Lastenausgleich Netzwerkschnittstellen-Assistent Dieser Assistent führt Sie durch den Prozess zum Konfigurieren der Netzwerkschnittstellen, wenn Sie Ihre Appliance als Teil eines Clusters konfigurieren. Welche en vom Assistenten angezeigt werden, hängt vom Betriebsmodus und Ihren sonstigen Eingaben ab. Daher sehen Sie möglicherweise nicht alle Steuerelemente und Felder, die in diesem Thema beschrieben sind. Tabelle 5-23 Betriebsmodus sbeschreibungen Betriebsmodus auswählen Wählen Sie den Betriebsmodus Ihres Appliance-Clusters oder McAfee Content Security Blade Servers aus. Wenn Sie einen Cluster im Modus "Expliziter Proxy" oder "Transparenter Router" konfigurieren, müssen Sie eine virtuelle IP-Adresse konfigurieren, die sich im selben Subnetz wie die echten IP-Adressen der Master- und Failover-Appliances befinden. Dadurch wird sichergestellt, dass der Datenverkehr immer zu der Appliance geleitet wird, die aktuell als Master-Appliance fungiert. Netzwerkschnittstelle 1 oder Netzwerkschnittstelle 2 Netzwerkschnittstelle 2 wird nicht angezeigt, wenn Sie "Expliziter Proxy" als Betriebsmodus auswählen. Tabelle 5-24 sbeschreibungen IP-Adresse Gibt Netzwerkadressen an, die es der Appliance ermöglichen, mit Ihrem Netzwerk zu kommunizieren. Sie können mehrere IP-Adressen für die Netzwerkanschlüsse der Appliance angeben. Bei der ersten IP-Adresse in der Liste handelt es sich um die primäre Adresse. Bei den nachfolgenden IP-Adressen handelt es sich um Aliasse. Sie müssen mindestens über jeweils eine IP-Adresse in "Netzwerkschnittstelle 1" und "Netzwerkschnittstelle 2" verfügen. Sie können jedoch die Auswahl der Aktiviert neben allen IP-Adressen aufheben, die Sie nicht überwachen möchten. Netzwerkmaske Gibt die Netzwerkmaske an. In IPv4 können Sie ein Format wie oder eine CIDR-Notation wie 24 verwenden. In IPv6 müssen Sie die Präfixlänge verwenden, z. B. 64. Aktiviert Virtuell Wenn diese ausgewählt ist, akzeptiert die Appliance Verbindungen auf der IP-Adresse. Wenn diese ausgewählt ist, behandelt die Appliance diese IP-Adresse als virtuelle Adresse. Diese wird nur in Cluster-Konfigurationen oder auf einem McAfee Content Security Blade Server angezeigt and Web Security Appliances 5.6 Patch 1 Produkthandbuch

263 Übersicht über Systemfunktionen Cluster-Verwaltung 5 Tabelle 5-24 sbeschreibungen (Fortsetzung) Neue Adresse/ Ausgewählte Adresse löschen "Adapteroptionen für NIC 1" oder "Adapteroptionen für NIC Fügen Sie eine neue Adresse hinzu, oder entfernen Sie eine ausgewählte IP-Adresse. Erweitern Sie den entsprechenden Eintrag, um die folgenden en einzurichten: MTU-Größe Gibt die MTU-Größe (Maximum Transmission Unit) an. Bei MTU handelt es sich um die maximale Größe (in Byte) einer einzelnen Dateneinheit (z. B. ein Ethernet-Rahmen), die über die Verbindung gesendet werden kann. Der Standardwert ist Byte. Autonegotiations-Status Entweder: Ein Ermöglicht, dass die Appliance die Geschwindigkeit und den Duplex-Status für die Kommunikation mit anderen Netzwerkgeräten aushandelt. Aus Ermöglicht es dem Benutzer, die Geschwindigkeit und den Duplex-Status auszuwählen. Verbindungsgeschwindigkeit Bietet einen Bereich mit Verbindungsgeschwindigkeiten. Der Standardwert lautet 100 MB. Duplex-Status Bietet Duplex-Status. Beim Standardwert handelt es sich um "Vollduplex". Automatische Konfiguration von IPv6 aktivieren Wählen Sie diese aus, um der Appliance die automatische Konfiguration ihrer IPv6-Adressen und IPv6-Next-Hop-Standardrouter durch den Empfang von vom IPv6-Router gesendeten Nachrichten zur Router-Bekanntgabe zu ermöglichen. Diese ist standardmäßig nicht verfügbar, wenn die Appliance im Modus "Transparenter Router" ausgeführt wird, einer Cluster-Konfiguration angehört oder als Teil einer Blade-Server-Installation ausgeführt wird. Ausfallsicherer Modus Auf dieser Seite der Benutzeroberfläche können Sie den ausfallsicheren Modus auf Ihrem Blade-Server aktivieren. Diese Seite betrifft nur den McAfee Content Security Blade Server. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 263

264 5 Übersicht über Systemfunktionen Benutzer, Gruppen und Dienste Tabelle 5-25 sbeschreibungen Ausfallsicheren Modus aktivieren Innerhalb dieses Bereichs können Sie den aktuellen Status der Ausfallsicherheit Ihres Blade-Servers prüfen. Sie können auch den Ausfallsicherheitsmodus aktivieren oder deaktivieren. Stellen Sie sicher, dass Sie die Chassis-Konfigurationsdateien heruntergeladen haben, bevor Sie den Ausfallsicherheitsmodus aktivieren. Nachdem Sie zunächst auf Ausfallsicheren Modus aktivieren oder Ausfallsicheren Modus deaktivieren und anschließend im Warnungsdialogfeld auf OK geklickt haben, wird der Blade-Server automatisch heruntergefahren, damit Sie die erforderlichen Änderungen an der Verkabelung vornehmen können. Konfigurationsdateien Von der Benutzeroberfläche aus können Sie die Konfigurationsdateien aller Interconnect-Module sowohl für den ausfallsicheren als auch für den nicht ausfallsicheren Modus herunterladen und anzeigen. Klicken Sie zum Herunterladen aller Konfigurationsdateien auf interconnect_config.zip, da diese Datei alle anderen Konfigurationsdateien enthält. Benutzer, Gruppen und Dienste Auf diesen Seiten können Sie Benutzer und Gruppen auf der Appliance einrichten. Darüber hinaus können Sie auf diesen Seiten die Appliance für die Interaktion mit Ihren Verzeichnisdiensten konfigurieren, die Webauthentifizierung für Benutzer einrichten, Richtliniengruppen erstellen und rollenbasierte Benutzerkonten einrichten und verwalten. Inhalt Verzeichnisdienste Webbenutzer-Authentifizierung Richtliniengruppen Rollenbasierte Benutzerkonten Verzeichnisdienste Verwenden Sie diese Seite, um eine Liste mit Verzeichnisdiensten zu erstellen. sbeschreibungen Verzeichnisdienste Name, Adresse und Typ Server hinzufügen Zeigt Informationen zu den einzelnen Verzeichnisservern an, wie z. B. den Typ wie Domino oder Active Directory. Durch Klicken wird ein Assistent gestartet, mit dem Sie Details eines Verzeichnisdienstes hinzufügen können. Der Server oben in der Liste wird als erster abgefragt and Web Security Appliances 5.6 Patch 1 Produkthandbuch

265 Übersicht über Systemfunktionen Benutzer, Gruppen und Dienste 5 sbeschreibungen Verzeichnissynchronisierung Bietet eine Auswahl an Zugriffen. Die Appliance kann einen externen Verzeichnisserver oder ihr eigenes Verzeichnis (das "On-Box-Verzeichnis") abfragen. Informationen aktualisieren Zeigt den Status der Informationen im On-Box-Verzeichnis an: Es sind Informationen zur Abfrage verfügbar. Die Uhrzeit und das Datum der letzten Aktualisierung werden angezeigt. Das On-Box-Verzeichnis hat keine Daten oder ist nicht auf dem neuesten Stand. Aktualisieren Synchronisierungszeitplan Wenn Sie hierauf klicken, kopiert die Appliance sofort Verzeichnisinformationen von den unter Verzeichnisdienste aufgeführten Servern in ihr eigenes Verzeichnis. Gibt an, wie häufig die Appliance Verzeichnisinformationen von den unter Verzeichnisdienste aufgeführten Servern in ihr eigenes Verzeichnis kopiert. Verzeichnisdienst hinzufügen Mithilfe dieses Assistenten können Sie einen neuen Verzeichnisdienst zu Ihrer Appliance hinzufügen. System Benutzer, Gruppen und Dienste Verzeichnisdienste Verzeichnisdienst hinzufügen Dieser Assistent bietet die erforderlichen Felder zur Angabe eines neuen Verzeichnisdiensts. Mit den Schaltflächen Weiter > und < Zurück können Sie durch die Fenster navigieren. Details zu Verzeichnisdienst sbeschreibungen Auf der ersten Seite des Assistenten können Sie Details zum neuen Verzeichnisdienst angeben. Dienstname Serveradresse Servertyp Geben Sie einen Namen für den Dienst ein, den Sie hinzufügen. Dieser Name wird in der Liste der Verzeichnisdienste angezeigt. Geben Sie die Adresse des Servers an, auf dem der neue Verzeichnisdienst gehostet wird. Wählen Sie den Typ des Verzeichnisdiensts aus. Folgende en stehen zur Verfügung: Active Directory Novell NDS (edirectory) Netscape/Sun iplanet Domino Generischer LDAP-Server Version 3 (RFC2251/RFC2307) Exchange Basis-DN Benutzername Kennwort Weiterleitungen Geben Sie den Basis-DN ein, den der neue Verzeichnisdienst verwenden soll. Geben Sie den Benutzernamen ein, den die Appliance für eine Verbindung mit dem Verzeichnisdienst benötigt. Geben Sie das Kennwort ein, das die Appliance für eine Verbindung mit dem Verzeichnisdienst benötigt. Aktivieren Sie diese, damit die Appliance LDAP-Weiterleitungen an andere Server folgen kann, die einen Teil des Verzeichnissbaums hosten. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 265

266 5 Übersicht über Systemfunktionen Benutzer, Gruppen und Dienste Wenn Sie auf dieser Seite des Assistenten Netscape/Sun iplanet, Domino, Generischer LDAP-Server v3 (RFC2251/ RFC2307) oder Exchange als Servertyp gewählt haben, werden Sie durch folgende Seiten geleitet, um den Assistenten Verzeichnisdienst hinzufügen vollständig auszufüllen: Gruppenanfrage Home-MTA-Abfrage Mitgliederanfrage von -Benutzer Mitgliederanfrage von Web-Benutzer Gruppen- und Mitgliederanfrage testen Wenn Sie Active Directory oder Novell NDS (edirectory) auswählen, gelangen Sie durch Klicken auf Weiter zur Seite Gruppen- und Mitgliederanfragen testen. Seiten "Gruppenanfrage", "Home-MTA-Abfrage", "Mitgliederanfrage von -Benutzer" und "Mitgliederanfrage von Web-Benutzer" sbeschreibungen Die Abfrageseiten geben folgende Informationen zurück: Gruppenanfrage Diese Abfrage gibt eine Liste der Gruppen zurück, die auf dem Verzeichnisserver verwaltet werden. Sie wird verwendet, um der Benutzeroberfläche Informationen über Gruppen bereitzustellen und um Verzeichnisse zu synchronisieren. Home-MTA-Abfrage Diese Abfrage gibt Attributwerte zurück, die den Mail-Server definieren, an den s zugestellt werden, wenn die LDAP-Zustellung aktiviert ist. Mitgliederanfrage von -Benutzer Diese Abfrage gibt Informationen zur Gruppenmitgliedschaft für eine bestimmte -Adresse zurück. Die Abfrage gibt den eindeutigen Namen zurück, den die Gruppenabfrage zurückgibt. Auf einigen Verzeichnisservern werden keine direkten Zuordnungen von Benutzern zu Gruppen verwaltet. In diesem Fall werden zwei Abfragen verwendet. Die erste Abfrage identifiziert den eindeutigen Namen des betroffenen Benutzers. Die Ausgabe dieser Abfrage wird von der zweiten Abfrage verwendet, die die Gruppen identifiziert, die den eindeutigen Namen des angegebenen Benutzers in ihrer Mitgliedsliste enthalten. Mitgliederanfrage von Web-Benutzer Dies ähnelt der Mitgliederanfrage von -Benutzer, statt der -Adresse werden für Suchvorgänge jedoch die Identifikationsdaten verwendet, die von der Webbenutzer-Authentifizierung zurückgegeben werden. Bei allen der obigen Abfrageseiten werden folgende en angezeigt: Vollständige Zeichenfolge für Abfrage Primäre Anfrage Sekundäre Anfrage Zeigt die Zeichenfolge an, die zur Abfrage beim Verzeichnisserver verwendet wird. Verwenden Sie diese Attribute zum Bearbeiten der Zeichenfolge für die Primäre Anfrage, die zur Abfrage beim Verzeichnisserver verwendet wird. Verwenden Sie diese Attribute zum Bearbeiten der Zeichenfolge für die Sekundäre Anfrage, die zur Abfrage beim Verzeichnisserver verwendet wird and Web Security Appliances 5.6 Patch 1 Produkthandbuch

267 Übersicht über Systemfunktionen Benutzer, Gruppen und Dienste 5 Gruppen- und Mitgliederanfrage testen sbeschreibungen Um sicherzustellen, dass Sie die Gruppen- und Mitgliedsabfragen richtig konfiguriert haben, gibt Ihnen der Assistent die Möglichkeit, die definierten Abfragen zu testen. -Adresse Benutzer Gruppen anzeigen Anfrageergebnisse: Geben Sie eine -Adresse ein, um Informationen zur Gruppenmitgliedschaft für diese Adresse zu erhalten. Geben Sie einen Benutzernamen ein, um einen eindeutigen Namen für diesen Benutzer zu erhalten. Klicken Sie auf Gruppen anzeigen, um den neu hinzugefügten Verzeichnisdienst abzufragen. Die Ergebnisse der obigen Suchvorgänge werden im Bereich Abfrageergebnisse angezeigt. Wenn Sie die Gruppen- und Mitgliedsabfragen erfolgreich getestet haben, klicken Sie auf Fertigstellen, um den Assistenten zu beenden. Webbenutzer-Authentifizierung Verwenden Sie diese Seite, um die Dienste anzugeben, die Webbenutzer authentifizieren. System Benutzer, Gruppen und Dienste Webbenutzer-Authentifizierung Die Appliance authentifiziert Verbindungen mithilfe von Authentifizierungsgruppen. Bei einer Authentifizierungsgruppe handelt es sich um eine Möglichkeit, auf eine Gruppe mit Authentifizierungsdiensten zu verweisen. Definieren Sie zunächst die erforderlichen Authentifizierungsdienste und dann die Authentifizierungsgruppen. Wenn ein Benutzer versucht, eine HTTP-Verbindung herzustellen, versucht die Appliance, den Benutzer mit dem ersten Authentifizierungsdienst in der Gruppe zu authentifizieren. Falls der Benutzer mit diesem Dienst nicht authentifiziert werden kann, wird von der Appliance der nächste Dienst herangezogen. Tabelle 5-26 sbeschreibungen Dienst hinzufügen Gruppe hinzufügen Suffix für Authentifizierungs-Cookie Benutzeridentität protokollieren Durch Klicken auf diese wird ein Assistent gestartet, der Sie beim Konfigurieren des Diensts unterstützt. Durch Klicken auf diese wird ein weiteres Fenster geöffnet, in dem Sie einen Namen für eine Gruppe mit Diensten angeben können. Geben Sie einen geeigneten Namen für die Gruppe an, sodass Sie beim Angeben der Authentifizierungsrichtlinie für die HTTP-Verbindung mit jedem der Netzwerke leicht darauf zurückgreifen können. Gibt eine Zeichenfolge an, die an den Namen des von der Appliance generierten Authentifizierungs-Cookies angehängt wird. Das Cookie-Präfix lautet standardmäßig SCMAuth_. Wenn ausgewählt, werden Benutzernamen in der Protokolldatei angezeigt. Wenn nicht ausgewählt, wird kein Benutzername angezeigt. In einigen Ländern ist das Protokollieren einzelner Benutzernamen nicht zulässig. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 267

268 5 Übersicht über Systemfunktionen Benutzer, Gruppen und Dienste Tabelle 5-26 sbeschreibungen (Fortsetzung) Umgekehrte DNS-Suchen mit Kerberos-Authentifizierung verwenden Die HTTP-Benutzerauthentifizierung konfigurieren Bei Auswahl dieser führt die Appliance eine umgekehrte DNS-Suche für den vollqualifizierten Host-Namen (FQDN) der Appliance durch, die in der Einstellungen für den Kerberos-Authentifizierungsdienst angegeben ist. Bei Auswahl sollten Sie sicherstellen, dass Ihr DNS ordnungsgemäß für den Hostnamen für vorwärtsgerichtete und umgekehrte Suchen eingerichtet ist, da andernfalls beträchtliche Verzögerungen während der Authentifizierung der Benutzer auftreten können. Wenn Sie hierauf klicken, wird eine andere Seite geöffnet. Um diese Seite zu einem beliebigen anderen Zeitpunkt zu öffnen, wählen Sie Web Web-Konfiguration HTTP Verbindungseinstellungen in der Navigationsleiste aus. Richtliniengruppen Verwenden Sie diese Seite, um Listen mit Benutzern und Netzwerken zu erstellen, für die Sie Richtlinien anwenden können. System Benutzer, Gruppen und Dienste Richtliniengruppen Dies ist in jenen Fällen hilfreich, in denen Sie einen Teil des Netzwerks oder von Benutzergruppen nicht definieren können, die von einem Verzeichnisdienst aufgeführt werden. Sie können beispielsweise eine Richtliniengruppe mit der Bezeichnung "Manager" erstellen, die die -Adressen mehrerer Manager aufführt. Rollenbasierte Benutzerkonten Verwenden Sie diese Seite, um Benutzerkonten mit unterschiedlichen Rollen zu erstellen. Einige Benutzer können beispielsweise Änderungen an wichtigen Einstellungen vornehmen, während andere lediglich Berichte erstellen können. System Benutzer, Gruppen und Dienste Rollenbasierte Benutzerkonten Verwenden Sie diese Seite darüber hinaus, um eine Liste mit Kerberos-Bereichen oder Active Directory-Domänen zu erstellen und einen Wert für Zeitüberschreitungen bei Browsersitzungen festzulegen. Die Seite verfügt über folgende Abschnitte: Benutzerkonten, Rollen und Anmeldedienste Sitzungsverwaltungseinstellungen Benutzeranmeldungsbenachrichtigung 268 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

269 Übersicht über Systemfunktionen Benutzer, Gruppen und Dienste 5 Benutzerkonten, Rollen und Anmeldedienste Anfangs weist die Appliance ein Administratorkonto für den Superadministrator (scmadmin) auf. Mit diesem ist der Zugriff auf alle Funktionen der Appliance möglich. Sie können die Funktionen für diesen Administrator nicht ändern oder entfernen. Die Appliance hat einige weitere Administratorrollen für , Internet und Berichte, die Sie ändern oder entfernen können. Tabelle 5-27 sbeschreibungen zum Erstellen von Benutzern Benutzername Vollständiger Name Rolle Gibt den Namen an, den der Benutzer bei der Anmeldung verwendet. Gibt den Namen an, der links oben im Hauptfenster unter Benutzer angezeigt wird. Zeigt die Rolle des Benutzers an, die aus der Liste Rollen ausgewählt wurde. Von einem Content Security Blade Server wurde Ihnen, abhängig von Ihren ausgewählten Administratorrechten, möglicherweise die zusätzliche Rolle Scan-Appliance-Administrator zugewiesen. Kontotyp Bearbeiten Löschen Wählen Sie Lokaler Benutzer, um einen Benutzer hinzufügen, der von der Appliance authentifiziert wird, oder Externer Benutzer, um einen Benutzer hinzufügen, der von RADIUS oder Kerberos authentifiziert. Öffnet ein Fenster, in dem Sie die Details zu dem Benutzer ändern können. Sie können die Details zum Systemadministrator nicht ändern. Löschen Sie den Benutzer. Den Systemadministrator können Sie nicht löschen. Um ein Kennwort für einen anderen Benutzer zurückzusetzen, kann ein Superadministrator auf das Symbol Bearbeiten in der Tabellenspalte des Benutzers klicken. Standardmäßig können andere Administratoren die Einstellungen auf dieser Seite nicht ändern. Sie können nach Bedarf eine beliebige Anzahl an Benutzern erstellen, jeden mit seinem eigenen Kennwort. Die Möglichkeiten eines Benutzers hängen von seiner Rolle ab. Wenn Sie die Kerberos- oder RADIUS-Authentifizierung nutzen möchten, konfigurieren Sie zunächst den Authentifizierungsdienst. Sie können denselben Benutzernamen nicht gleichzeitig für einen lokalen und einen externen Benutzer angeben. Tabelle 5-28 sbeschreibungen zum Erstellen von Rollen Rolle Bearbeiten Löschen Zeigt den Namen der Rolle an. Zeigt eine der Rechte an, die zu der Rolle gehören. Öffnet ein Fenster, in dem Sie die Details zu dem Benutzer ändern können. Sie können die Details zum Systemadministrator nicht ändern. Löschen Sie den Benutzer. Den Systemadministrator können Sie nicht löschen. Tabelle 5-29 sbeschreibungen zum Erstellen von Anmeldediensten Dienstname Diensttyp Zeigt den benutzerkonfigurierten Namen an, der beim Einrichten des Diensts angegeben wurde. Unter Diensttyp wird entweder RADIUS oder Kerberos angezeigt, abhängig vom konfigurierten Dienst. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 269

270 5 Übersicht über Systemfunktionen Benutzer, Gruppen und Dienste Tabelle 5-29 sbeschreibungen zum Erstellen von Anmeldediensten (Fortsetzung) Bereich Zeigt den Bereichsnamen an. Bei Kerberos-Bereichen handelt es sich üblicherweise um den Domänennamen in Großbuchstaben. Beispiel: EXAMPLE.COM. Rollenbestimmung Standardrolle Zeigt den Typ der Benutzerrolle für diesen Dienst an, entweder Lokaler Benutzer oder Externer Benutzer. Zeigt an, welche Rolle standardmäßig verwendet wird, sofern den jeweiligen Benutzern keine andere Rolle zugewiesen wurde. Sitzungsverwaltungseinstellungen Um Manipulationen zu vermeiden, die in Abwesenheit des Administrators vom Browser vorgenommen werden könnten, können Sie die Appliance-Schnittstelle so konfigurieren, dass sie nach einer bestimmten Zeitspanne automatisch geschlossen wird. Tabelle 5-30 sbeschreibungen Sitzungsverwaltung aktivieren Zeitüberschreitung Bei Auswahl dieser wird die Browserschnittstelle zur Appliance nach einem angegebenen Zeitraum automatisch geschlossen. Um die Appliance weiterhin verwenden zu können, muss der Administrator den Benutzernamen und das Kennwort erneut angeben. Standardmäßig ist diese aktiviert. Der Standardwert beträgt 10 Minuten. Benutzeranmeldungsbenachrichtigung Tabelle 5-31 sbeschreibungen Benutzerdefinierte Benachrichtigung anzeigen Bei Auswahl dieser wird eine Nachricht angezeigt, die der Benutzer bei der Anmeldung sieht. Um die Nachricht zu ändern, klicken Sie auf Bearbeiten, um das Fenster Benutzerdefinierter Text zu öffnen. Um die ursprüngliche Nachricht wiederherzustellen, klicken Sie auf Zurücksetzen im Fenster Benutzerdefinierter Text. Anmeldedienst hinzufügen In diesem Thema werden die Seiten beschrieben, mit denen Sie auf Ihrer Appliance Authentifizierungsdienste wie beispielsweise Kerberos und RADIUS konfigurieren können. Im Dialogfeld Anmeldedienst hinzufügen können Sie die Kerberos- oder RADIUS-Authentifizierung auf der Appliance aktivieren. Nachdem Sie während der Konfiguration dieser Dienste eine Auswahl getroffen haben, werden die entsprechenden en angezeigt. Tabelle 5-32 sbeschreibungen Dienstname (optional) Diensttyp Benutzerdefinierter Name des Diensts zu Anzeigezwecken. ales Feld für eine des Diensts. Wählen Sie RADIUS oder Kerberos, je nach Typ des Diensts, den Sie hinzufügen and Web Security Appliances 5.6 Patch 1 Produkthandbuch

271 Übersicht über Systemfunktionen Benutzer, Gruppen und Dienste 5 Tabelle 5-32 sbeschreibungen (Fortsetzung) Serveradresse Der Host-Name oder die Adresse des RADIUS- oder Kerberos-Server, zu dem eine Verbindung hergestellt werden soll. Sie können nur Verbindungen zu IPv4-RADIUS-Servern herstellen. Backup-Server (optional) (nur RADIUS) Adresse eines RADIUS-Servers, der abgefragt wird, falls der primäre Server nicht verfügbar ist. Port Port-Nummer des RADIUS- oder Kerberos-Servers. Die Standard-Ports sind: Kerberos - Port 88 RADIUS - Port 1812 sbeschreibungen Typspezifische Einstellungen (RADIUS) Gemeinsamer geheimer Schlüssel Bereich (optional) Bereichsnotation Bereichsbegrenzer Geben Sie den gemeinsamen geheimen Schlüssel für RADIUS ein, der für die Verbindung mit dem RADIUS-Server benötigt wird. Diesen Schlüssel erhalten Sie vom Administrator des RADIUS-Servers. Sofern erforderlich, geben Sie den RADIUS-Bereich ein. Wenn dieses Feld leer gelassen wird, wird eine bereichslose Authentifizierung durchgeführt. Falls ein Bereichsname angegeben wurde, wählen Sie: Suffix, um anzugeben, dass der Bereich hinter dem Trennzeichen aufgeführt werden soll, oder Präfix, um anzugeben, dass der Bereich vor dem Trennzeichen aufgeführt werden soll. Ein Beispiel eines Suffix-Bereichs ist meinbenutzername@bereich, ein Beispiel eines Präfix-Bereichs ist bereich\meinbenutzername. Falls ein Bereichsname angegeben wurde, wählen Sie das Zeichen, mit dem der Benutzername vom Bereichsnamen getrennt wird. Der Standardwert was zu einem Benutzernamen in der Form benutzer@bereich (Suffix-Notation) führt. Häufig verwendete Zeichen (Suffix-Notation) oder \ (Präfix-Notation). sbeschreibungen Typspezifische Einstellungen (Kerberos) Bereich Geben Sie den Namen des Kerberos-Bereichs ein, bei dem die Authentifizierung durchgeführt werden sollen. Beispiel: EXAMPLE.COM Kerberos-Bereichsnamen werden per Konvention in Großschreibung angegeben. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 271

272 5 Übersicht über Systemfunktionen Benutzer, Gruppen und Dienste sbeschreibungen Rollenzuordnungen (RADIUS) Lokal definierte Benutzerinformationen zum Ermitteln der Rolle eines authentifizierten Benutzers verwenden Vom Server zurückgelieferte Daten zum Ermitteln der Rolle eines authentifizierten Benutzers verwenden Standardrolle Die Benutzerrolle wird durch einen lokal definierten Benutzer (des Typs Externer Benutzer) festgelegt. Die Benutzerrolle wird durch die Attribute festgelegt, die der RADIUS-Server zurückgibt. Sie können Rollenzuordnungen durch Auswahl von Zuordnung hinzufügen hinzufügen. Es gibt folgende en: Attributname Gibt den Attributnamen an, der vom RADIUS-Server zurückgegeben wird. Beispiel: Service-Type. Attributwert Gibt den Attributwert an, der vom RADIUS-Server zurückgegeben wird. Beispiel: Administrative-User. (Der jeweilige Attributname und -Wert werden vom verwendeten RADIUS-Server festgelegt. Kontaktieren Sie den Administrator des RADIUS-Servers, falls Sie weitere Informationen benötigen.) Rolle Wählen Sie die Rolle, die Sie einem Benutzer zuweisen möchten, der über diese Attribute verfügt. Wählen Sie die Rolle, die Sie einem Benutzer zuweisen möchten, der keine der obigen Kriterien erfüllt. Keine gibt an, dass keine Rolle zugewiesen wird. Dies bedeutet, dass die Anmeldung abgelehnt wird, bis eine Rolle über einen lokalen Benutzer des Typs Externer Benutzer oder ein RADIUS-Attribut definiert wird. sbeschreibungen Rollenzuordnungen (Kerberos) Standardrolle Wählen Sie die Rolle, die Sie einem Benutzer zuweisen möchten, der keine der obigen Kriterien erfüllt. Keine gibt an, dass keine Rolle zugewiesen wird. Dies bedeutet, dass die Anmeldung abgelehnt wird, bis eine Rolle über einen lokalen Benutzer des Typs Externer Benutzer definiert wird. sbeschreibungen Test (RADIUS) Mithilfe dieses Dialogfelds können Sie testen, ob die Verbindung zu Ihrem RADIUS-Server funktioniert. Benutzername Kennwort Testen Geben Sie den zu authentifizierenden RADIUS-Benutzernamen an (einschließlich Bereich und Trennzeichen, sofern erforderlich). Geben Sie das Kennwort für den RADIUS-Benutzer an, den Sie im Feld Benutzername eingegeben haben. Klicken Sie auf Testen, um die Authentifizierung beim RADIUS-Server durchzuführen. Wenn die Anforderung erfolgreich ist, werden ein grünes Häkchen und die Meldung Authentifizierungstest bestanden angezeigt. Im Feld Ausgabe sehen Sie die "Access-Accept"-Antwort und die Attribute, die vom RADIUS-Server zurückgegeben wurden. Falls die Anforderung fehlschlägt, werden ein Warnungssymbol und die Meldung Authentifizierungstest fehlgeschlagen angezeigt. Das Feld Ausgabe enthält die "Access-Reject"-Antwort sowie andere Meldungen, die vom RADIUS-Server zurückgegeben wurden and Web Security Appliances 5.6 Patch 1 Produkthandbuch

273 Übersicht über Systemfunktionen Benutzer, Gruppen und Dienste 5 sbeschreibungen Test (Kerberos) Mithilfe dieses Dialogfelds können Sie testen, ob die Verbindung zu Ihrem Kerberos-Server funktioniert. Benutzername Kennwort Testen Geben Sie den zu authentifizierenden Kerberos-Benutzernamen an (einschließen Bereich und Trennzeichen, sofern erforderlich). Geben Sie das Kennwort für den Kerberos-Benutzer an, den Sie im Feld Benutzername eingegeben haben. Klicken Sie auf Testen, um die Authentifizierung beim Kerberos-Server durchzuführen. Wenn die Anforderung erfolgreich ist, werden ein grünes Häkchen und die Meldung Authentifizierungstest bestanden angezeigt. Im Feld Ausgabe sehen Sie die "Access-Accept"-Antwort und die Attribute, die vom Kerberos-Server zurückgegeben wurden. Falls die Anforderung fehlschlägt, werden ein Warnungssymbol und die Meldung Authentifizierungstest fehlgeschlagen angezeigt. Das Feld Ausgabe enthält die vom Kerberos-Server zurückgegebene Fehlermeldung. Konfigurieren der Kerberos-Authentifizierung mit Active Directory 2003 In diesem Thema wird erläutert, wie Sie die Appliance für die Verwendung der Kerberos-Authentifizierung in einer Microsoft Active Directory 2003-Umgebung konfigurieren. Sie erfahren, wie Sie die Appliance so konfigurieren, dass Benutzer beim Zugriff auf das Internet authentifiziert werden. Bevor Sie beginnen Dieses Thema erstreckt sich über mehrere Seiten der Benutzeroberfläche. Wir empfehlen Ihnen, sich das Thema auszudrucken, bevor Sie mit der Aufgabe beginnen. Alternativ dazu finden Sie Informationen zu diesem Thema auch im Produkthandbuch. Alle authentifizierten Benutzer dürfen auf das Internet zugreifen. Die Appliance ist im Proxy-Modus konfiguriert. Die Workstations aller authentifizierten Benutzer, die Windows 2003 Active Directory Server und die Appliance weisen dieselbe Quelle für die Uhr auf, wie z. B. der Network Time Protocol-Server. Die Appliance kann die Kerberos-Authentifizierung auch in einem transparenten Modus ausführen. Die Browser sind für die Verwendung der transparenten Authentifizierung mithilfe von Kerberos konfiguriert, wenn sich die Appliance in einer Windows 2003 Active Directory-Umgebung befindet. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 273

274 5 Übersicht über Systemfunktionen Benutzer, Gruppen und Dienste Vorgehensweise 1 Erstellen Sie ein Active Directory-Benutzerkonto für die Appliance zur Verwendung für die Kerberos-Authentifizierung. Erstellen Sie ein Active Directory-Benutzerkonto für die Appliance in dem Netzwerk, das die Kerberos-Authentifizierung nutzt. Das Konto muss ein Mitglied der Domänenbenutzergruppe sein. Das Konto benötigt keine Administratorrechte. Falls das Netzwerk über mehrere Appliances verfügt, erstellen Sie ein separates Benutzerkonto für jede Appliance. Wenn das Netzwerk beispielsweise zwei Appliances mit den Namen a1 und a2 umfasst, erstellen Sie zwei Benutzerkonten mit den Namen k1 und k2. 2 Synchronisieren Sie die Uhrzeit auf der Appliance mit der Uhrzeit auf dem Domänencontroller oder KDC. Dies ist notwendig, damit Kerberos funktionieren kann. a Öffnen Sie die Appliance von einem Webbrowser am Domänencontroller oder einem Sicherungs-Domänencontroller aus. b c Wählen Sie in der Navigationsleiste System Appliance-Verwaltung Uhrzeit und Datum. Wählen Sie Zeit mit Client synchronisieren, und klicken Sie dann auf Jetzt einstellen. 3 Erstellen Sie die Keytab-Datei. a Laden Sie auf dem Domänencontroller die Datei ktpass.exe ( Byte) aus der Datei support.cab in einen temporären Ordner herunter, und extrahieren Sie sie. Weitere Einzelheiten finden Sie im Artikel: familyid=96a35011-fd83-419d- 939B-9A772EA2DF90&displaylang=en. b c d Öffnen Sie auf dem Windows-Desktop eine Eingabeaufforderung. Klicken Sie hierfür auf Start, Ausführen, geben Sie dann command ein, und klicken Sie auf OK. Erstellen Sie eine Keytab-Datei (scm.keytab), die in die Appliance importiert werden soll. Geben Sie hierfür Folgendes ein: ktpass -princ HTTP/scmgateway.mcafee.local@MCAFEE.LOCAL -mapuser Kerberos-user1 -pass <Kennwort> -ptype KRB5_NT_PRINCIPAL -out scm.keytab Achten Sie auf die Großbuchstaben für den Parameterwert, -princ. Nachdem Sie diesen Befehl ausgeführt haben, wird die Keytab-Datei mit dem angegebenen Benutzerkonto verknüpft. Überprüfen Sie auf dem Domänencontroller, ob der Befehl erfolgreich ausgeführt wurde. Öffnen Sie Active Directory-Benutzer und -Computer, und doppelklicken Sie auf das verwendete Konto. Wählen Sie die Registerkarte Konto. Überprüfen Sie, ob der vollqualifizierte Domänenname (FQDN) für die Appliance ordnungsgemäß aufgeführt wird. Beispiel: HTTP/scmgateway.mcafee.local and Web Security Appliances 5.6 Patch 1 Produkthandbuch

275 Übersicht über Systemfunktionen Benutzer, Gruppen und Dienste 5 4 Überprüfen Sie, ob der DNS-Server für Forward- und Reverse-Zonen auf der Appliance und dem Domänencontroller oder KDC funktioniert. a Wählen Sie in der Navigationsleiste der Appliance System Appliance-Verwaltung Allgemein. b c d e Geben Sie unter Grundlegende Einstellungen für den Domänennamen denselben Active Directory-Domänennamen ein, den Sie für die Erstellung des vorhergehenden Benutzerkontos verwendet haben. Wählen Sie in der Navigationsleiste System Appliance-Verwaltung DNS und Routing. Überprüfen Sie unter DNS-Server, ob die IP-Adresse des internen DNS-Servers korrekt ist. Dieser DNS-Server muss für die Active Directory-Domäne autorisierend sein und Namen in IP-Adressen (Forward-Zonen) und IP-Adressen in Namen (Reverse-Zonen) auflösen. Wählen Sie On-Box-DNS-Server nur für Caching verwenden. Überprüfen Sie, ob der DNS-Server für die Appliance Reverse-Zonen und Forward-Zonen auflösen kann. Stellen Sie mit einer SSH-Anwendung wie PuTTY eine Verbindung zur Appliance und dem Domänencontroller/KDC her, um zu gewährleisten, dass Suchen nach Domänennamen für Forward- und Reverse-Zonen ordnungsgemäß ausgeführt werden können. Verwenden Sie folgende Befehle: Maßnahme Syntax Beispiel Testen der Forward-Zone für die Appliance (Namen in IP-Adressen) Testen der Reverse-Zone für die Appliance (IP-Adressen in Namen) Testen der Forward-Zone für den Domänencontroller/KDC (Namen in IP-Adressen) Testen der Reverse-Zone für den Domänencontroller (IP-Adressen in Namen) nslookup <Host-Name> nslookup <IP-Adresse> nslookup <Host-Name> nslookup <IP-Adresse> nslookup scmgateway.mcafee.local nslookup nslookup kdc.mcafee.local nslookup Konfigurieren Sie den LDAP-Server zum Abfragen von Gruppenmitgliedschaften Dieser Schritt ist in dem oben beschriebenen Szenario nicht erforderlich. Er kann jedoch für das Abfragen von Gruppenmitgliedschaften hilfreich sein, wenn zukünftig eine Richtlinie für Active Directory-Benutzergruppen mithilfe der Kerberos-Authentifizierung erstellt werden muss. a Wählen Sie in der Navigationsleiste System Benutzer, Gruppen und Dienste Verzeichnisdienste, und klicken Sie anschließend auf Server hinzufügen. b Geben Sie die folgenden Informationen ein: Dienstname Dienstadresse Servertyp Basis-DN Inhalt Name für den LDAP-Dienst, wie "ldap-dienst". Vollqualifizierter Domänenname des Active Directory-Servers. Active Directory CN=Users,DC=mcafee,DC=local and Web Security Appliances 5.6 Patch 1 Produkthandbuch 275

276 5 Übersicht über Systemfunktionen Benutzer, Gruppen und Dienste Benutzername Kennwort Inhalt <NETBIOS-Domänenname>\<Benutzername> (Geben Sie einen Benutzer an, der das gesamte Verzeichnis abfragen kann.) Kennwort für diesen Benutzernamen. c d Klicken Sie auf Weiter. Klicken Sie im nächsten Fenster auf Gruppen anzeigen, um die Abfrageergebnisse mit Gruppeneinträgen zu füllen. Falls die Abfrage fehlschlägt, klicken Sie mehrmals auf Zurück, und überprüfen Sie den Benutzernamen, das Kennwort und andere Informationen. Klicken Sie auf Fertig stellen. 6 Konfigurieren Sie die Appliance für die Verwendung der Kerberos-Authentifizierung (Dienst hinzufügen) a Wählen Sie in der Navigationsleiste Web Web-Konfiguration HTTP Verbindungseinstellungen. Wählen Sie unter Grundlegende HTTP-Einstellungen die HTTP-Protokoll aktivieren aus. b Wählen Sie in der Navigationsleiste System Benutzer, Gruppen und Dienste Web-Benutzer-Authentifizierung. Wählen Sie unter Benutzer-Authentifizierungsdienste die Dienste für die Benutzer-Authentifizierung aktivieren aus. c d e Klicken Sie auf Dienst hinzufügen, geben Sie die folgenden Informationen ein, und klicken Sie dann auf Weiter. Name des Authentifizierungsdienstes Vollqualifizierter Host-Name dieser Appliance Mitgliedschaftsabfrage-Server für Verzeichnisdienste kerberos-dienst scmgateway.mcafee.local ldap-dienst Wählen Sie den Authentifizierungsdiensttyp aus Kerberos-Authentifizierung. Wählen Sie Web-Zugriff verhindern, wenn die Authentifizierung fehlschlägt aus. Klicken Sie auf Weiter, und geben Sie die folgenden Informationen ein: KDC-Host-Name Benutzernamen-Normalisierung kdc.mcafee.local Keine Klicken Sie auf Weiter, und klicken Sie dann auf Alle Änderungen jetzt übernehmen. Klicken Sie auf Weiter, und importieren Sie die Keytab-Datei. Nach dem erfolgreichen Importieren der Kerberos-Keytab-Datei wird eine Meldung angezeigt. Klicken Sie auf Fertig stellen. Falls dieser Vorgang fehlschlägt, löschen Sie alle Active Directory-Benutzerkonten, die Sie für die Appliance erstellt haben, erstellen Sie die Konten dann erneut, und fahren Sie mit Schritt Listenelement. auf Seite 274 fort. Falls für mehr als ein Benutzerkonto der vollqualifizierte Domänenname (FQDN) der Appliance auf der Registerkarte "Konto" in Active Directory aufgeführt ist, wird beim Importieren der Keytab-Datei eine Fehlermeldung angezeigt. Verwenden Sie den folgenden Befehl auf dem Domänencontroller, und suchen Sie innerhalb der Datei output.txt nach dem doppelt vorhandenen Konto: ldifde f output.txt. Löschen Sie alle gefundenen doppelten Konten für die Appliance in Active Directory. Stellen Sie außerdem sicher, dass Kerberos über TCP ausgeführt wird, indem Sie die Anweisungen unter support.microsoft.com/kb/ befolgen and Web Security Appliances 5.6 Patch 1 Produkthandbuch

277 Übersicht über Systemfunktionen Virtuelles Hosting 5 7 Konfigurieren Sie die Appliance für die Verwendung der Kerberos-Authentifizierung (Gruppe hinzufügen). a b c d e f Wählen Sie in der Navigationsleiste System Benutzer, Gruppen und Dienste Web-Benutzer-Authentifizierung. Klicken Sie unter Benutzer-Authentifizierungsdienste auf Gruppe hinzufügen. Geben Sie den Gruppennamen ein, beispielsweise "kerberos-gruppe". Wählen Sie den Kerberos-Dienst für diese Gruppe aus, und klicken Sie auf OK. Klicken Sie auf das grüne Häkchen, um die Änderungen zu übernehmen. Wählen Sie Web Web-Konfiguration HTTP Verbindungseinstellungen. Wählen Sie unter Benutzerauthentifizierung die Benutzerauthentifizierung aktivieren aus. Wählen Sie die Kerberos-Gruppe aus, und klicken Sie auf das grüne Häkchen, um die Änderungen zu übernehmen. 8 Konfigurieren Sie die Clients für die Verwendung der Appliance als Proxyserver. Nehmen Sie in Internet Explorer die folgenden Konfigurationsänderungen auf jedem Client vor, um die Browser/ Workstations zur Appliance umzuleiten: a b c d e f g Öffnen Sie Internet Explorer, und wählen Sie Extras, Internetoptionen. Klicken Sie auf die Registerkarte Verbindungen, und klicken Sie dann auf LAN-Einstellungen. Geben Sie die IP-Adresse und den Port der Appliance ein. Klicken Sie auf Erweitert, fügen Sie den FQDN der Appliance zur Ausnahmeliste hinzu, und klicken Sie auf OK. Klicken Sie auf die Registerkarte Sicherheit, wählen Sie Lokales Intranet, und klicken Sie auf Sites. Klicken Sie auf Erweitert, und fügen Sie den FQDN der Appliance zu dieser Zone hinzu. Klicken Sie auf OK, klicken Sie dann auf Stufe anpassen, wählen Sie Automatische Anmeldung nur in der Intranet-Zone, und klicken Sie dann auf OK. (Die befindet sich am Ende der Scrolling-Liste.) Klicken Sie auf die Registerkarte Erweitert, wählen Sie Integrierte Windows-Authentifizierung aktivieren (Neustart erforderlich), und klicken Sie dann auf OK (die befindet sich unten in der Scrolling-Liste.) Schließen Sie den Browser, und öffnen Sie ihn erneut. Versuchen Sie, auf eine Website zuzugreifen. Wenn Sie an der Domäne angemeldet sind, wird die Seite erfolgreich geöffnet. Wenn Sie nicht an der Active Directory-Domäne angemeldet sind (etwa wenn Sie lokal angemeldet sind oder ein Macintosh- oder Linux-System verwenden), wird der folgende Fehler auf der Seite angezeigt: 401 error SCM Appliance <domain> Request for authentication Requesting authentication for kerberos-group kerberos-service, type Kerberos kerberos-group kerberos-service Virtuelles Hosting Diese Themen enthalten Informationen zu den en auf den Seiten zum virtuellen Hosting. Sie können die virtuellen Hosts und die virtuellen Netzwerke konfigurieren, die von der Appliance gescannt werden müssen. Inhalt Virtuelle Hosts Virtuelle Netzwerke and Web Security Appliances 5.6 Patch 1 Produkthandbuch 277

278 5 Übersicht über Systemfunktionen Virtuelles Hosting Virtuelle Hosts Auf dieser Seite können Sie virtuelle Hosts hinzufügen, bearbeiten oder löschen und alle verfügbaren virtuellen Hosts anzeigen. System Virtuelles Hosting Virtuelle Hosts Sie können im Adresspool für eingehenden Datenverkehr die Adressen angeben, an denen die Appliance Datenverkehr empfängt oder abfängt. Es muss mindestens eine IP-Adresse vorhanden sein. Diese Adressen müssen eindeutig sein. Auf sie darf in den Adressen für eingehenden Datenverkehr eines beliebigen anderen virtuellen Hosts nicht verwiesen werden. Sie sind jedoch in den Adressen für ausgehenden Datenverkehr eines beliebigen anderen virtuellen Hosts zulässig. Vorteile der Konfiguration von virtuellen Hosts Unter Verwendung virtueller Hosts kann eine einzelne Appliance sich wie verschiedene Appliances verhalten. Jede virtuelle Appliance kann Datenverkehr innerhalb angegebener IP-Adresspools verwalten, wodurch die Appliance Scan-Dienste für Datenverkehr von zahlreichen Kunden bieten kann. Dies ermöglicht Ihnen Folgendes: Trennen des Datenverkehrs der einzelnen Kunden Erstellen von Richtlinien für jeden Kunden oder Host, was die Konfiguration vereinfacht und Konflikte verhindert, die bei komplexen Richtlinien auftreten können Berichte für die einzelnen Kunden oder Hosts mithilfe der Appliance-Funktion "Bevorzugte Berichte" erstellen (Berichte Geplante Berichte Bevorzugt), wodurch keine komplexen Filter erstellt werden müssen. Falls die Appliance verhaltensbedingt auf eine Reputation-Blacklist gesetzt wird, betrifft dies nur einen virtuellen Host und nicht die gesamte Appliance. Virtuelle Hosts verhalten sich unterschiedlich, je nachdem, ob sie im Proxy-Modus (bei dem die Adressen für eingehenden Datenverkehr abgehört werden) oder im transparenten Modus (bei dem Datenverkehr für angegebene IP-Adressen abgefangen wird) betrieben werden. Wenn Sie IP-Adresspools für ausgehenden Datenverkehr sowohl für LAN1 als auch für LAN2 erstellen, verwendet der virtuelle Host die IP-Adressen der Schnittstelle, über die die ausgehende Verbindung hergestellt wird and Web Security Appliances 5.6 Patch 1 Produkthandbuch

279 Übersicht über Systemfunktionen Virtuelles Hosting 5 Tabelle 5-33 sbeschreibungen Virtuelles Hosting auf dieser Appliance aktivieren Name Klicken Sie hier, um zu ermöglichen, dass virtuelle Hosts auf der Appliance konfiguriert werden können. Zeigt den Namen des virtuellen Hosts an. Der Name muss eindeutig sein. Er wird an anderen Stellen auf der Appliance verwendet, wie beispielsweise an den folgenden: -Konfiguration -Richtlinien Nachrichtensuche Berichte Die Symbole geben den Typ von Host an: Physischer Host Virtueller Host Host-Name Domänenname Adresspool für eingehenden Datenverkehr/ Abfang-Adresspool Adresspool für ausgehenden Datenverkehr Hinzufügen Der Host-Name und der Domänenname werden im SMTP-Begrüßungsbanner verwendet. Wenn es sich beim Host-Namen um einen vollqualifizierten Domänennamen handelt (d. h, der Name endet mit einem "."), erscheint der Domänenname nicht im SMTP-Begrüßungsbanner. Zeigt den Domänennamen des virtuellen Hosts an. Der Domänenname hat die Form domäne.dom und muss über alle virtuellen Hosts hinweg eindeutig sein. Wenn es sich beim Host-Namen um einen vollqualifizierten Domänennamen handelt (d. h, der Name endet mit einem "."), erscheint der Domänenname nicht im SMTP-Begrüßungsbanner. Zeigt die Anzahl verfügbarer Adressen an. Um den Bereich anzuzeigen, bewegen Sie den Mauszeiger über den Text, und warten Sie, bis ein gelbes Kästchen angezeigt wird. Zeigt die Anzahl verfügbarer Adressen an. Um den Bereich anzuzeigen, bewegen Sie den Mauszeiger über den Text, und warten Sie, bis ein gelbes Kästchen angezeigt wird. Diese ist für virtuelle Hosts verfügbar, die im Proxy-Modus betrieben werden. Die Adressen werden im Round-Robin-Verfahren verwendet. Wenn Sie hierauf klicken, wird ein Assistent geöffnet, in dem Sie die Details des virtuellen Hosts angeben können. Vorgehensweise Erstellen eines neuen virtuellen Hosts Bevor Sie einen neuen virtuellen Host erstellen, vergewissern Sie sich, dass Sie die relevanten Informationen (Hostname, Domänenname, IP-Adressbereich) haben, die erforderlich sind, um den verfügbaren virtuellen Host korrekt zu konfigurieren. 1 Navigieren Sie zu System Virtuelles Hosting Virtuelle Hosts. 2 Stellen Sie sicher, dass die Virtuelles Hosting auf dieser Appliance aktivieren aktiviert ist. 3 Klicken Sie auf Hinzufügen. Das Dialogfeld Virtuellen Host hinzufügen wird angezeigt. 4 Geben Sie unter Name des virtuellen Hosts einen Namen für den virtuellen Host ein. 5 Geben Sie unter eine für diesen virtuellen Host ein. Dieser Schritt ist optional, er ermöglicht Ihnen jedoch, weitere Informationen zu diesem virtuellen Host schnell zu identifizieren. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 279

280 5 Übersicht über Systemfunktionen Virtuelles Hosting 6 Geben Sie unter Hostname den Hostnamen ein. 7 Geben Sie unter Domänenname den Domänennamen ein. Verwenden Sie dabei das Format beispiel.com. 8 Klicken Sie auf Weiter. 9 Klicken Sie auf Hinzufügen, um die Adressen im Adresspool für eingehenden Datenverkehr/Abfang-Adresspool anzugeben. a Geben Sie Adressbereich, Netzwerkadresse und Netzwerkschnittstelle für den Adresspool für eingehenden Datenverkehr/Abfang-Adresspool an. b c Klicken Sie auf OK. Klicken Sie auf Weiter. 10 Klicken Sie auf Hinzufügen, um die Adressen im Adresspool für ausgehenden Datenverkehr anzugeben. Dieser Schritt ist optional. a Geben Sie Adressbereich, Netzwerkadresse und Netzwerkschnittstelle für den Adresspool für ausgehenden Datenverkehr an. b Klicken Sie auf OK. 11 Klicken Sie auf Fertig stellen. Vorgehensweise Erstellen einer neuen virtuellen Richtlinie Virtuelle Richtlinien können als Richtlinienvorlage für ähnliche virtuelle Hosts verwendet werden. 1 Navigieren Sie zu System Virtuelles Hosting Virtuelle Hosts. 2 Stellen Sie sicher, dass die Virtuelles Hosting auf dieser Appliance aktivieren aktiviert ist. 3 Übernehmen Sie die Änderungen auf die Appliance. 4 Navigieren Sie zu -Richtlinien Scan-Richtlinien. 5 Klicken Sie auf Richtlinie hinzufügen, und geben Sie den Namen der Richtlinie ein. 6 Wählen Sie den Richtlinientyp Virtuell. 7 Navigieren Sie zu System Virtuelles Hosting Virtuelle Hosts. 8 Wählen Sie unter Basisrichtlinie für das Scannen die virtuelle Richtlinie in einem neuen oder vorhandenen virtuellen Host aus. Virtuellen Host hinzufügen Verwenden Sie diesen Assistenten, um einen virtuellen Host anzugeben. System Virtuelles Hosting Virtuelle Hosts Virtuellen Host hinzufügen Sie können im Adresspool für eingehenden Datenverkehr die Adressen angeben, an denen die Appliance Datenverkehr empfängt oder abfängt. Nachdem Sie Virtuelles Hosting auf dieser Appliance aktivieren ausgewählt haben, können Sie virtuelle Richtlinien erstellen and Web Security Appliances 5.6 Patch 1 Produkthandbuch

281 Übersicht über Systemfunktionen Virtuelles Hosting 5 sbeschreibungen Seite "Grundlegende Einstellungen für den Host" Name des virtuellen Hosts und Host-Name Domänenname Grundlegende Richtlinie für das Scannen Basisprotokoll-Voreinstellung -Relays Logisches virtuelles Hosting aktivieren Geben Sie einen eindeutigen Namen und eine für den virtuellen Host an. Der Name wird an anderen Stellen auf der Appliance verwendet, wie beispielsweise an den folgenden: -Konfiguration -Richtlinien Nachrichtensuche Berichte ( Symbol für die virtuelle Appliance.) Dieser Wert wird im SMTP-Begrüßungsbanner verwendet. Wenn es sich beim Host-Namen um einen FQDN (vollqualifizierter Domänenname) handelt, erscheint der Domänenname nicht im SMTP-Begrüßungsbanner. Zeigt den Domänennamen des virtuellen Hosts an. Der Domänenname hat die Form domäne.dom und muss über alle virtuellen Hosts hinweg eindeutig sein. Wenn es sich beim Host-Namen um einen FQDN (vollqualifizierter Domänenname) handelt, erscheint der Domänenname nicht im SMTP-Begrüßungsbanner. Bietet eine Auswahl an Richtlinien des physischen Hosts und ermöglicht Ihnen das Angeben einer neuen Richtlinie. Sie können wählen, ob Sie von der Richtlinie für den physischen Host Unterrichtlinien für den virtuellen Host erstellen möchten. Sie können alle Richtlinien jederzeit anzeigen, indem Sie in der Navigationsleiste -Richtlinien Scan-Richtlinien wählen. Bietet eine Auswahl an Voreinstellungen des physischen Hosts und ermöglicht Ihnen das Angeben einer neuen Voreinstellung. Voreinstellung sind verbindungsbasierte Richtlinien. Konfiguriert die Domäne des virtuellen Hosts als lokale Relay-Domäne. Wählen Sie diese, um dieselben Einstellungen für virtuelle Hosts auf jeder Appliance im Cluster zu verwenden. Wenn Sie eine Konfiguration auf eine andere Appliance im selben Cluster übertragen: Falls noch kein virtueller Host definiert wurde, wird ein leerer Eintrag für den virtuellen Host erstellt. Wenn der virtuelle Host definiert wurde, wird die IP-Adresse des virtuellen Hosts beibehalten. Geben Sie unter Logische Kennung eine Kennung ein, die die logische Gruppe angibt, zu der dieser virtuelle Host gehört. sbeschreibungen Seite "Adresspool für eingehenden Datenverkehr/ Abfang-Adresspool" Klicken Sie auf Hinzufügen, um das Dialogfeld IP-Adressbereich bearbeiten anzuzeigen. Dies ermöglicht Ihnen, den IP-Adresspool für eingehenden Datenverkehr für den virtuellen Host zu definieren. Dies sind die Adressen, auf denen die Appliance Datenverkehr abfängt. Sie müssen mindestens eine IP-Adresse für eingehenden Datenverkehr angeben. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 281

282 5 Übersicht über Systemfunktionen Virtuelles Hosting Adressbereich Geben Sie den Adressbereich für diesen virtuellen Host an. Es muss mindestens eine IP-Adresse angegeben werden. Diese Adressen müssen eindeutig sein und können nicht als Adressen für eingehenden Datenverkehr für einen anderen physischen oder virtuellen Host verwendet werden. Die Adressen können jedoch als Adressen für ausgehenden Datenverkehr für andere virtuelle Hosts verwendet werden. Der Adressbereich kann in den folgenden Formaten angegeben werden: /24 Die IP-Adressen werden auf dem Netzwerktreiber angelegt. Sie können die IP-Adresse daher nicht über den Ping-Befehl erreichen oder über den Befehl ip addr show sehen. Netzwerkadresse Netzwerkschnittstelle Die Appliance füllt dieses Feld basierend auf den Informationen, die Sie unter Adressbereich eingeben, automatisch aus. Wählen Sie die Schnittstelle, auf der Sie die IP-Adresse erstellen möchten. Wählen Sie "LAN1" oder "LAN2". Die IP-Adressen werden auf dem Netzwerktreiber angelegt. Sie können die IP-Adresse daher nicht über den Ping-Befehl erreichen oder über den Befehl ip addr show sehen. sbeschreibungen Seite "Adresspool für ausgehenden Datenverkehr" Klicken Sie auf Hinzufügen, um das Dialogfeld IP-Adressbereich bearbeiten anzuzeigen. Dies ermöglicht Ihnen, den IP-Adresspool für ausgehenden Datenverkehr für den virtuellen Host zu definieren. Dies sind die Adressen, auf denen die Appliance gescannten Datenverkehr sendet. Wenn Sie keine Ausgabe-IP-Adressen angeben, verwendet die Appliance die IP-Adresse des physischen Hosts and Web Security Appliances 5.6 Patch 1 Produkthandbuch

283 Übersicht über Systemfunktionen Virtuelles Hosting 5 Adressbereich Geben Sie den Adressbereich für diesen virtuellen Host an. Es muss mindestens eine IP-Adresse angegeben werden. Die Adressen werden im Round-Robin-Verfahren verwendet. Die Adressen können als Adressen für ausgehenden Datenverkehr für andere virtuelle Hosts verwendet werden. Der Adressbereich kann in den folgenden Formaten angegeben werden: /24 Host-Name (für SMTP HELO) Gibt den Namen an, der in den SMTP-HELO-Begrüßungen verwendet wird. Folgende en stehen zur Verfügung: Bei Laufzeit auflösen (Diese kann die Leistung beeinträchtigen.) Genaue IP-Adresse verwenden Folgenden Wert verwenden Klicken Sie auf Suchen, um die IP-Adresse in einen Namen aufzulösen. Netzwerkadresse Netzwerkschnittstelle Die Appliance füllt dieses Feld basierend auf den Informationen, die Sie unter Adressbereich eingeben, automatisch aus. Wählen Sie "LAN1" oder "LAN2". Wenn Sie IP-Adresspools für ausgehenden Datenverkehr sowohl für LAN1 als auch für LAN2 erstellt haben, werden die IP-Adressen der Schnittstelle verwendet, über die die ausgehende Verbindung hergestellt wird. Virtuelle Netzwerke Mithilfe dieser Seite können Sie virtuelle Netzwerke angeben. System Virtuelles Hosting Virtuelle Netzwerke Tabelle 5-34 sbeschreibungen Netzwerkadresse Gibt eine virtuelle Netzwerkadresse an, wie beispielsweise /24. Netzwerkschnittstelle Bearbeiten Löschen Gibt die Netzwerkschnittstelle an Bridge, LAN1 oder LAN2. Wenn Sie hier klicken, wird das Dialogfeld "Virtuelles Netzwerk bearbeiten" geöffnet. Durch Klicken auf diese werden alle nicht verwendeten Netzwerke gelöscht. Sie können keine verwendeten Netzwerke löschen. Um ein einzelnes Netzwerk zu löschen, klicken Sie auf das Symbol in der entsprechenden Zeile. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 283

284 5 Übersicht über Systemfunktionen Zertifikatsverwaltung Virtuelles Netzwerk bearbeiten Auf dieser Seite können Sie die Einstellungen für das virtuelle Netzwerk bearbeiten. System Virtuelles Hosting Virtuelle Netzwerke Virtuelles Netzwerk bearbeiten Tabelle 5-35 sbeschreibungen Netzwerkadresse Netzwerkschnittstelle Geben Sie die erforderliche IP-Adresse und den erforderlichen IP-Bereich für das virtuelle Netzwerk ein. Verwenden Sie das folgende Format: /23 oder / Wählen Sie die Netzwerkschnittstelle aus, die dem virtuellen Netzwerk zugeordnet werden soll. Zertifikatsverwaltung In diesem Bereich können Sie Zertifikate für die Verwendung mit Ihrer Appliance konfigurieren und anzeigen. Zertifikate ermöglichen anderen Systemen, den Datenverkehr von Ihrer Appliance als vertrauenswürdig einzustufen. Auf diesen Seiten können Sie die für Ihre Appliance erforderlichen Zertifikate einrichten und verwalten. Inhalt Zertifikate Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) Zertifikate Auf den verlinkten Seiten können Sie wichtige Informationen zu den Zertifikaten, die mit Ihrer Appliance in Zusammenhang stehen, anzeigen und ändern. Inhalt CA-Zertifikate TLS-Zertifikate und -Schlüssel HTTPS-Zertifikat der Appliance CA-Zertifikate Mithilfe dieser Seiten können Sie digitale Zertifikate von Zertifizierungsstellen verwalten. System Zertifikatsverwaltung Zertifikate CA-Zertifikate 284 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

285 Übersicht über Systemfunktionen Zertifikatsverwaltung 5 Digitale Zertifikate sind für die sichere Übertragung von s erforderlich. Mehr als 100 häufig verwendete Zertifikate von Zertifizierungsstellen wie Thawte und Verisign sind verfügbar. Zertifikate weisen für gewöhnlich eine Gültigkeitsdauer von mehreren Monaten oder Jahren auf, sodass diese nicht häufig verwaltet werden müssen. RSA-Schlüssel können sowohl zum Verschlüsseln als auch zum Signieren verwendet werden. DSA-Schlüssel können nur zum Signieren verwendet werden. Tabelle 5-36 sbeschreibungen Zertifikats-ID Vertrauenswürdig Betreff Aussteller Läuft ab Löschen Anzeigen Ausgewählte exportieren oder Alle exportieren Zertifikat importieren Zeigt den Namen des Zertifikats an. Gibt an, ob ein Zertifikat gültig ist. Diese ist z. B. deaktiviert, wenn das Zertifikat abgelaufen ist. Zeigt Details zum Zertifikat an. Zeigt die Stelle an, die das Zertifikat herausgibt, z. B. Thawte oder Verisign. Zeigt das Ablaufdatum des Zertifikats an, z. B. 15. Mai :15:00. Falls dieses Datum bereits in der Vergangenheit liegt, ist das Zertifikat nicht gültig. Durch Klicken auf diese wird das ausgewählte Zertifikat gelöscht. Wenn Sie darauf klicken, werden die Details zum ausgewählten Zertifikat angezeigt. Durch Klicken auf diese wird ein Browser zum Speichern der Datei geöffnet. Wenn Sie ein einzelnes Zertifikat exportieren, umfasst der Dateiname die Zertifikat-ID. Die Dateinamenerweiterung ist crt (für Base64, PEM) oder p7b (für PKCS#7). Durch Klicken hierauf wird ein anderes Fenster geöffnet, in dem Sie eine Datei auswählen können. Das importierte Zertifikat kann eines dieser Formate aufweisen: Binäre (oder DER-codierte) Zertifikatsdatei PEM (Base64)-codierte Zertifikate Binäre PKCS#7-Datei PEM-codierte PKCS#7-Datei Die Appliance kann keine Zertifikatsketten und keine Zertifikate mit kennwortgeschützten privaten Schlüsseln akzeptieren. Erst nachdem Sie auf das Symbol zum Übernehmen Ihrer Änderungen geklickt haben, verifiziert die Appliance das Zertifikat und stellt es zur Verwendung zur Verfügung: Wenn ein gelbes Ausrufezeichen neben dem Zertifikat angezeigt wird, nachdem Sie auf das grüne Häkchen geklickt haben, um die Änderung zu übernehmen, wird das Zertifikat als derzeit nicht vertrauenswürdig angesehen. Importieren Sie das verknüpfte CA-Zertifikat, bevor Sie das neue Zertifikat verwenden. der Symbole Symbol Zertifikat ist gültig Das Zertifikat ist ungültig. Das Zertifikat könnte z. B. abgelaufen sein. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 285

286 5 Übersicht über Systemfunktionen Zertifikatsverwaltung TLS-Zertifikate und -Schlüssel Mithilfe dieser Seite können Sie digitale Zertifikate für die sichere Übertragung von s mithilfe von Transport Layer Security (TLS) verwalten. System Zertifikatsverwaltung Zertifikate TLS-Zertifikate und -Schlüssel Zertifikate weisen für gewöhnlich eine Gültigkeitsdauer von mehreren Monaten oder Jahren auf, sodass diese nicht häufig verwaltet werden müssen. Wenn Sie die Erstellung Ihrer TLS-Zertifikate anfordern, empfiehlt McAfee, den Host-Namen und die IP-Adresse der Appliance anzugeben, die die TLS-verschlüsselten s entschlüsseln soll. Falls Ihre Appliance Teil eines Clusters und im Modus "Transparent Router" oder "Expliziter Proxy" konfiguriert ist, geben Sie den virtuellen Host-Namen und die virtuelle IP-Adresse des Clusters statt der physischen IP-Adressen an. Importieren Sie die vertrauenswürdigen Zertifizierungsstellen und Zertifikate der teilnehmenden Organisationen, bevor Sie mit der TLS-Konfiguration beginnen. RSA-Schlüssel können sowohl zum Verschlüsseln als auch zum Signieren verwendet werden. DSA-Schlüssel können nur zum Signieren verwendet werden. Tabelle 5-37 sbeschreibungen Zertifikats-ID Thema Aussteller Läuft ab Löschen Anzeigen Exportieren Zertifikat und Schlüssel importieren Zeigt den Namen des Zertifikats an. Zeigt Details zum Zertifikat an. Zeigt die Stelle an, die das Zertifikat herausgibt, wie Thawte oder Verisign. Zeigt das Ablaufdatum des Zertifikats an, z. B. 5. Mai 2010 um 12:15:00 Uhr. Durch Klicken auf diese wird das ausgewählte Zertifikat gelöscht. Durch Klicken auf diese werden Details zum ausgewählten Zertifikat angezeigt, beispielsweise dessen Version, Aussteller und öffentlicher Schlüssel. Wenn Sie hierauf klicken, wird ein anderes Fenster geöffnet, indem Sie auswählen können, dass das Zertifikat oder eine ganze Zertifikatskette exportiert werden soll, und das Zertifikatsformat angeben. Die Dateinamenserweiterung lautet in der Regel CRT. Durch Klicken hierauf wird ein anderes Fenster geöffnet, in dem Sie eine Datei auswählen können. Das importierte Zertifikat kann eines dieser Formate aufweisen: Binäre (oder DER-codierte) Zertifikatsdatei PEM (Base64)-codierte Zertifikate Binäre PKCS#12-Datei PEM-codierte PKCS#12-Datei Um ein kennwortgeschütztes Zertifikat zu importieren, geben Sie den Kennwortsatz ein, um den privaten Schlüssel zu entsperren. Die Appliance speichert das entschlüsselte Zertifikat an einem sicheren internen Speicherort. Erst nachdem Sie auf das Symbol zum Übernehmen Ihrer Änderungen geklickt haben, verifiziert die Appliance das Zertifikat und stellt es für die Verwendung zur Verfügung: 286 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

287 Übersicht über Systemfunktionen Zertifikatsverwaltung 5 der Symbole Symbol Zertifikat ist ungültig Das Zertifikat ist ungültig. Das Zertifikat könnte z. B. abgelaufen sein. HTTPS-Zertifikat der Appliance Auf dieser Seite können Sie den Inhalt eines selbstsignierten digitalen Zertifikats für die Appliance angeben. System Zertifikatsverwaltung Zertifikate HTTPS-Zertifikat der Appliance Zum Erstellen eines Zertifikats, das von einer Zertifizierungsstelle signiert ist. Zertifikate weisen für gewöhnlich eine Gültigkeitsdauer von mehreren Monaten oder Jahren auf, sodass diese nicht häufig verwaltet werden müssen. Tabelle 5-38 sbeschreibungen Land [C] Bundesland [ST] Stadt oder Ort [S] Organisation [O] Organisationseinheit [OU] Common Name [CN] -Adresse [ea] Importieren Gibt einen Code mit zwei Buchstaben an, wie CD, DE, ES, FR, JP, KR. (Siehe ISO 3166) Der Standardwert lautet US. Gibt den Standort Ihrer Organisation an. Geben Sie einen vollständigen Namen und keine Abkürzung ein. Gibt den Namen Ihrer Organisation an, wie z. B. Example, Inc. Der Standardwert ist and Web Security Appliances. Gibt den Domänennamen Ihrer Appliance an, wie server1.example.com. Gibt eine -Adresse an, beispielsweise aaa@mcafee.com. Durch Klicken hierauf wird ein Fenster geöffnet, in dem Sie die Datei angeben können. Um ein kennwortgeschütztes Zertifikat zu importieren, geben Sie den Kennwortsatz ein, um den privaten Schlüssel zu entsperren. Die Appliance speichert das entschlüsselte Zertifikat an einem sicheren internen Speicherort. Erst nachdem Sie auf das Symbol zum Übernehmen Ihrer Änderungen geklickt haben, verifiziert die Appliance das Zertifikat und stellt es zur Verwendung zur Verfügung: Exportieren Zertifikatssignaturanforderung erzeugen Durch Klicken hierauf wird ein Fenster geöffnet, in dem Sie einen Kennwortsatz angeben und dann eine Datei herunterladen können. Die Dateinamenserweiterung lautet CRT (base-64-codiert) oder P12 (PKCS#12). Das Zertifikat liegt im PEM-Format vor. Wenn Sie hierauf klicken, wird ein Fenster geöffnet, in dem Sie anfordern können, dass die Zertifikatssignaturanforderung von einer Zertifizierungsstelle auf der Appliance oder von einer externen Zertifizierungsstelle signiert wird. Die Dateinamenserweiterung lautet CSR. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 287

288 5 Übersicht über Systemfunktionen Zertifikatsverwaltung Hilfreiche Websites ISO 3166: Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) Auf den verlinkten Seiten können Sie die Zertifikatsperrliste auf Ihrer Appliance importieren, exportieren und anzeigen. Inhalt Installierte Zertifikatsperrlisten Aktualisierungen der Zertifikatsperrliste Installierte Zertifikatsperrlisten Mithilfe dieser Seite können Sie Zertifikatsperrlisten verwalten. System Zertifikatsverwaltung Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) Zertifikatsperrlisten haben für gewöhnlich eine Gültigkeitsdauer von mehreren Monaten, sodass diese nicht häufig verwaltet werden müssen. Tabelle 5-39 sbeschreibungen ID Aussteller Letzte Aktualisierung und Nächste Aktualisierung Löschen Zeigt den Namen der Zertifizierungsstelle an. Zeigt die Stelle an, die das Zertifikat herausgibt, z. B. Thawte oder Verisign. Zeigt für die Zertifikatsperrliste geltende Daten an. Durch Klicken auf diese wird die ausgewählte Zertifikatsperrliste gelöscht. Sie können keine noch aktuelle Zertifikatsperrliste löschen. Wenn Sie ein Zertifikat löschen, wie die Zertifikatsperrliste automatisch gelöscht. Anzeigen Wenn Sie darauf klicken, werden die Inhalte der ausgewählten Zertifikatsperrliste angezeigt. Einige Zertifikatsperrlisten können lang sein. Export ausgewählt Zertifikatsperrliste importieren Durch Klicken auf diese wird ein Browser zum Speichern der Datei geöffnet. Die Dateinamenserweiterung lautet in der Regel CRL. Durch Klicken auf diese wird ein Browser zum Auswählen der Datei geöffnet. Die Appliance kann eine lokale Datei oder eine Datei von einer Website abrufen. Erst nachdem Sie auf das Symbol zum Übernehmen Ihrer Änderungen geklickt haben, verifiziert die Appliance die Zertifikatssperrliste und stellt sie für die Verwendung zur Verfügung: 288 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

289 Übersicht über Systemfunktionen Protokollierung, Warnungen und SNMP 5 Aktualisierungen der Zertifikatsperrliste Mithilfe dieser Seite können Sie angeben, wie häufig die Appliance Updates für ihre Zertifikatsperrlisten abruft. System Zertifikatsverwaltung Zertifikatsperrlisten Zertifikatsperrlisten-Updates Falls die Appliance sich über einen externen Web-Proxy Zugriff verschaffen muss, geben Sie die Details hier ein, oder verwenden Sie die Details eines Proxy, der bereits definiert wurde. Tabelle 5-40 sbeschreibungen Häufigkeit angeben Standardmäßige Proxyeinstellungen verwenden Standards konfigurieren Proxyserver bis Proxy-Kennwort Import-URL Gibt an, wie häufig die Appliance Updates für Zertifikatsperrlisten abruft. Wählen Sie eine Uhrzeit aus, zu der Ihr Netzwerk nur wenig ausgelastet ist. Wenn Sie diese Funktion nicht verwenden möchten, wählen Sie Nie aus. Falls Sie einen HTTP-Proxy verwenden möchten, der nicht auf der Seite Externe Proxys angegeben ist, heben Sie die Auswahl dieses Kontrollkästchens auf. Wenn Sie hierauf klicken, wird die Seite Externe Proxys geöffnet, auf der Sie die Standardeinstellungen für den HTTP-Proxy anzeigen oder ändern können. Wenn Sie Proxy-Informationen zu einem anderen Zeitpunkt ansehen möchten, wählen Sie in der Navigationsleiste System Appliance-Verwaltung Externe Proxys. Gibt die Details zum Proxy an. Durch Klicken hierauf wird ein Fenster geöffnet, in dem Sie den Pfad für die Zertifikatsperrlisten angeben können. Protokollierung, Warnungen und SNMP Diese Themen helfen Ihnen beim Konfigurieren der en, die in der Appliance zum Protokollieren von Informationen und Ausgeben von Warnungen zur Verfügung stehen. Sie können die Appliance für das Senden von s, die Informationen zu Viren und anderen erkannten Bedrohungen enthalten, sowie für die Verwendung von SNMP zum Übertragen von Informationen von der Appliance konfigurieren. Sie können die Appliance auch so konfigurieren, dass mithilfe von WebReporter detaillierte Berichte über das Surf-Verhalten Ihrer Benutzer erstellt werden. Inhalt -Warnungen SNMP-Warnungseinstellungen SNMP-Überwachungseinstellungen Systemprotokollereignisse WebReporter Protokollierungskonfiguration and Web Security Appliances 5.6 Patch 1 Produkthandbuch 289

290 5 Übersicht über Systemfunktionen Protokollierung, Warnungen und SNMP -Warnungen Verwenden Sie diese Seite, um zu entscheiden, an welche Benutzer -Nachrichten gesendet werden, wenn Ereignisse wie die Erkennung eines Virus auftreten. System Protokollierung, Warnung und SNMP -Warnungen Tabelle 5-41 sbeschreibungen Anti-Virus-Ereignisse bis Aggregierte Datenereignisse Warnungseinstellungen Bei Auswahl dieser en werden -Nachrichten gesendet, wenn der entsprechende Ereignistyp auftritt. Klicken Sie auf Bearbeiten, um ein Fenster zu -Warnungen zu öffnen und die Nachricht zu ändern. Gibt den Absendernamen und die -Adresse des Absenders an, die im Feld Von der -Nachricht angezeigt werden. Dabei muss es sich nicht um eine reale -Adresse handeln. Der Standardwert lautet "EWS". Betreff Gibt die Betreffzeile der -Nachricht an. Der Standardwert lautet "EWS Warnung". Empfänger Gibt die -Adressen der Empfänger an, die Warnungen erhalten. Wir empfehlen, Benutzer zu wählen, die ihre s häufig überprüfen und rasch auf diese Warnungen reagieren können. Informationen zur Verwendung der einzelnen Substitutions-Variablen finden Sie unter Warnungs-Token für -Warnungsnachrichten auf Seite 290. Warnungs-Token für -Warnungsnachrichten Sie können Warnmeldungen mit Warnungs-Token anpassen. Beispielsweise könnte die Nachricht Virus erkannt um %LOCALTIME% zu Virus erkannt um 10:31 werden. System Protokollierung, Warnung und SNMP -Warnungen Warnungs-Token (auch als Ersetzungs-Token oder Substitutions-Variablen bezeichnet) ermöglichen Ihnen, aussagekräftige -Warnungsnachrichten für Ihre Benutzer zu erstellen. In den folgenden Tabellen sind die verfügbaren Warnungs-Token für verschiedene Umstände aufgelistet. Diese Tabellen enthalten: Das Warnungs-Token Namen beginnen und enden mit dem Zeichen %. Beschreibt kurz den Typ der Informationen, die die Ersetzungsvariable ersetzen sollen. Die folgenden Tabellen enthalten Informationen zu: Warnungs-Token für Scanner-Warnungen Warnungs-Token für -Benachrichtigungen Warnungs-Token für Quarantäne-Digest-Nachrichten Warnungs-Token für HTTP/ICAP-Client-Warnmeldungen Warnungs-Token für HTTP/ICAP-Download-Statusmeldungen Warnungs-Token für -Warnungen (Protokollierung und Warnungen) 290 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

291 Übersicht über Systemfunktionen Protokollierung, Warnungen und SNMP 5 Tabelle 5-42 Warnungs-Token für Scanner-Warnungen Name des Tokens %ACTIONNAME%: %ACTIVECONTENT%: %ATTACHMENTCONTEXT%: %ATTACHMENTNAME%: %AVDATVERSION%: %AVENGINENAME%: %AVENGINEVERSION%: %BLOCKED_URL%: %CONTENTREPORT%: %CORRUPTIONTYPE%: %DESTINATIONHOST%: %DESTINATIONIP%: %DETECTIONS%: %DICTIONARYGROUP%: %DLP_FINGERPRINTSOURCE%: %DLP_REPORT%: %DLP_RULE%: %DOSLIMIT%: %FILTERCONTEXT%: %FILTERNAME%: %FILTERNAME%: %FORMAT%: %ID%: %LOCALTIME%: %POLICY%: %POLICY_ID%: %PROTOCOL%: %REASON%: %RECIPIENTS%: %SENDER%: Die durchgeführte Aktion (AV) Die Liste aktiver Inhalte im Objekt (HTML) Eine detaillierte des Unterkontexts, der zum Auslösen geführt hat (nur von %ATTACHMENTNAME% verschieden, wenn mehrere Bedingungsregeln vorhanden sind) (Compliance) Name des gescannten Elements Die vom Antiviren-Modul verwendete DAT-Version (AV) Der Name des Antiviren-Moduls (AV) Die Version des Antiviren-Moduls (AV) Der angeforderte URL, der vom URL-Filtermodul gesperrt wurde. (URL) Ein detaillierter Bericht zu der/den ausgelösten Regel(n), einschließlich Begriffen, Übereinstimmungen und Kontext (Compliance) Der Typ der aufgetretenen Beschädigung (Beschädigter Inhalt) Ziel-Host-Name Ziel-IP-Adresse Liste der Erkennungen im Element Der/die Name(n) der auslösenden Regeln für Inhalts-Scans (Compliance) Name des geschützten Dokuments (DLP) Ein detaillierter Bericht zu den ausgelösten Regeln, einschließlich Name, Kategorie, Größe und Digest der geschützten Dokumente (DLP) Name der ausgelösten DLP-Regel (DLP) Der DoS-Grenzwert, der überschritten wurde (DOS) Der/die Name(n) der auslösenden Regeln (Compliance) Der Name der Dateifilterregel, die ausgelöst wurde (Dateifilterung) Die Namen der Regeln/Gruppen auf oberster Ebene, die ausgelöst wurden (gemäß Richtlinienanweisung) (Compliance) des Typs des gesperrten Nachrichtenformats. (Mail-Filterung) Eindeutige Messaging and Web Security-Nachrichten-ID (SMTP) Ortszeit Die Richtlinie, die das Ereignis ausgelöst hat Die Richtlinienidentität, die das Ereignis ausgelöst hat Protokoll des überschrittenen DoS-Limits, z. B. max. Verschachtelungstiefe, Dateigröße oder Zeitüberschreitung des AV-Scanners (DOS) Umschlag- -Empfängerliste. In SMTP verfügbar (SMTP) Umschlag- -Absender. In SMTP verfügbar (SMTP) and Web Security Appliances 5.6 Patch 1 Produkthandbuch 291

292 5 Übersicht über Systemfunktionen Protokollierung, Warnungen und SNMP Tabelle 5-42 Warnungs-Token für Scanner-Warnungen (Fortsetzung) Name des Tokens %SITEADVISOR%: Die SiteAdvisor-Webbewertung des angefragten URL. (URL) %SIZE%: Größe der Daten %SOURCEHOST%: Quell-Host-Name %SOURCEIP%: Quell-IP-Adresse %SUBJECT%: Der -Betreff. In SMTP verfügbar (SMTP) %TOTALSCORE%: Akkumulierter Gesamtwert für den Stream (Compliance) %URL_CATEGORY%: Die Filterkategorie des angeforderten URL. (URL) %URL_REQUEST_DISPLAY_NAME%: Kontaktname für Abfragen zu URL-Warnungen (URL) %URL_REQUEST_ _ADDR%: Kontakt- -Adresse für Abfragen zu URL-Warnungen (URL) %UTCTIME%: UTC-Zeit %WEB_REPUTATION_INFO%: Die SiteAdvisor-Webbewertung des angefragten URL. (URL) %WEBSHIELDIP%: Messaging and Web Security-IP-Adresse %WEBSHIELDNAME%: Messaging and Web Security-Appliance-Name %WEBSHIELDVIRTUALIP%: Virtuelle IP-Adresse Tabelle 5-43 Warnungs-Token für -Benachrichtigungen Name des Tokens %ATTACHMENTNAME%: %AVDATVERSION%: %AVENGINENAME%: %AVENGINEVERSION%: %DESTINATIONHOST%: %DESTINATIONIP%: %DETECTIONS%: %ID%: %LOCALTIME%: %POLICY%: %POLICY_ID%: %PROTOCOL%: %RECIPIENTS%: %SCANNER%: %SENDER%: %SIZE%: %SOURCEHOST%: %SOURCEIP%: %SPAMENGINEVERSION%: %SPAMSCORE%: %SUBJECT%: %UTCTIME%: Name des gescannten Elements Die vom Antiviren-Modul verwendete DAT-Version Der Name des Antiviren-Moduls Die Version des Antiviren-Moduls Ziel-Host-Name Ziel-IP-Adresse Liste der Erkennungen im Element Eindeutige Messaging and Web Security-Nachrichten-ID Ortszeit Die Richtlinie, die das Ereignis ausgelöst hat Die Richtlinienidentität, die das Ereignis ausgelöst hat Protokoll Umschlag- -Empfängerliste. In SMTP verfügbar Scannername(n) Umschlag- -Absender. In SMTP verfügbar Größe der Daten Quell-Host-Name Quell-IP-Adresse Version des Spam-Moduls. In SMTP verfügbar Spam-Faktor. In SMTP verfügbar Der -Betreff. In SMTP verfügbar UTC-Zeit 292 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

293 Übersicht über Systemfunktionen Protokollierung, Warnungen und SNMP 5 Tabelle 5-43 Warnungs-Token für -Benachrichtigungen (Fortsetzung) Name des Tokens %WEBSHIELDIP%: %WEBSHIELDNAME%: %WEBSHIELDVIRTUALIP%: Messaging and Web Security-IP-Adresse Messaging and Web Security-Appliance-Name Virtuelle IP-Adresse Tabelle 5-44 Warnungs-Token für Quarantäne-Digest-Nachrichten Name des Tokens Nachrichtentext: %SPAM_LIST%: %FULL_SPAM_LIST%: %CONTENT_LIST%: Eine Liste der -Nachrichten, die seit dem letzten Digest als Spam isoliert wurden Eine vollständige Liste der -Nachrichten, die als Spam isoliert wurden Eine Liste der -Nachrichten, die aufgrund von Inhaltsverletzungen seit dem letzten Digest isoliert wurden %FULL_CONTENT_LIST%: Eine vollständige Liste der -Nachrichten, die aufgrund von Inhaltsverletzungen isoliert wurden %WHITE_LIST%: %BLACK_LIST%: %SENDER%: %RECIPIENT%: %EXP_DELAY%: %MAX_EXP_DELAY%: %PRODUCT_NAME%: %POST_MASTER%: %DIGEST_DATE%: %ADD_WHITE_LIST%: %ADD_BLACK_LIST%: %SET_EXP_DELAY%: Reaktionen: %REQUEST_RESULTS%: Fehlerreaktion: %ERR_TEXT%: Liste der -Adressen in der Whitelist Liste der -Adressen in der Blacklist Die -Adresse des Digest-Absenders -Adresse des Empfängers Die Benutzer-Ablaufverzögerung in Tagen Die maximale Ablaufverzögerung in Tagen Produktname der Appliance, die den Digest generiert hat -Adresse des Postmasters Das Datum, an dem der Digest erstellt wurde Ein HTML-Formular zum Hinzufügen von -Adressen zur Whitelist (interaktives HTML) Ein HTML-Formular zum Hinzufügen von -Adressen zur Blacklist (interaktives HTML) Ein HTML-Formular zum Festlegen der Ablaufverzögerung (interaktives HTML) Eine HTML-Tabelle, die die Ergebnisse der ausgeführten Aktionen anzeigt. Den Fehler beschreibender Text Tabelle 5-45 Warnungs-Token für HTTP/ICAP-Client-Warnmeldungen Name des Tokens %CONTENT_TYPE%: %IMTYPE%: %REQUEST_PORT%: %REQUEST_SCHEME%: %REQUEST_URL%: %REQUEST_VERB%: Der im HTTP-Header angegebene Inhaltstyp Der Typ des blockierten Instant Messaging Der in der Anfrage angegebene TCP-Port In der Anfrage angegebenes Schema Angefragter URL In der Anfrage angegebenes HTTP-Verb and Web Security Appliances 5.6 Patch 1 Produkthandbuch 293

294 5 Übersicht über Systemfunktionen Protokollierung, Warnungen und SNMP Tabelle 5-45 Warnungs-Token für HTTP/ICAP-Client-Warnmeldungen (Fortsetzung) Name des Tokens %RULE%: %USER_AGENT%: Die übereinstimmende Regel, die zu der Reaktion geführt hat Benutzeragent Tabelle 5-46 Warnungs-Token für HTTP/ICAP-Download-Statusmeldungen Name des Tokens %COMFORT_DOWNLOADED%: %COMFORT_FILE%: %COMFORT_PERCENTCOMPLETE%: %COMFORT_REFRESHINTERVAL%: %COMFORT_SCANNINGTIME%: %COMFORT_SIZE%: Anzahl heruntergeladener Byte Datei, die heruntergeladen wird Prozentsatz der heruntergeladenen Datei Aktualisierungszeit für die Komfortseite Für das Scannen der heruntergeladenen Datei erforderliche Zeit Erwartete Größe der Download-Datei Tabelle 5-47 Warnungs-Token für -Warnungen (Protokollierung und Warnungen) Name des Tokens Anti-Virus: %PRODUCT%: %EVENT%: %REASON%: %SOURCEIP%: %ICAP_SOURCEIP%: %SOURCEHOST%: %ICAP_SOURCEHOST%: %DESTINATIONIP%: %DESTINATIONHOST%: %SERVERUSERNAME%: %LOCALTIME%: %UTCTIME%: %WEBSHIELDNAME%: %WEBSHIELDIP%: %APPLICATION%: %SENDER%: %RECIPIENTS%: %DETECTIONS%: %ICAP_X_CLIENT_IP%: %ICAP_X_SERVER_IP%: %AUTH_USER%: %POLICY%: %POLICY_ID%: %SUBJECT%: %SIZE%: Der Produktname Der Name des Ereignisses Der Grund für das Ereignis Quell-IP-Adresse Quell-IP-Adresse für den ICAP-Server Quell-Host-Name Quell-Host-Name für den ICAP-Server Ziel-IP-Adresse Ziel-Host-Name Der Anmeldename des Benutzers (POP3 und FTP) Ortszeit UTC-Zeit Messaging and Web Security-Appliance-Name Messaging and Web Security-IP-Adresse Der Name des Prozesses, der das Ereignis generiert hat Umschlag- -Absender (SMTP) Umschlag- -Empfängerliste (SMTP) Liste der Erkennungen im Element Die ursprüngliche IP-Adresse des Webclients (ICAP) Die ursprüngliche IP-Adresse des Webservers (ICAP) Der Name des authentifizierten Webbenutzers (HTTP und ICAP) Der Name der Richtlinie, die das Ereignis ausgelöst hat Die ID der Richtlinie, die das Ereignis ausgelöst hat -Betreff (SMTP) Größe der Daten 294 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

295 Übersicht über Systemfunktionen Protokollierung, Warnungen und SNMP 5 Tabelle 5-47 Warnungs-Token für -Warnungen (Protokollierung und Warnungen) (Fortsetzung) Name des Tokens %AVDATVERSION%: %AVENGINEVERSION%: %ATTACHMENTNAME%: %ATTACHMENTNAME%: %BLOCKED_URL%: %BLOCKED_URL_ICAP%: %DLP_RULE%: %DLP_FINGERPRINTSOURCE%: %DLP_REPORT%: %FILESYSTEM%: %FILTERCONTEXT%: %SPAMSCORE%: %SPAMRULESBROKEN%: %SPAMTHRESHOLD%: %URL_CATEGORY%: Aggregierte Daten: %PRODUCT%: %EVENT%: %SMTPNUMMESSAGES%: %SMTPVIRUSDETECTED%: %SMTPPUPSDETECTED%: Die vom Antiviren-Modul verwendete DAT-Version (AV) Die Version des Antiviren-Moduls (AV) Name des gescannten Elements (AV, DLP) Name des gescannten Elements (Compliance) Der angeforderte URL, der von der Web-Kategorisierungs-Engine gesperrt wurde (URL) Der angeforderte URL, der von der Web-Kategorisierungs-Engine gesperrt wurde (URL) für ICAP REQMOD Die Kategorien für registrierte Dokumente, die ausgelöst wurden Der Name des registrierten Dokuments Ein detaillierter Bericht mit dem Dokumentnamen, dem Kategorienamen, der Größe und dem Digest der registrierten Dokumente Der Name des Dateisystems auf der Appliance (Systemereignisse) Der oder die Namen der Regeln, die ausgelöst haben (Compliance) Spam-Faktor (AS) Der oder die Namen der Spam-Regeln, die die Erkennung ausgelöst haben (AS) Schwellenwert für Spam-Berichte (AS) Die Filterkategorie des angeforderten URL (URL) Der Produktname Der Name des Ereignisses Die Anzahl der Nachrichten, die über SMTP empfangen wurden Die Anzahl der erkannten Viren (SMTP) Die Anzahl der erkannten PUPe (SMTP) %SMTPSPAMANDPHISHDETECTED%: Die Anzahl der erkannten Spam- und Phishing-Nachrichten (SMTP) %SMTPSENDERAUTH%: %SMTPCONTENTDETECTED%: %SMTPOTHERS%: %POP3NUMMESSAGES%: %POP3VIRUSDETECTED%: %POP3PUPSDETECTED%: %POP3SPAMANDPHISHDETECTED%: %POP3CONTENTDETECTED%: %POP3OTHERS%: Die Anzahl der Absenderauthentifizierungserkennungen Die Anzahl der Compliance-Erkennungen (SMTP) Die Anzahl sonstiger Erkennungen (SMTP) Die Anzahl der Nachrichten, die über POP3 empfangen wurden Die Anzahl der erkannten Viren (POP3) Die Anzahl der erkannten PUPe (POP3) Die Anzahl der erkannten Spam- und Phishing-Nachrichten (POP3) Die Anzahl der Compliance-Erkennungen (POP3) Die Anzahl sonstiger Erkennungen (POP3) and Web Security Appliances 5.6 Patch 1 Produkthandbuch 295

296 5 Übersicht über Systemfunktionen Protokollierung, Warnungen und SNMP Tabelle 5-47 Warnungs-Token für -Warnungen (Protokollierung und Warnungen) (Fortsetzung) Name des Tokens %HTTPNUMREQUESTS%: %HTTPVIRUSDETECTED%: %HTTPPUPSDETECTED%: %HTTPURL%: %HTTPSITEADVISOR%: %HTTPCONTENTDETECTED%: %HTTPOTHERS%: %ICAPNUMREQUESTS%: %ICAPVIRUSDETECTED%: %ICAPPUPSDETECTED%: %ICAPURL%: %ICAPSITEADVISOR%: %FTPNUMREQUESTS%: %FTPVIRUSDETECTED%: %FTPPUPSDETECTED%: %SPAMBLOCKEDRBL%: %SPAMDETECTED%: %SPAMBLOCKED%: %SPAMQUAR%: %CONTENTQUAR%: %VIRUSQUAR%: %SOURCEIP%: %ICAP_SOURCEIP%: %SOURCEHOST%: %ICAP_SOURCEHOST%: %DESTINATIONIP%: %DESTINATIONHOST%: %LOCALTIME%: %UTCTIME%: %WEBSHIELDNAME%: %WEBSHIELDIP%: %APPLICATION%: Die Anzahl der empfangenen HTTP-Anfragen Die Anzahl der erkannten Viren (HTTP) Die Anzahl der erkannten PUPe (HTTP) Die Anzahl der Web-Kategorisierungserkennungen (HTTP) Die Anzahl der SiteAdvisor -Erkennungen (HTTP) Die Anzahl der Compliance-Erkennungen (HTTP) Die Anzahl sonstiger Erkennungen (HTTP) Die Anzahl der empfangenen ICAP-Anfragen Die Anzahl der erkannten Viren (ICAP) Die Anzahl der erkannten PUPe (ICAP) Die Anzahl der URL-Web-Kategorisierungserkennungen (ICAP) Die Anzahl der SiteAdvisor -Erkennungen (ICAP) Die Anzahl der empfangenen FTP-Anfragen Die Anzahl der erkannten Viren (FTP) Die Anzahl der erkannten PUPe (FTP) Die Anzahl der mithilfe von RBLs erkannten Spam-Nachrichten Die Anzahl der erkannten Spam-Nachrichten Die Anzahl der verworfenen Spam-Nachrichten Die Anzahl der isolierten Spam-Nachrichten Die Anzahl der Nachrichten, die aus Compliance-Gründen isoliert wurden Die Anzahl der isolierten Virennachrichten Quell-IP-Adresse Quell-IP-Adresse für den ICAP-Server Quell-Host-Name Quell-Host-Name für den ICAP-Server Ziel-IP-Adresse Ziel-Host-Name Ortszeit UTC-Zeit Messaging and Web Security-Appliance-Name Messaging and Web Security-IP-Adresse Der Name des Prozesses, der das Ereignis generiert hat 296 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

297 Übersicht über Systemfunktionen Protokollierung, Warnungen und SNMP 5 SNMP-Warnungseinstellungen Mithilfe dieser Seite können Sie die SNMP-Warnungen, die die Appliance sendet, konfigurieren. System Protokollierung, Warnung und SNMP SNMP-Warnungseinstellungen Tabelle 5-48 sbeschreibungen Antiviren-Ereignisse bis Systemereignisse Trap-Manager, Community-Name, Protokollversion Bei Auswahl dieser en wird angegeben, welche Ereignistypen gesendet werden. Gibt verschiedene Details für SNMP-Trap-Manager an. SNMP-Überwachungseinstellungen Verwenden Sie diese Seite für Einstellungen, die es anderen Geräten ermöglichen, mit der Appliance per SNMP zu kommunizieren. System Protokollierung, Warnung und SNMP SNMP-Überwachungseinstellungen sbeschreibungen Grundlegende Einstellungen Name bis Community-Name Die Versionen 1 und 2 des SNMP-Protokolls verwenden den Community-Namen wie ein Kennwort. Der Community-Name ist bei jeder SNMP Get-Anforderung erforderlich, um den Zugriff auf die Appliance zuzulassen. Der standardmäßige Community-Name lautet "public". Wenn Sie über mehrere Appliances verfügen, ändern Sie den Standardnamen von Appliance. sbeschreibungen Sicherheitsoptionen (nur v3) Benutzername für Authentifizierung bis Für Konfigurations-Push speichern (einfacher Text) In Version 3 stehen sowohl Authentifizierung als auch Datenschutz zur Verfügung. Sie müssen den Benutzernamen und die Protokolle wie auch die Kennwörter für die Authentifizierung und den Datenschutz festlegen. Diese Einstellungen sind in den Konfigurations-Push-Vorgängen für die Appliance nicht enthalten, sofern Sie nicht Für Konfigurations-Push speichern (einfacher Text) auswählen. Beachten Sie dabei, dass bei Auswahl dieser die Konfigurationseinstellungen für das SNMP-v3-Protokoll auf der Appliance im Klartext gespeichert werden. sbeschreibungen Auf Steuerungsliste zugreifen Zugriffssteuerungsliste Die Appliance ist so eingestellt, dass SNMP-Anfragen von allen Geräten zugelassen werden. Wir empfehlen, diese Einstellungen zu ändern, um nur den Zugriff von bekannten Geräten aus zuzulassen. Geben Sie die IP-Adressnummern der Geräte an, die die MIB-Parameter der Appliance lesen können. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 297

298 5 Übersicht über Systemfunktionen Protokollierung, Warnungen und SNMP Systemprotokollereignisse Verwenden Sie diese Seite, um zwischen dem Standard- oder einem erweiterten Systemprotokoll zu wählen, und um die Ereignisse anzugeben, die im Systemprotokoll erfasst werden sollen. Darüber hinaus besteht hier die Möglichkeit, Protokolle an Off-Box-Server zu senden. System Protokollierung, Warnung und SNMP Systemprotokolleinstellungen Syslog ist eine Methode für das Zustellen von Protokollinformationen in einem Netzwerk, üblicherweise über UDP Port 514. Das Syslog-Protokoll und das -Nachrichtenformat sind in RFC 3164 definiert. Die erweiterte Protokollierung erstellt unter Verwendung von Syslog eine strukturierte Protokollausgabedatei. Die erweiterte Protokollierung stellt für jedes protokollierte Ereignis Name-Wert-Paare zur Verfügung. Tabelle 5-49 sbeschreibungen Systemprotokollereignisse aktivieren Ermöglicht das Sammeln von Systemprotokollinformationen (syslog), die an ein Protokollsystem der Appliance übertragen oder an eine Off-Box-Lösung gesendet werden. Wählen Sie das Protokollierungsformat aus, das Sie verwenden möchten. Diese erstellt eine strukturierte Protokollausgabedatei, die problemlos von Anwendungen anderer Hersteller gelesen und für die Generierung von benutzerdefinierten Berichten verwendet werden kann. Wegen der großen Menge generierter Daten sollte diese nur dann aktiviert werden, wenn TCP-Syslog verwendet wird. Folgende en stehen zur Auswahl: Original Splunk ArcSight Konversationsereignisse und aggregierte Datenereignisse werden vom erweiterten Protokollierungsformat nicht erfasst. Klicken Sie auf Systemprotokolle anzeigen, um die Protokolldateien der Appliance zu sehen. Ereignisse mit den folgenden Ereignistypen in der syslog-datei protokollieren: Geben Sie die Ereignisse an, die in der Syslog-Datei erfasst werden sollen. Um sehr umfangreiche Protokolldateien zu vermeiden, empfehlen wir, nur solche Ereignisse aufzuzeichnen, die genau überwacht werden sollen, und die Auswahl dieser Ereignisse nach Abschluss der Untersuchungen aufzuheben. Die Appliance kann keine Transportereignisse speichern, die von starkem Datenverkehr über lange Zeiträume verursacht werden. Wir empfehlen die Verwendung der "Off-Box-Syslog", um die Transportereignisse an einen zentralen Syslog-Server weiterzuleiten and Web Security Appliances 5.6 Patch 1 Produkthandbuch

299 Übersicht über Systemfunktionen Protokollierung, Warnungen und SNMP 5 Tabelle 5-49 sbeschreibungen (Fortsetzung) Off-Box-Systemprotokollierung Off-Box-Systemprotokollierung aktivieren Aktivieren Sie diese Einstellung, wenn Sie Systemprotokolle an Off-Box-Speicher senden möchten, und definieren Sie die Parameter für den Empfängerserver: Empfängerserver Gibt die IP-Adresse oder den Hostnamen des Servers an, der die Syslog-Informationen empfängt. IPv6-Protokoll verwenden Aktivieren Sie diese, wenn Sie Systemprotokollinformationen über ein IPv6-Netzwerk versenden. Port Geben Sie den Port an, der auf dem Empfängerserver für die Übertragung der Systemprotokollinformationen verwendet werden soll. Wenn Sie die Off-Box-Systemprotokollierung verwenden, können Sie für jeden konfigurierten Off-Box-Syslog-Server einen eigenen Port angeben. Protokoll TCP oder UDP. Gibt den Pakettyp an. UDP hat eine Grenze von 1024 Byte pro Paket. Server hinzufügen Sie können mehrere Off-Box-Server konfigurieren. Systemprotokollarchiv Senden von Archivkopien der -Protokolle an einen anderen Server und Einrichten eines Zeitplans zu diesem Zweck. Erweiterte Syslog-Attribute für ArcSight Mithilfe der erweiterten Syslog-Funktionen der Appliance können Sie externe Software von Drittanbietern wie beispielsweise ArcSight verwenden, um Syslog-Berichte zu generieren. Tabelle 5-50 Ereignisse für ArcSight Ereignis-ID Ereignisbeschreibung Protokollierung des -Status während der Verarbeitung Protokollierung des -Status während der Verarbeitung Protokollierung des -Status während der Verarbeitung durch McAfee Quarantine Manager Antiviren-Modul-Erkennung Inhaltsregelerkennung Anti-Spam-Klassifizierung Dateiformaterkennung Mail-Filter-Erkennung URL-Anfrage abgelehnt Compliance-Erkennung Data Loss Prevention-Erkennung Mail-Größenerkennung Scan mit regulärem Ausdruck fehlgeschlagen URL wurde aufgrund der Kategorisierung blockiert URL wurde aufgrund der Kategorisierung gecoacht Kategorisierter URL wurde zugelassen Kategorisierter URL wurde für einen überwachten Benutzer zugelassen and Web Security Appliances 5.6 Patch 1 Produkthandbuch 299

300 5 Übersicht über Systemfunktionen Protokollierung, Warnungen und SNMP Zuordnung von Geräteereignissen zu ArcSight-Datenfeldern Informationen, die in den herstellerspezifischen Ereignisdefinitionen enthalten sind, werden an den ArcSight SmartConnector gesendet und dann einem ArcSight-Datenfeld zugeordnet. Folgende Tabelle enthält die Zuordnungen zwischen den ArcSight-Datenfeldern und den unterstützten herstellerspezifischen Ereignisdefinitionen. Tabelle 5-51 Connector-Feldzuordnungen für and Web Security Appliance v5.6 McAfee-spezifische Ereignisdefinitionen Für das Ereignis ausgeführte Aktion: ESERVICES:REPLACE - Durch Warnung ersetzen. WEBSHIELD:REFUSEORIGINAL - ablehnen. WEBSHIELD:ACCEPTANDDROP - annehmen und verwerfen. ESERVICES:ALLOWTHRU - durchlassen. WEBSHIELD:DENYCONNECTION - ablehnen und Verbindung für eine bestimmte Zeit verweigern. Protokoll Beschreibende Nachricht für das Ereignis Für das Scannen verantwortlicher Host Ziel-IP-Adresse der Verbindung (sofern verfügbar) Ziel-Host-Name der Verbindung (sofern verfügbar) Ursprüngliche IP-Adresse des Hosts, der die Verbindung hergestellt hat src Ursprünglicher Name des Hosts, der die Verbindung hergestellt hat Absender der Eine Liste der Empfänger- -Adressen Ob eingehend (0) oder ausgehend(1), entsprechend der Richtliniendefinition des Administrators Name der aktiven Richtlinie Name der Datei, in der die Erkennung erfolgte Eindeutige ID, die jeder -Nachricht zugewiesen wird Nachrichtengröße in Byte Zeit des Ereignisses, in Millisekunden seit dem Unix-Zeitstempel URL, der die Generierung des Ereignisses verursacht hat Ursachen-ID des Ereignisses. Eine textliche finden Sie beim Feld "msg" "reason-id" Die Definition dieses Felds hängt vom Wert des Felds "cs5" ab: Wenn cs5 den Wert "AV", "PA" oder "PU" enthält: Der Name des erkannten Virus/Komprimierungsprogramms/PUP. Wenn cs5 "AS" enthält: Die Spam-Regeln, die das Ereignis ausgelöst haben. Wenn cs5 "DL" enthält: Die Datei, die die DLP-Regel ausgelöst hat. Wenn cs5 "FF" enthält: Die Dateiregel, die das Ereignis ausgelöst hat. Wenn cs5 "PX" enthält: Die Inhaltsregel, die das Ereignis ausgelöst hat. Die Definition dieses Felds hängt vom Wert des Felds "cs5" ab: Wenn cs5 den Wert "AV", "PA" oder "PU" enthält: "virus-names". Wenn cs5 "AS" enthält: "spam-rules-broken". Wenn cs5 "DL" enthält: "dlpfile". Wenn cs5 "FF" enthält: "content-rules". Wenn cs5 "PX" enthält: "content-rules". ArcSight-Ereignisdatenfeld act app msg dvc dst dhost shost suser duser devicedirection sourceservicename filepath fileid fsize rt Anforderung flexnumber1 flexnumber1label cs1 cs1label 300 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

301 Übersicht über Systemfunktionen Protokollierung, Warnungen und SNMP 5 Tabelle 5-51 Connector-Feldzuordnungen für and Web Security Appliance v5.6 (Fortsetzung) McAfee-spezifische Ereignisdefinitionen Die Definition dieses Felds hängt vom Wert des Felds "cs5" ab: Wenn cs5 den Wert "AV", "PA" oder "PU" enthält: Die Version des Antiviren-Moduls. Wenn cs5 "AS" enthält: Der Spam-Faktor. Wenn cs5 "DL" enthält: Die DLP-Kategorien, die ausgelöst haben. Wenn cs5 "PX" enthält: Die Begriffe, die das Inhaltsfilterereignis verursacht haben. Die Definition dieses Felds hängt vom Wert des Felds "cs5" ab: Wenn cs5 den Wert "AV", "PA" oder "PU" enthält: "av-engine-version". Wenn cs5 "AS" enthält: "spam-score". Wenn cs5 "DL" enthält: "dlp-rules". Wenn cs5 "PX" enthält: "compliance-terms". Die Definition dieses Felds hängt vom Wert des Felds "cs5" ab: Wenn cs5 "AS" enthält: Der Schwellenwert, der von der Nachricht überschritten wurde Die Definition dieses Felds hängt vom Wert des Felds "cs5" ab: Wenn cs5 "AS" enthält: "spam-threshold-score". Die Anhänge der (sofern verfügbar) " -attachments" Bei einem Erkennungsereignis der Scanner, der das Ereignis ausgelöst hat: "AP" - Anti-Phishing. "AS" - Anti-Spam. "AV" - Antivirus. "DL" - Data Loss Prevention. "FF" - Dateifilterung. "MF" - Mail-Filterung. "MS" - Mail-Größe. "PA" - Komprimierungsprogramm. "PU" - Potenziell unerwünschtes Programm. "PX" - Compliance "SA" - SiteAdvisor. "UF" - URL-Filterung. "master-scan-type" Betreff der " -subject" Zeigt an, ob die ausgeführte Aktion die für das Ereignis die definierte Hauptaktion ist. 1 steht für die primäre Aktion. "is-primary-action" Anzahl der Anhänge in der (sofern verfügbar) "num- -attachments" Anzahl der Empfänger der "num- -recipients" ArcSight-Ereignisdatenfeld cs2 cs2label cs3 cs3label cs4 cs4label cs5 cs5label cs6 cs6label cn1 cn1label cn2 cn2label cn3 cn3label Erweiterte Syslog-Attribute für Splunk Mithilfe der erweiterten Syslog-Funktionen der Appliance können Sie externe Software von Drittanbietern wie beispielsweise Splunk verwenden, um Syslog-Berichte zu generieren. Tabelle 5-52 Erweiterte Syslog-Attribute für Splunk Syslog-Eintrag Hinweise Beispiel Zeit und Name der Appliance 30. Dez. 10:58:10 Appliance1 app Protokoll Smtp Name Eine des Ereignisses Antiviren-Modul-Erkennung policy_name Name der aktiven Richtlinie Meine Richtlinie - Hinweis: smtp_master bezieht sich auf die Standardrichtlinie and Web Security Appliances 5.6 Patch 1 Produkthandbuch 301

302 5 Übersicht über Systemfunktionen Protokollierung, Warnungen und SNMP Tabelle 5-52 Erweiterte Syslog-Attribute für Splunk (Fortsetzung) Syslog-Eintrag Hinweise Beispiel dvc_host Host, der in einer Blade-Umgebung für das Scannen verantwortlich ist Appliance1 event_id Ereignis-ID reason_id Ursachen-ID Säubern direction src_ip src_host dest_ip dest_host is_primary_action scanner action status Ob eingehend (0) oder ausgehend(1), entsprechend der Richtliniendefinition des Administrators Ursprüngliche Client-IP-Adresse des Hosts, der die gesendet hat Ursprünglicher Client-Host-Name, sofern verfügbar Ziel-Client-IP-Adresse des Hosts, der die gesendet hat Ziel-Client-Host-Name, sofern verfügbar Zeigt an, ob die ausgeführte Aktion die für das Ereignis die definierte Hauptaktion ist. 1 steht für die primäre Aktion. Welcher Scanner das Ereignis erkannt hat Für das Ereignis ausgeführte Aktion Beschreibende Nachricht für das Ereignis Ersetzen PUP-Erkennung Komprimierungsprogramm-Erkennung 0, 1 0,1 AV - Antivirus ESERVICES:REPLACE - Durch Warnung ersetzen. WEBSHIELD:REFUSEORIGINAL - ablehnen. WEBSHIELD:ACCEPTANDDROP - annehmen und verwerfen. ESERVICES:ALLOWTHRU - durchlassen. WEBSHIELD:DENYCONNECTION - ablehnen und Verbindung für eine bestimmte Zeit verweigern. Der Inhalt wurde als nicht säuberungsfähig kategorisiert sender Absender der <a@somewhere.com> recipient msgid nrcpts Eine Liste der Empfänger- -Adressen Eindeutige ID, die jeder -Nachricht zugewiesen wird Anzahl der Empfänger der <testuser@domain.com>, <anotheruser@domain.com>, <user@domain.com> and Web Security Appliances 5.6 Patch 1 Produkthandbuch

303 Übersicht über Systemfunktionen Protokollierung, Warnungen und SNMP 5 Tabelle 5-52 Erweiterte Syslog-Attribute für Splunk (Fortsetzung) Syslog-Eintrag Hinweise Beispiel relay Adresse des nächsten MTA, an den die gesendet würde, sofern bekannt subject Betreff der Betreffzeile size Nachrichtengröße in Byte 231 attachments number_attachments virus_name file_name spamscore spamthreshold spamrules URL contentrule content_terms tz tz_offset dlpfile Die Anhänge der (optional) Anzahl der Anhänge in der (optional) Der Name des erkannten Virus Name der Datei, in der die Erkennung erfolgte Der Spam-Faktor dieser Nachricht Der Schwellenwert, der überschritten wurde Liste der Regeln, anhand derer der Status als "Spam" ermittelt wurde URL, der die Generierung des Ereignisses verursacht hat Die Regel, die das Ereignis verursacht hat Die Begriffe, die das Inhaltsfilterereignis verursacht haben Die Zeitzone, in der das Ereignis generiert wurde Die verwendete Zeitdifferenz der Zeitzone, in der das Ereignis generiert wurde Der Dateiname des registrierten Dokuments, das den DLP-Auslöser ausgelöst hat datei1.doc, datei2.doc 2 EICAR-Testdatei eicar_com.zip UTC TestSpecTemplate.doc dlprules Die DLP-Kategorie Buchhaltung dlpclassification Die DLP-Kategorie Buchhaltung dlpfileuploaded dlpfiledigest Zeitpunkt des Uploads im UTC-Format Der Digest des registrierten Dokuments :13:47 6e70e63d3dadfc331b917696bda46c04ed2c8de0 and Web Security Appliances 5.6 Patch 1 Produkthandbuch 303

304 5 Übersicht über Systemfunktionen Protokollierung, Warnungen und SNMP Tabelle 5-52 Erweiterte Syslog-Attribute für Splunk (Fortsetzung) Syslog-Eintrag Hinweise Beispiel dlpfilesize Die Dateigröße des registrierten Dokuments in Byte url_filter_categorization Bei einer URL-Erkennung die Kategorie, in der die Erkennung erfolgte. Tabelle 5-53 Glossar Pornografie event_id Name Scanner Status Antiviren-Modul-Erkennung AV (Antivirus) Anti-Spam-Klassifizierung AS (Anti-Spam) Anti-Spam-Klassifizierung AP (Anti-Phishing) Dateiformaterkennung FF (Formatblockierung) MIME-Formaterkennung MF (MIME-Format) URL-Anfrage abgelehnt UF (URL-Filterung) Compliance-Erkennung PX (Compliance) Data Loss Prevention-Erkennung DL (Data Loss Prevention) Mail-Größenerkennung MS (Mail-Größe) URL wurde aufgrund der Kategorisierung blockiert SA (SiteAdvisor) reason_id Text 77 Zugestellte -Nachrichten 83 Zurückgestellte s 142 Zugriff auf angeforderten URL ist unzulässig 145 Säubern 146 Ersetzen 161 Inhalt wurde als Spam kategorisiert 206 Inhalt wurde als Nicht-Spam kategorisiert 305 mit SMTP-Code 550 blockiert 306 akzeptiert und verworfen 420 mit SMTP-Code 550 blockiert. Verbindung geschlossen 611 URL vom URL-Filter kategorisiert 623 Phishing-Erkennung 624 PUP 625 Komprimierungsprogramm 689 DLP 728 Compliance 737 Die nicht zustellbare wurde gebounct 304 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

305 Übersicht über Systemfunktionen Protokollierung, Warnungen und SNMP 5 WebReporter Verwenden Sie diese Seite, um Daten zur Webaktivität von der Appliance auf einen anderen Computer zu exportieren, auf dem mithilfe anderer Software Berichte erstellt werden können. System Protokollierung, Warnung und SNMP WebReporter Tabelle 5-54 sbeschreibungen WebReporter aktivieren URL, Benutzername, Kennwort Nach Übertragung löschen Schwellenwert für das Löschen Übertragungsintervall HTTP-Proxyeinstellungen Wenn diese nicht aktiviert ist, speichert die Appliance die Daten in eigenen Protokollen. Gibt Verbindungsdetails für den Zugriff auf die Berichtssoftware an. Für Web Reporter weist der URL typischerweise das folgende Format auf: Für die sichere Kommunikation verwenden Sie https und Port Wählen Sie diese, um Ereignisse nach dem Übertragen an Web Reporter aus der Datenbank auf der Appliance zu entfernen. Gibt an, wie viele Ereignisse die Appliance sammelt, bevor sie die Daten an die Web Reporter-Software sendet. Gibt das Zeitintervall (in Minuten) zwischen den Datenübertragungen an Web Reporter an. Gibt Details zum Proxyserver an, falls Web Reporter auf einem Proxyserver gehostet ist. Protokollierungskonfiguration Verwenden Sie diese Seite, um anzugeben, welche Ereignisse in den Protokollen der Appliance aufgezeichnet werden. System Protokollierung, Warnung und SNMP Protokollierungskonfiguration Obwohl die Appliance viele Ereignistypen in den Protokollen aufzeichnen kann, werden in der Regel nur die schwerwiegendsten Ereignisse benötigt. Tabelle 5-55 sbeschreibungen Protokollereignisse Kommunikationsereignisse Bietet eine Liste mit Protokollereignistypen. Zu den Ereignissen mit hohem Schweregrad zählen potenzielle Denial-of-Service-Angriffe. Bietet eine Liste mit Kommunikationsereignistypen. Zu den Ereignissen mit hohem Schweregrad zählt der Ausfall eines Scanners. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 305

306 5 Übersicht über Systemfunktionen Komponentenverwaltung Tabelle 5-55 sbeschreibungen (Fortsetzung) Erkennungsereignisse Erweitert Bietet eine Auswahl an verschiedenen Ereignissen, z. B. Virenerkennungen. Durch Klicken auf diese wird ein weiteres Fenster geöffnet, in dem Sie die Einstellungen für jedes Ereignis überprüfen und auswählen können, welche Ereignisse protokolliert bzw. ignoriert werden. Folgende Informationen sind verfügbar: Aktiviert Gibt an, ob das Ereignis jetzt im Protokoll aufgezeichnet wird. ID Die Ereignisnummer (z. B ), die im Protokoll zusammen mit der Uhrzeit und dem Datum des Ereignisses aufgezeichnet wird Ebene Ein Symbol, das auf den Schweregrad des Ereignisses hinweist: Hohe Priorität. Wir empfehlen, dieses Ereignis im Protokoll aufzuzeichnen. Mittlere Priorität Niedrige Priorität. Hohes Volumen Ein Symbol, das angibt, wie häufig dieses Ereignis auftritt: Das Ereignis kann ein hohes Volumen an Protokolleinträgen generieren. Eine des Ereignisses (z. B. "Quarantäne"). Komponentenverwaltung Der Bereich zur Komponentenverwaltung der Benutzeroberfläche ermöglicht Ihnen, den Status der Aktualisierungen einzusehen und en für das Paketinstallationsprogramm und epolicy Orchestrator anzugeben. Inhalt Aktualisierungsstatus Paketinstallationsprogramm epo Aktualisierungsstatus Auf dieser Seite können Sie überprüfen, ob jede Scan-Komponente die neuesten Bedrohungserkennungsdaten verwendet, um die Sicherheit Ihrer Appliance aufrechtzuerhalten. System Komponentenverwaltung Aktualisierungsstatus Vorteile der Verwendung des Aktualisierungsstatus Auf der Seite Aktualisierungsstatus können Sie Aktualisierungen für die folgenden Scan-Komponenten verwalten: Antiviren-Modul und -Datenbank Spam-Regeln und Anti-Spam-Modul Web-Kategorisierungsdatenbank 306 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

307 Übersicht über Systemfunktionen Komponentenverwaltung 5 Appliance-Software-Updates (Hotfixes und Patches) Extra-DAT-Notfallaktualisierungsdatei Sie können Scan-Komponenten sofort aktualisieren und Pläne erstellen, um die Komponenten regelmäßig zu aktualisieren, wenn wenig Server-Datenverkehr vorhanden ist. Darüber hinaus können Sie veranlassen, dass die Appliance Anti-Virus-Modul- und Datenbank-Dateien vom Update-Server importiert und auf andere mit dem Internet verbundene Appliances exportiert. McAfee empfiehlt, alle Scan-Komponenten auf einer neuen Appliance mithilfe der en für Jetzt aktualisieren zu aktualisieren und anschließend die Zeitplanoptionen für jede Komponente zu verwenden, um regelmäßige Updates für einen Zeitpunkt zu planen, an dem der Datenverkehr gering ist, beispielsweise in der Nacht. Um Appliance-Software-Aktualisierungen wie Hotfixes und Patches zu übernehmen, navigieren Sie zu System Komponentenverwaltung Paketinstallationsprogramm. Diese Version der and Web Security Appliances unterstützt keine Erkennungsdefinitionsdateien (DAT) der Version 1 mehr. Die Appliances verwenden nun den McAfee Agent, um das Aktualisieren von v2-dat-dateien und Scan-Modul-Dateien zu verarbeiten auch wenn kein epolicy Orchestrator-Server in Ihrem Netzwerk konfiguriert ist. Wenn Sie keinen epolicy Orchestrator-Server verwenden, können Sie nun Ihre Appliance so konfigurieren, dass FTP oder HTTP verwendet wird, um v2-dat-dateien und Scan-Modul-Dateien herunterzuladen. Diese DAT-Datei- und Scan-Modul-Updates erhalten Sie über epolicy Orchestrator oder mithilfe des McAfee Agent über das epolicy Orchestrator-Repository. Sie können die Dateien auch manuell herunterladen und auf Ihrer Appliance installieren. Sie können die Seiten zum Aktualisierungsstatus nicht dazu verwenden, die PDB-Dateien der Hardware-Beschleunigung zu aktualisieren, die von älterer Hardware verwendet werden, in denen Hardware-Beschleunigungskarten eingebaut sind. Tabelle 5-56 Versionsinformationen und Aktualisierungen sbeschreibungen Warnungsschwellenwerte bearbeiten Komponentenname Durch Klicken auf diese wird ein weiteres Fenster geöffnet, in dem Sie die Stelle ändern können, an der ein Symbol angezeigt wird. Diese Seite kann beispielsweise ein gelbes Warnhinweisdreieck anzeigen, wenn Antiviren-Updates für einen Zeitraum von 2 anstelle von 3 Tagen nicht aktualisiert wurden. Zeigt den Komponentennamen an sowie davor ein Symbol, das angibt, ob die Komponente aktuell ist: Aktuell. Veraltet. Wir empfehlen, dass Sie bald aktualisieren. Veraltet. Wir empfehlen, dass Sie umgehend aktualisieren. Version Aktualisierungsstatus Letzte Aktualisierung Zeigt die Version der Komponente an. Zeigt Informationen zum Status jeder installierten Komponente an. Zeigt das Datum und die Uhrzeit an, zu der jede installierte Komponente zuletzt aktualisiert wurde. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 307

308 5 Übersicht über Systemfunktionen Komponentenverwaltung Tabelle 5-56 Versionsinformationen und Aktualisierungen sbeschreibungen (Fortsetzung) Geplant Zeigt den Zeitplan an, z. B.Jeden Tag um 03:00. Klicken Sie auf den blauen Link, um den Ort zu ändern, von dem die Appliance die Komponente und den Zeitplan abruft. Ein Assistent wird geöffnet. Maßnahme Importieren Exportieren Jetzt aktualisieren Durch Klicken auf diese werden Komponenten sofort aktualisiert und es wird nicht auf die geplante Aktualisierung gewartet. Konfigurieren Öffnet ein Fenster, in dem Sie einen Proxyserver angeben können, von dem die Appliance die Aktualisierung herunterlädt, oder bereits eingegebene Standardeinstellungen für den Server akzeptieren können. Klicken Sie auf Importieren, um die zuvor aus dieser oder einer anderen Appliance exportierten Modul- und Datenbankdateien zu installieren. Klicken Sie auf Exportieren, um eine ZIP-Datei zu erstellen, die die derzeit auf der Appliance installierten Modul- und Datenbankdateien enthält. Sie können die Elemente Antiviren-Modul Antiviren-Datenbank Spam-Modul Spam-Regeln URL-Filterdatenbank in die exportierte Datei einbeziehen. Wenn Sie die ZIP-Datei mit den Updates importieren, werden alle darin enthaltenen Updates auf Ihre Appliance importiert. Wenn Sie nicht möchten, dass ein bestimmtes Update angewendet wird, empfiehlt McAfee, dieses Update beim Exportieren der Update-Datei nicht einzuschließen. Tabelle 5-57 Automatische Paketaktualisierungen sbeschreibungen Update geplant Jetzt aktualisieren Wenn Sie auf den Link klicken, wird ein Assistent geöffnet, in dem Sie den Typ, die Quelle und den Zeitplan für das Installieren von Paketen angeben können, wie Hotfixes und Service Packs. Installiert die Pakete sofort. Sie können en für die Verarbeitung der Paketaktualisierung auswählen. Wenn Sie Ihre Appliance zum ersten Mal konfigurieren, können Sie mit Jetzt aktualisieren überprüfen, ob die Benutzereinstellungen ordnungsgemäß konfiguriert sind und funktionieren. Alternativ können Sie zu Fehlerbehebung Tests navigieren und die Systemtests durchführen, um die Einstellungen zu überprüfen. Tabelle 5-58 Antivirus-Extra-DAT sbeschreibungen Extra-DAT installieren Zusätzliche DAT-Datei entfernen Öffnet einen Dateibrowser für die Installation von beliebigen Extra-DAT-Dateien. Wenn bei Ihnen vorhandene Extra-DAT-Dateien installiert sind, können Sie diese mithilfe dieser entfernen, nachdem der zusätzliche Schutz zu den Standard-DAT-Dateien hinzugefügt wurde and Web Security Appliances 5.6 Patch 1 Produkthandbuch

309 Übersicht über Systemfunktionen Komponentenverwaltung 5 Standardeinstellungen für die Aktualisierung des Antiviren-Moduls und der Antiviren-Datenbank Standardmäßig ist die Appliance so eingestellt, dass das Antiviren-Modul und die Antiviren-Datenbank jeden Tag um 03:00 Uhr aktualisiert werden, wobei zuerst HTTP zum Herunterladen der Aktualisierungsdatei und anschließend FTP verwendet wird, falls die HTTP-Aktualisierung fehlgeschlagen ist. Vorgehensweise Aktualisieren des Antiviren-Moduls und der Antiviren-Datenbank täglich um 04:00 Uhr über HTTP mit einem Proxyserver 1 Navigieren Sie zu System Komponentenverwaltung Aktualisierungsstatus. 2 Klicken Sie auf den Link in der Spalte "Geplant" für die Antiviren-Modul-Komponente. 3 Behalten Sie auf der Seite "Servereinstellungen zum Herunterladen des Updates über HTTP angeben" die Standardeinstellungen bei, und klicken Sie auf Weiter. Für die Aktualisierung wir der Proxyserver verwendet, den Sie unter System Appliance-Verwaltung Standardeinstellungen des Servers eingerichtet haben. 4 Wählen Sie unter "Auswählen, wie die McAfee-FTP-Update-Website verwendet werden soll" die Nicht verwendet aus, und klicken Sie auf Weiter. 5 Wählen Sie unter "Zeit, für die das Update geplant werden soll" die Täglich aus, und setzen Sie die Zeit auf Klicken Sie anschließend auf Fertig stellen. Vorgehensweise Aktualisieren des Spam-Moduls täglich um 05:00 Uhr 1 Navigieren Sie zu System Komponentenverwaltung Aktualisierungsstatus. 2 Klicken Sie auf den Link in der Spalte "Geplant" für die Spam-Modul-Komponente. 3 Klicken Sie auf Weiter, damit für die Aktualisierung die standardmäßigen FTP-Update-Server-Einstellungen verwendet werden. 4 Wählen Sie unter "Zeit, für die das Update geplant werden soll" die Täglich aus, und setzen Sie die Zeit auf Klicken Sie anschließend auf Fertig stellen. Vorgehensweise Tägliches Aktualisieren der Web-Kategorisierungsdatenbank mithilfe der Funktion für die inkrementelle Aktualisierung Durch die Verwendung der Funktion Inkrementell für die Aktualisierung wird die Aktualisierungsdatei so klein wie möglich gehalten. 1 Navigieren Sie zu System Komponentenverwaltung Aktualisierungsstatus. 2 Klicken Sie auf den Link in der Spalte "Geplant" für die Web-Kategorisierungsdatenbank-Komponente. 3 Klicken Sie auf Weiter, damit für die Aktualisierung die standardmäßigen Update-Server-Einstellungen verwendet werden. 4 Wählen Sie unter "Wählen Sie aus, wie die Web-Kategorisierungsdatenbank aktualisiert werden soll" die Inkrementell aus, und klicken Sie anschließend auf Weiter. 5 Wählen Sie unter "Zeit, für die das Update geplant werden soll" die Täglich aus. Legen Sie die Uhrzeit fest, zu der die Aktualisierung durchgeführt werden soll, und klicken Sie anschließend auf Fertig stellen. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 309

310 5 Übersicht über Systemfunktionen Komponentenverwaltung Servereinstellungen zum Herunterladen des Updates über HTTP angeben Auf dieser Seite können Sie Einstellungen für das Antiviren-Modul und das Antiviren-Datenbank-Update über HTTP angeben. System Komponentenverwaltung Aktualisierungsstatus Einführung zu den HTTP-Update-Einstellungen Sie können den HTTP-Update-Server als primäre oder sekundäre Update-Site verwenden oder HTTP als Update-Methode ausschalten. Wenn die HTTP-Update-Methode fehlschlägt, können Sie mit der nächsten Seite des Assistenten fortfahren und eine FTP-Update-Site einrichten. Tabelle 5-59 sbeschreibungen Verwendung der HTTP-Update-Website Server Der Standardwert lautet "Primäre Website". Wenn die Appliance ihre Updates von einem epo-server erhält, lautet der Wert Nicht verwendet. Der Standardwert lautet update.nai.com. Port Der Standardwert ist 80. Verzeichnis Für Antiviren-Updates lautet der Standardwert /virusdef/4.x Für Anti-Spam-Updates lautet der Standardwert spamdefs/1.x Products/CommonUpdater Benutzername Kennwort Standardmäßige Proxyeinstellungen verwenden (Standards konfigurieren) Proxyserver bis Proxy-Kennwort Der Standardwert ist "anonymous". Der Standardwert ist "anonymous". Die Appliance verwendet Informationen, die Sie hier eingeben, oder die Standardeinstellungen von einer anderen Seite. Wählen Sie in der Navigationsleiste System Appliance-Verwaltung Standardeinstellungen des Servers, um zu einem anderen Zeitpunkt auf die Seite zuzugreifen. Wenn die Appliance Updates über einen Proxyserver erhält, geben Sie hier die Details ein. Servereinstellungen zum Herunterladen des Updates über FTP angeben Auf dieser Seite können Sie Einstellungen für das Antiviren-Modul und das Datenbank-Update über FTP angeben. System Komponentenverwaltung Aktualisierungsstatus Einführung zu den FTP-Update-Einstellungen Sie können ein Antiviren-Update mit einem FTP-Server durchführen, wenn ein HTTP-Update fehlschlägt, oder FTP als Update-Methode ausschalten. Tabelle 5-60 sbeschreibungen Verwendung der FTP-Update-Website Server Der Standardwert lautet "Sekundäre Website". Wenn die Appliance ihre Updates von einem epo-server erhält, lautet der Wert Nicht verwendet. Der Standardwert lautet ftp.nai.com. Port Der Standardwert ist 21. Verzeichnis Benutzername Für Antiviren-Updates lautet der Standardwert /virusdef/4.x Der Standardwert ist "anonymous" and Web Security Appliances 5.6 Patch 1 Produkthandbuch

311 Übersicht über Systemfunktionen Komponentenverwaltung 5 Tabelle 5-60 sbeschreibungen (Fortsetzung) Kennwort Standardmäßige Proxyeinstellungen verwenden (Standards konfigurieren) Proxyserver bis Proxy-Kennwort Der Standardwert ist "anonymous". Die Appliance verwendet Informationen, die Sie hier eingeben, oder die Standardeinstellungen von einer anderen Seite. Wählen Sie in der Navigationsleiste System Appliance-Verwaltung Standardeinstellungen des Servers, um zu einem anderen Zeitpunkt auf die Seite zuzugreifen. Wenn die Appliance Updates über einen Proxyserver erhält, geben Sie hier die Details ein. Zeit, für die das Update geplant werden soll Auf dieser Seite können Sie geplante Updates, Antiviren-, Anti-Spam-, Web-Kategorisierungs- und Paket-Updates einrichten. System Komponentenverwaltung Aktualisierungsstatus Einführung zu den Einstellungen für geplante Updates Sie können Updates für die folgenden Scan-Komponenten planen: Antiviren-Modul und -Datenbank Spam-Regeln und Anti-Spam-Modul Web-Kategorisierungsdatenbank Appliance-Software-Updates (Hotfixes und Patches) McAfee empfiehlt, alle Scan-Komponenten auf einer neuen Appliance mithilfe der Funktion "Jetzt aktualisieren" zu aktualisieren und anschließend die Planungsfunktion für jede Komponente zu verwenden, um regelmäßige Updates für einen Zeitpunkt zu planen, an dem der Datenverkehr gering ist, beispielsweise in der Nacht. Tabelle 5-61 sbeschreibungen Stündlich bis Wöchentlich Fertig stellen Gibt den Zeitplan für die Updates an. Wenn Sie diese Funktion nicht benötigen, wählen Sie Nie aus. Schließt den Assistenten und übernimmt die Einstellungen. Servereinstellungen zum Herunterladen von Spam-Updates angeben Auf dieser Seite können Sie Anti-Spam-Regeln und Update-Einstellungen für das Anti-Spam-Modul und die Web-Kategorisierungsdatenbank angeben. System Komponentenverwaltung Aktualisierungsstatus Einführung zu den Spam-Update-Server-Einstellungen Alle Anti-Spam-Regeln und Anti-Spam-Modul-Updates werden über FTP durchgeführt. Tabelle 5-62 sbeschreibungen Server Der Standardwert lautet ftp.nai.com. Port Der Standardwert ist 21. Verzeichnis Für Anti-Spam-Updates lautet der Standardwert spamdefs/1.x and Web Security Appliances 5.6 Patch 1 Produkthandbuch 311

312 5 Übersicht über Systemfunktionen Komponentenverwaltung Tabelle 5-62 sbeschreibungen (Fortsetzung) Benutzername Kennwort Standardmäßige Proxyeinstellungen verwenden (Standards konfigurieren) Proxyserver bis Proxy-Kennwort Der Standardwert ist "anonymous". Der Standardwert ist "anonymous". Die Appliance verwendet Informationen, die Sie hier eingeben, oder die Standardeinstellungen von einer anderen Seite. Wählen Sie in der Navigationsleiste System Appliance-Verwaltung Standardeinstellungen des Servers, um zu einem anderen Zeitpunkt auf die Seite zuzugreifen. Wenn die Appliance Updates über einen Proxyserver erhält, geben Sie hier die Details ein. Web-Kategorisierungsaktualisierungen konfigurieren Auf dieser Seite können Sie den Update-Typ für die Web-Kategorisierungsdatenbank angeben: vollständig oder inkrementell. System Komponentenverwaltung Aktualisierungsstatus Web-Kategorisierungsdatenbank Jetzt aktualisieren Tabelle 5-63 sbeschreibungen Inkrementell Vollständig Klicken Sie hier, damit nur die Teile des Updates heruntergeladen werden, die für vollständige Update-Informationen erforderlich sind. Dadurch wird die Download-Größe auf ein Minimum beschränkt. Klicken Sie hier, um das vollständige Update für die Web-Kategorisierungsdatenbank herunterzuladen. McAfee empfiehlt, auf einer neuen Appliance ein vollständiges Update durchzuführen. Automatische Paket-Updates konfigurieren Auf dieser Seite können Sie die Paket-Updates für die Appliance-Software sofort aktualisieren. System Komponentenverwaltung Aktualisierungsstatus Sie können angeben, wie die Appliance das Paket abrufen soll, welcher Pakettyp angewendet werden soll und welche Schritte die Appliance nach dem Herunterladen des Updates ausführen soll. Tabelle 5-64 sbeschreibungen Aktion aktualisieren Folgende en stehen zur Auswahl: Datenbank aktualisieren Herunterladen Herunterladen und installieren Automatischen Neustart zulassen und Automatischen Diensteneustart zulassen Feature Packs bis Hotfixes Gibt die Aktion an, die die Appliance beim Erhalt neuer Software durchführt. Gibt den Typ der herunterzuladenden neuen Software an. Paketinstallationsprogramm Verwenden Sie diese Seite, um neue Software-Pakete zu untersuchen und zu installieren. System Komponentenverwaltung Paketinstallation 312 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

313 Übersicht über Systemfunktionen Komponentenverwaltung 5 Vorteile bei der Aktualisierung von Software-Paketen Über die Seite Paketinstallationsprogramm können Sie Informationen zu den installierten Software-Paketen der Appliance anzeigen, z..b. Patches und Hotfixes, und diese sofort aktualisieren, um Ihre Appliance so aktuell wie möglich zu halten. McAfee empfiehlt, dass Sie die Software-Pakete auf einer neuen Appliance manuell mit der Von Datei aktualisieren aktualisieren und anschließend zu den Zeitplanoptionen unter System Komponentenverwaltung Aktualisierungsstatus unter "Automatische Paketaktualisierungen" navigieren. Planen Sie dort regelmäßige Updates für einen Zeitpunkt, an dem der Datenverkehr gering ist, beispielsweise in der Nacht. Tabelle 5-65 sbeschreibungen Von Datei aktualisieren Pakettyp Name Schweregrad Status Erforderliche Aktionen Anmerkungen Durch Klicken auf diese wird ein neues Fenster geöffnet, in dem Sie eine Datei aus einer lokalen Datenquelle auswählen und in die Appliance hochladen können. Zeigt den Pakettyp an, z. B. Service Pack oder Hotfix. Zeigt einen Namen an, der zur eindeutigen Identifikation des Pakets dient. Zeigt beispielsweise an, ob wir Ihnen dringend empfehlen, das Paket zu installieren, oder Ihnen die Wahl lassen. Zeigt beispielsweise an, ob das Paket heruntergeladen oder installiert wurde. Zeigt beispielsweise an, ob die Appliance nach der Installation von neuen Paketen neu gestartet werden muss. Weist auf Abhängigkeiten oder Anforderungen hin, beispielsweise ob ein Patch eine vorhergehende Installation ersetzt. Klicken Sie auf einen beliebigen Link Details, um weitere Informationen anzuzeigen, wie behobene Probleme und Informationen der KnowledgeBase. Installation Herunterladen Exportieren Aktualisieren Übernehmen Wenn Sie auf diese klicken, wird der Patch zur Installation vorbereitet. Der Patch wird installiert, wenn Sie auf Anwenden klicken. Wenn Sie auf diese klicken, wird der Patch zum Download vorbereitet. Der Patch wird heruntergeladen, wenn Sie auf Anwenden klicken. Wenn Sie auf diese klicken, wird die heruntergeladene Datei an einen anderen Speicherort exportiert, sodass sie über die Manuelle Paketinstallation von einer anderen Appliance verwendet werden kann. Wenn Sie auf diese klicken, wird der FTP-Server auf Änderungen geprüft. Wenn Sie auf diese klicken, werden die von Ihnen angegebenen Patches installiert oder heruntergeladen. epo Verwenden Sie diese Seite, um die Appliance, die von epolicy Orchestrator verwaltet werden soll, manuell einzurichten. System Komponentenverwaltung epo Die Informationen und Einstellungen auf dieser Seite bieten ähnliche Funktionen wie die, die auch auf den Seiten Einrichten der Verwaltung durch epo des Setup-Assistenten verfügbar sind and Web Security Appliances 5.6 Patch 1 Produkthandbuch 313

314 5 Übersicht über Systemfunktionen Komponentenverwaltung Tabelle 5-66 sbeschreibungen Konfiguration exportieren epo-verbindungseinstellungen importieren epo-verwaltung aktivieren Mit dieser Funktion erstellen Sie eine.xml-datei, die die Konfiguration der and Web Security Appliance enthält. Diese Datei können Sie direkt in den Richtlinienkatalog von epolicy Orchestrator laden. Klicken Sie hier, um zur Datei mit den Verbindungseinstellungen für epolicy Orchestrator zu navigieren und die epolicy Orchestrator-Verbindungsinformationen in die Appliance zu importieren. Wählen Sie diese aus, um zuzulassen, dass Berichte und Überwachungsereignisse Ihrer and Web Security Appliance an den epolicy Orchestrator-Server gesendet werden. Anschließend können Sie Statistiken aus allen von epolicy Orchestrator verwalteten and Web Security Appliances kompilieren. Sie können die Berichte und die Überwachung der and Web Security Appliance von epolicy Orchestrator v4.0 (oder höher) aus aktivieren. Konfiguration darf von epo aus angewendet werden Wenn epo-verwaltung aktivieren ausgewählt ist, können Sie Ihren epolicy Orchestrator-Server dazu verwenden, alle Richtlinien zu erstellen, zu bearbeiten und zu verwalten und sie auf alle von epo-verwalteten and Web Security Appliances übertragen. Zum Erstellen, Bearbeiten und Verwalten Ihrer and Web Security Appliance müssen Sie epolicy Orchestrator v4.5 (oder höher) verwenden. Wenn Sie Ihre Appliance für die Verwaltung durch epolicy Orchestrator konfiguriert haben, werden Sie jedes Mal, wenn Sie eine Konfigurationsänderung über die Benutzeroberfläche der Appliance vornehmen, daran erinnert, dass die Appliance von epolicy Orchestrator verwaltet wird und Ihre Änderungen bei der nächsten Aktualisierung der Konfiguration durch epolicy Orchestrator überschrieben werden. Vorgehensweise Konfigurieren der Appliance für das Arbeiten mit epolicy Orchestrator Gehen Sie wie nachfolgend beschrieben vor, um die Appliance für die Verwaltung durch epolicy Orchestrator einzurichten: 1 Wählen Sie auf der and Web Security Appliance Ressourcen, und klicken Sie anschließend auf epo-erweiterungen und epo 4.5-Hilfe, um die Erweiterungsdateien herunterzuladen. 2 Installieren Sie auf dem epo-server die Erweiterung, indem Sie Menü Software Erweiterungen Erweiterungen installieren wählen. 3 Speichern Sie auf dem epo-server die Verbindungseinstellungen mithilfe des Befehls Menü Gateway-Schutz and Web Gateway Aktionen Verbindungseinstellungen exportieren and Web Security Appliances 5.6 Patch 1 Produkthandbuch

315 Übersicht über Systemfunktionen Setup-Assistent 5 4 Kehren Sie in der and Web Security Appliance zur Seite Einstellungen für die epo-verwaltung im Setup-Assistenten der Appliance zurück, und klicken Sie auf der Seite System Komponentenverwaltung epo auf epo-verbindungseinstellungen importieren. Navigieren Sie zur epo-verbindungseinstellungsdatei. 5 Klicken Sie auf Weiter, um im Setup-Assistenten mit der Seite Grundlegende Einstellungen fortzufahren. Setup-Assistent Der Setup-Assistent ist in der Benutzeroberfläche verfügbar und ermöglicht Ihnen das Bearbeiten der Einstellungen, die Sie bei der Erstinstallation der Appliance in der Konfigurationskonsole festgelegt haben. System Setup-Assistent Einführung zu den en des Setup-Assistenten Nachfolgend werden Seiten beschrieben, die Ihnen bei der Verwendung des Setup-Assistenten möglicherweise angezeigt werden. Die en variieren abhängig von der von Ihnen gewählten Einrichtungsoption. Begrüßung Auf dieser Seite können Sie den gewünschten Installationstyp auswählen. Der Installationstyp Standardeinrichtung weist nur wenige Installationsschritte auf und ist für den Modus "Transparente Bridge" vorgesehen. Bei der benutzerdefinierten Einrichtung können Sie den Betriebsmodus auswählen. Die Wiederherstellen aus Datei ermöglicht Ihnen, die Appliance mithilfe der Konfigurationsdetails einzurichten, die von einer anderen Appliance gespeichert wurden. Sie können auswählen, welche Details Sie benötigen. Wenn die Datei aus einer früheren Version der Software stammt, sind einige Details nicht verfügbar. Mit der Einrichten der Verwaltung durch epo legen Sie nur die Einstellungen fest, die für die Verwaltung Ihrer Appliance durch McAfee epolicy Orchestrator benötigt werden. Die Appliance wird in einem der folgenden drei Modi ausgeführt: "Transparente Bridge", "Transparenter Router" oder "Expliziter Proxy". Der Modus wirkt sich auf die Integration der Appliance im Netzwerk aus und darauf, wie die Appliance den Datenverkehr verarbeitet. Sie müssen den Modus nur ändern, wenn das Netzwerk neu strukturiert wird. Modus "Transparente Bridge" auf Seite 315 Modus "Transparenter Router" auf Seite 316 Modus "Expliziter Proxy" auf Seite 317 Modus "Transparente Bridge" Verwenden Sie diese Seite, um den Typ der Installation anzugeben. Der Installationstyp Standardeinrichtung weist nur wenige Installationsschritte auf und ist für den Modus "Transparente Bridge" vorgesehen. Bei der benutzerdefinierten Einrichtung können Sie den Betriebsmodus auswählen. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 315

316 5 Übersicht über Systemfunktionen Setup-Assistent Die Wiederherstellen aus Datei ermöglicht Ihnen, die Appliance mithilfe der Konfigurationsdetails einzurichten, die von einer anderen Appliance gespeichert wurden. Sie können auswählen, welche Details Sie benötigen. Wenn die Datei aus einer früheren Version der Software stammt, sind einige Details nicht verfügbar. Mit der Einrichten der Verwaltung durch epo legen Sie nur die Einstellungen fest, die für die Verwaltung Ihrer Appliance durch McAfee epolicy Orchestrator benötigt werden. Die Appliance wird in einem der folgenden drei Modi ausgeführt: "Transparente Bridge", "Transparenter Router" oder "Expliziter Proxy". Der Modus wirkt sich auf die Integration der Appliance im Netzwerk aus und darauf, wie die Appliance den Datenverkehr verarbeitet. Sie müssen den Modus nur ändern, wenn das Netzwerk neu strukturiert wird. Modus "Transparente Bridge" Im Modus Transparente Bridge wissen andere Netzwerkgeräte wie -Server nicht, dass die Appliance die vor dem Weiterleiten abgefangen und gescannt hat. Der Vorgang auf der Appliance ist für andere Geräte transparent, also unsichtbar. Beim Modus "Transparente Bridge" fällt am wenigsten Konfigurationsaufwand an. Die Clients oder das Standard-Gateway müssen nicht neu konfiguriert werden, um Datenverkehr an die Appliance zu senden. Routing-Tabellen müssen nicht aktualisiert werden. Modus "Transparenter Router" auf Seite 316 Modus "Expliziter Proxy" auf Seite 317 Modus "Transparenter Router" Verwenden Sie diese Seite, um den Typ der Installation anzugeben. Der Installationstyp Standardeinrichtung weist nur wenige Installationsschritte auf und ist für den Modus "Transparente Bridge" vorgesehen. Bei der benutzerdefinierten Einrichtung können Sie den Betriebsmodus auswählen. Die Wiederherstellen aus Datei ermöglicht Ihnen, die Appliance mithilfe der Konfigurationsdetails einzurichten, die von einer anderen Appliance gespeichert wurden. Sie können auswählen, welche Details Sie benötigen. Wenn die Datei aus einer früheren Version der Software stammt, sind einige Details nicht verfügbar. Mit der Einrichten der Verwaltung durch epo legen Sie nur die Einstellungen fest, die für die Verwaltung Ihrer Appliance durch McAfee epolicy Orchestrator benötigt werden and Web Security Appliances 5.6 Patch 1 Produkthandbuch

317 Übersicht über Systemfunktionen Setup-Assistent 5 Die Appliance wird in einem der folgenden drei Modi ausgeführt: "Transparente Bridge", "Transparenter Router" oder "Expliziter Proxy". Der Modus wirkt sich auf die Integration der Appliance im Netzwerk aus und darauf, wie die Appliance den Datenverkehr verarbeitet. Sie müssen den Modus nur ändern, wenn das Netzwerk neu strukturiert wird. Modus "Transparente Bridge" auf Seite 315 Modus "Transparenter Router" Im Modus Transparenter Router wissen andere Netzwerkgeräte wie -Server nicht, dass die Appliance die vor dem Weiterleiten abgefangen und gescannt hat. Der Vorgang auf der Appliance ist für andere Geräte transparent, also unsichtbar. Der Modus "Transparenter Router" ist für Netzwerke geeignet, die über Firewall-Regeln verfügen, da die Firewall die IP-Adressen der Clients trotzdem sieht und deshalb die Internetzugriffsregeln auf den Client-Verkehr anwenden kann. Modus "Expliziter Proxy" auf Seite 317 Modus "Expliziter Proxy" Verwenden Sie diese Seite, um den Typ der Installation anzugeben. Der Installationstyp Standardeinrichtung weist nur wenige Installationsschritte auf und ist für den Modus "Transparente Bridge" vorgesehen. Bei der benutzerdefinierten Einrichtung können Sie den Betriebsmodus auswählen. Die Wiederherstellen aus Datei ermöglicht Ihnen, die Appliance mithilfe der Konfigurationsdetails einzurichten, die von einer anderen Appliance gespeichert wurden. Sie können auswählen, welche Details Sie benötigen. Wenn die Datei aus einer früheren Version der Software stammt, sind einige Details nicht verfügbar. Mit der Einrichten der Verwaltung durch epo legen Sie nur die Einstellungen fest, die für die Verwaltung Ihrer Appliance durch McAfee epolicy Orchestrator benötigt werden. Die Appliance wird in einem der folgenden drei Modi ausgeführt: "Transparente Bridge", "Transparenter Router" oder "Expliziter Proxy". Der Modus wirkt sich auf die Integration der Appliance im Netzwerk aus und darauf, wie die Appliance den Datenverkehr verarbeitet. Sie müssen den Modus nur ändern, wenn das Netzwerk neu strukturiert wird. Modus "Transparente Bridge" auf Seite 315 Modus "Transparenter Router" auf Seite 316 and Web Security Appliances 5.6 Patch 1 Produkthandbuch 317

318 5 Übersicht über Systemfunktionen Setup-Assistent Modus "Expliziter Proxy" Im Modus Expliziter Proxy senden einige Netzwerkgeräte Datenverkehr an die Appliance. Die Appliance fungiert dann als Proxy und verarbeitet den Datenverkehr für die Geräte. Der Modus "Expliziter Proxy" eignet sich am besten für Netzwerke, bei denen die Client-Geräte über ein einzelnes Upstream- und Downstream-Gerät die Verbindung mit der Appliance herstellen. Sie können das Netzwerk beispielsweise so konfigurieren, dass der Web-Cache auf der einen Seite logisch mit der Appliance und auf der anderen Seite mit einer Firewall verbunden ist, die beide physisch über den LAN1-Anschluss verbunden sind. Der Vorteil dieser Struktur liegt darin, dass nur der Web-Cache und die Firewall neu konfiguriert werden müssen. Die Clients müssen Sie nicht neu zu konfigurieren. Standardeinrichtung Verwenden Sie den Assistenten für die Standardeinrichtung, um Ihre Appliance im Modus "Transparente Bridge" einzurichten und sie für den Schutz Ihres Netzwerks zu konfigurieren. Der Assistent für die Standardeinrichtung enthält die folgenden Seiten: Datenverkehr Standardeinrichtung auf Seite 318 Grundlegende Einstellungen Standardeinrichtung auf Seite 319 Zusammenfassung Standardeinrichtung auf Seite 320 Inhalt Datenverkehr Standardeinrichtung Grundlegende Einstellungen Standardeinrichtung Zusammenfassung Standardeinrichtung Datenverkehr Standardeinrichtung Wenn Sie den Assistenten für die Standardeinrichtung auswählen, können Sie über diese Seite die lokale Relay-Domäne sowie den Datenverkehrstyp angeben, den die Appliance scannt. Web-Verkehr umfasst nur HTTP-Verkehr. Nach der Installation: Die Appliance schützt Ihr Netzwerk vor Viren und verwendet McAfee SiteAdvisor, wenn Ihre Benutzer Websites besuchen. Wenn Sie mehrere Verkehrstypen scannen möchten, können Sie über diese Seite die einzelnen Protokolle aktivieren. Wählen Sie in der Navigationsleiste aus. -Verkehr umfasst nur SMTP-Verkehr. Nach der Installation: Die Appliance schützt Ihr Netzwerk vor Viren, Spam und Phishing. Wenn Sie mehrere Verkehrstypen scannen möchten, können Sie über diese Seite die einzelnen Protokolle aktivieren. Wählen Sie in der Navigationsleiste bzw. aus and Web Security Appliances 5.6 Patch 1 Produkthandbuch

319 Übersicht über Systemfunktionen Setup-Assistent 5 McAfee Anti-Spyware schützt Ihr Netzwerk vor vielen Typen potenziell unerwünschter Software, wie Spyware, Adware, Tools zur Remote-Verwaltung, Dialern und Kennwort-Crackern. Diese Funktion ist standardmäßig nicht aktiviert. McAfee Anti-Spyware wurde dazu entwickelt, potenziell unerwünschte Programme (PUPe) zu erkennen und mit Ihrer Erlaubnis zu entfernen. Manche gekauften oder absichtlich heruntergeladenen Programme agieren als Hosts für potenziell unerwünschte Programme. Die Entfernung dieser PUPe kann die Funktionalität der Hosts außer Kraft setzen. Genaue Informationen entnehmen Sie bitte dem Lizenzvertrag für das jeweilige Host-Programm. McAfee, Inc. fordert weder zum Bruch von abgeschlossenen Lizenzverträgen auf, noch duldet es dies. Lesen Sie Lizenzverträge und Datenschutzrichtlinien unbedingt gründlich durch, bevor Sie Software herunterladen oder installieren. Der Modus "Transparenter Router" ist für Netzwerke geeignet, die über Firewall-Regeln verfügen, da die Firewall die IP-Adressen der Clients trotzdem sieht und deshalb die Internetzugriffsregeln auf den Client-Verkehr anwenden kann. Unter Relay-en gibt die Appliance die Domäneninformationen an, falls diese über DHCP verfügbar sind. Löschen Sie den Stern, wenn Sie den vorgeschlagenen Domänennamen verwenden möchten, oder geben Sie einen anderen Domänennamen ein. Grundlegende Einstellungen Standardeinrichtung Verwenden Sie diese Seite, wenn Sie den Assistenten für die Standardeinrichtung auswählen, um grundlegende Einstellungen für die Appliance im Modus "Transparente Bridge" anzugeben. Die Appliance versucht, Ihnen einige Informationen zur Verfügung zu stellen, und zeigt die Informationen gelb markiert an. Um diese Informationen zu ändern, klicken Sie, und geben Sie sie erneut ein. A B C Firewall oder Gateway-Server McAfee Messaging und Web Security-Appliance Active Directory- oder DNS-Server Tabelle 5-67 sbeschreibungen Grundlegende Einstellungen Gerätename Domänenname Gibt einen Namen an, z. B. Appliance1. Gibt einen Domänennamen an, z. B. domaene1.com. IP-Adresse Gibt eine IP-Adresse an, z. B Der vollqualifizierte Domänenname (Gerätename. Domänenname) muss in diese IP-Adresse aufgelöst werden, wenn der (hier angegebene) DNS-Server aufgerufen wird. Wir empfehlen, dass diese IP-Adresse bei umgekehrten Suchen in den vollqualifizierten Domänennamen aufgelöst wird. Subnetz Gibt eine Subnetzadresse an, z. B and Web Security Appliances 5.6 Patch 1 Produkthandbuch 319

320 5 Übersicht über Systemfunktionen Setup-Assistent Tabelle 5-67 sbeschreibungen Grundlegende Einstellungen (Fortsetzung) Gateway-IP DNS-Server-IP Modus Benutzer-ID Aktuelles Kennwort/ Neues Kennwort Zeitzone der Appliance Appliance-Zeit (UTC) Jetzt einstellen Client-Zeit Appliance mit Client synchronisieren Gibt eine IP-Adresse an, z. B Hierbei handelt es sich meist um einen Router oder eine Firewall. Sie können später testen, ob die Appliance mit diesem Gerät kommunizieren kann. Gibt die Adresse eines Domänennamenservers an, den die Appliance verwendet, um Website-Adressen in IP-Adressen umzuwandeln. Dabei kann es sich um einen Active Directory- oder einen DNS-Server handeln. Sie können später testen, ob die Appliance mit diesem Server kommunizieren kann. Gibt den Modus an ("Transparente Bridge", "Transparenter Router" oder "Expliziter Proxy"). Beim Benutzer "scmadmin" handelt es sich um den Superadministrator. Dieses Konto kann weder geändert oder deaktiviert noch gelöscht werden. Nach der Installation können Sie jedoch weitere Anmeldekonten hinzufügen. Das ursprüngliche Standardkennwort lautet scmchangeme. Geben Sie das neue Kennwort an. Ändern Sie das Kennwort baldmöglichst, damit Ihre Appliance geschützt bleibt. Sie müssen das neue Kennwort zweimal eingeben, um es zu bestätigen. Gibt die Zeitzone der Appliance an. Wenn in Ihrer Region Sommer- und Winterzeit gelten, müssen Sie die Zeitzone zweimal im Jahr ändern. Die Zonen sind von West nach Ost organisiert und decken den pazifischen Raum, Amerika, Europa, Asien, Afrika, Indien, Japan und Australien ab. Gibt das Datum und die UTC-Zeit für die Appliance an. Um das Datum festzulegen, klicken Sie auf das Kalendersymbol. Sie können die UTC-Zeit von Websites ablesen, wie Wenn Sie hierauf klicken, werden das Datum und die UTC-Zeit, die Sie in dieser Zeile ausgewählt haben, angewendet. Zeigt die Zeit entsprechend dem Client-Computer an, von dem aus Ihr Browser derzeit mit der Appliance verbunden ist. Bei Auswahl übernimmt die Zeit unter Appliance-Zeit (UTC) sofort den Wert aus Client-Zeit. Sie können dieses Kontrollkästchen als Alternative verwenden, um manuell die Appliance-Zeit (UTC) einzustellen. Die Appliance errechnet die UTC-Zeit basierend auf der Zeitzone, die sie im Client-Browser findet. Stellen Sie sicher, dass der Client-Computer Sommer- und Winterzeit berücksichtigt. Um die Einstellung in Microsoft Windows zu finden, klicken Sie mit der rechten Maustaste in die untere rechte Ecke des Bildschirms. NTP-Serveradresse Um das Network Time Protocol (NTP) zu verwenden, geben Sie die Serveradresse an. Alternativ dazu können Sie NTP später konfigurieren. Zusammenfassung Standardeinrichtung Auf dieser Seite können Sie, wenn Sie den Assistenten für die Standardeinrichtung verwenden, eine Zusammenfassung der Einstellungen anzeigen, die Sie für Netzwerkverbindungen und das Scannen des Netzwerkverkehrs vorgenommen haben. Wenn Sie einen Wert ändern möchten, klicken Sie auf den entsprechenden blauen Link, um die Seite anzuzeigen, auf der Sie den Wert ursprünglich eingegeben haben. Nachdem Sie auf Fertig stellen geklickt haben, wird der Setup-Assistent abgeschlossen und die Appliance ist als transparente Bridge konfiguriert and Web Security Appliances 5.6 Patch 1 Produkthandbuch

321 Übersicht über Systemfunktionen Setup-Assistent 5 Verwenden Sie die hier angezeigte IP-Adresse, um die Benutzeroberfläche aufzurufen. Beispiel: Beachten Sie, dass die Adresse mit https und nicht mit http beginnt. Wenn Sie sich zum ersten Mal bei der Benutzeroberfläche anmelden, geben Sie den Benutzernamen scmadmin und das Kennwort ein, das Sie in diesem Setup-Assistenten angegeben haben. Tabelle 5-68 sbeschreibungen Der Wert entspricht bewährten Praktiken. Der Wert ist wahrscheinlich nicht korrekt. Er ist zwar gültig, entspricht aber nicht bewährten Praktiken. Prüfen Sie den Wert, bevor Sie fortfahren. Es wurde kein Wert festgelegt. Der vorgegebene Standardwert wurde nicht geändert. Prüfen Sie den Wert, bevor Sie fortfahren. Benutzerdefinierte Einrichtung Verwenden Sie den Assistenten für die benutzerdefinierte Einrichtung, um beim Einrichten Ihrer Appliance den Betriebsmodus auszuwählen. Sie können auch andere Einstellungen festlegen, beispielsweise zum Einrichten des IPv6-Netzwerks. Der Assistent für die benutzerdefinierte Einrichtung enthält die folgenden Seiten: Datenverkehr Standardeinrichtung auf Seite 318 Grundlegende Einstellungen Standardeinrichtung auf Seite 319 Netzwerkeinstellungen auf Seite 323 Cluster-Verwaltung auf Seite 323 DNS und Routing auf Seite 233 Zeiteinstellungen auf Seite 326 Kennwort auf Seite 327 Zusammenfassung Standardeinrichtung auf Seite 320 Inhalt Datenverkehr Benutzerdefinierte Einrichtung Grundlegende Einstellungen Benutzerdefinierte Einrichtung Netzwerkeinstellungen Cluster-Verwaltung DNS und Routing Zeiteinstellungen Kennwort Zusammenfassung Benutzerdefinierte Einrichtung Datenverkehr Benutzerdefinierte Einrichtung Wenn Sie den Assistenten für die benutzerdefinierte Einrichtung auswählen, können Sie über diese Seite die lokale Relay-Domäne sowie den Datenverkehrstyp angeben, den die Appliance scannt. Der -Verkehr umfasst SMTP und POP3. Sie können auch den Schutz gegen potentiell unerwünschte Programme sowie die McAfee Global Threat Intelligence aktivieren. Außerdem können Sie die lokale Relay-Domäne für die Appliance aktivieren. Web-Verkehr umfasst HTTP (für Web-Browsing), ICAP (zur Verwendung mit ICAP-Clients) und FTP für die Dateiübertragung. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 321

322 5 Übersicht über Systemfunktionen Setup-Assistent Sie können die einzelnen Protokolle (SMTP, POP3, HTTP, ICAP und FTP) aktivieren oder deaktivieren. Wenn sich die Appliance im transparenten Router- oder transparenten Bridge-Modus befindet und das Protokoll deaktiviert wird, passiert der Datenverkehr für das Protokoll die Appliance, wird aber nicht gescannt. Wenn sich die Appliance im Modus "Expliziter Proxy" befindet und ein Protokoll deaktiviert wird, wird der Verkehr abgelehnt, der für dieses Protokoll an die Appliance gesendet wird. Das Protokoll wird in der Appliance blockiert. Im Modus "Expliziter Proxy" wird nur SMTP-, POP3-, HTTP-, ICAP- und FTP-Verkehr von der Appliance verarbeitet. Sämtlicher anderer Datenverkehr wird abgelehnt. Wenn nach der Installation gar kein Datenverkehr gescannt werden soll, können Sie alle Protokolle auf dieser Seite deaktivieren. Unter Relay-en gibt die Appliance die Domäneninformationen an, falls diese über DHCP verfügbar sind. Löschen Sie den Stern, wenn Sie den vorgeschlagenen Domänennamen verwenden möchten, oder geben Sie einen anderen Domänennamen ein. Web Web-Konfiguration -Konfiguration Protokollkonfiguration Verbindungseinstellungen (SMTP) -Konfiguration Protokollkonfiguration Verbindungseinstellungen (POP3) Grundlegende Einstellungen Benutzerdefinierte Einrichtung Verwenden Sie diese Seite, wenn Sie den Assistenten für die benutzerdefinierte Einrichtung auswählen, um grundlegende Einstellungen für die Appliance im Modus "Transparente Bridge" anzugeben. Die Appliance versucht, Ihnen einige Informationen zur Verfügung zu stellen, und zeigt die Informationen gelb markiert an. Um diese Informationen zu ändern, klicken Sie, und geben Sie sie erneut ein. Tabelle 5-69 sbeschreibungen Grundlegende Einstellungen Cluster-Modus Aus Dies ist eine Standard-Appliance. Cluster-Scanner Die Appliance empfängt ihre Scan-Arbeit von einer Master-Appliance. Cluster-Master Die Appliance steuert die Scan-Arbeit verschiedener anderer Appliances. Cluster-Failover Falls der Master ausfällt, steuert diese Appliance stattdessen die Scan-Arbeit. Gerätename Domänenname Gibt einen Namen an, z. B. Appliance1. Gibt einen Domänennamen an, z. B. domaene1.com and Web Security Appliances 5.6 Patch 1 Produkthandbuch

323 Übersicht über Systemfunktionen Setup-Assistent 5 Tabelle 5-69 sbeschreibungen Grundlegende Einstellungen (Fortsetzung) Standard-Gateway Nächster Hop-Router Gibt eine IPv4-Adresse an, z. B Sie können später testen, ob die Appliance mit diesem Server kommunizieren kann. Gibt eine IPv6-Adresse an, z. B. FD4A:A1B2:C3D4::1. Netzwerkeinstellungen Verwenden Sie diese Seite, um die IP-Adresse und die Netzwerkgeschwindigkeiten für die Appliance zu konfigurieren. Sie können IPv4- und IPv6-Adressen verwenden, entweder separat oder zusammen. Vergeben Sie neue IP-Adressen für die Appliance und deaktivieren Sie die standardmäßigen IP-Adressen, um doppelte IP-Adressen im Netzwerk zu vermeiden und um Hacker abzuhalten. Die IP-Adressen müssen eindeutig und für Ihr Netzwerk geeignet sein. Geben Sie so viele IP-Adressen wie erforderlich an. Tabelle 5-70 Netzwerkeinstellungen sbeschreibungen Netzwerkeinstellungen ändern Betriebsmodus Durch Klicken auf diese wird ein Assistent mit den folgenden en gestartet. Bietet eine Auswahl an Modi. Im Modus Transparente Route oder Transparente Bridge wissen andere Netzwerkgeräte wie -Server nicht, dass die Appliance die vor dem Weiterleiten abgefangen und gescannt hat. Der Vorgang auf der Appliance ist für andere Geräte transparent, also unsichtbar. Im Modus Expliziter Proxy senden einige Netzwerkgeräte Datenverkehr an die Appliance. Die Appliance fungiert dann als Proxy und verarbeitet den Datenverkehr für die Geräte. LAN-Schnittstellentyp IP-Adresse Netzwerkmaske Gibt den Verbindungstyp an Kupferleitung oder Glasfaser. Diese ist nur für High-Speed-Appliances verfügbar. Gibt Netzwerkadressen an, die es der Appliance ermöglichen, mit Ihrem Netzwerk zu kommunizieren. Beispiel: oder FD4A:A1B2:C3D4::1. Sie können mehrere IP-Adressen für die Anschlüsse der Appliance angeben. Wenn sich die Appliance im transparenten Modus befindet, werden die IP-Adressen für beide Anschlüsse in einer Liste zusammengefasst. Klicken Sie in den anderen Modi auf Netzwerkschnittstelle 1 bzw. Netzwerkschnittstelle 2, um die jeweilige Liste zu bearbeiten. Bei der ersten IP-Adresse in der Liste handelt es sich um die primäre Adresse. Bei den nachfolgenden IP-Adressen handelt es sich um Aliasadressen. Gibt die IPv4-Netzwerkmaske an, z. B , oder gibt die IPv6-Präfixlänge an (1-64 oder 128). Cluster-Verwaltung Auf dieser Seite können Sie die Lastverteilung im Cluster konfigurieren. Abhängig davon, welchen Cluster-Modus Sie auf der Seite Grundlegende Einstellungen ausgewählt haben, ändert sich der auf der Seite Cluster-Verwaltung angezeigte Text. Beim Konfigurieren einer Gruppe von Appliance oder McAfee Content Security Blade Servern verwendet der aktuelle Master einen Algorithmus nach dem Prinzip "Am wenigsten verwendet", um den Appliances oder Blades Verbindungen zuzuweisen, deren Datenverkehr gescannt werden soll. Die nächste Verbindung wird der Appliance bzw. Blade, die aktuell die geringste Zahl von Verbindungen aufweist, zugewiesen. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 323

324 5 Übersicht über Systemfunktionen Setup-Assistent Für einen Appliance-Cluster: Wenn Sie nur über eine Master- und eine Failover-Appliance verfügen, die beide für das Scannen des Datenverkehrs konfiguriert sind, sendet die Master-Appliance die meisten Verbindungen zum Scannen an die Failover-Appliance. Wenn Sie über Scan-Appliances verfügen und das Scannen auf der Master- und der Failover-Appliance aktiviert haben, erhalten die Scan-Appliances den meisten Datenverkehr zum Scannen. Die Failover-Appliance erhält weniger Datenverkehr und die Master-Appliance am wenigsten. Falls Sie mehr als drei Appliances in einem Cluster betreiben, empfiehlt McAfee, das Scannen nicht auf der Master-Appliance zu aktivieren. Sie können die Master- und Failover-Blades eines McAfee Content Security Blade Server nicht zum Scannen von Datenverkehr konfigurieren. McAfee empfiehlt, McAfee Quarantine Manager zum Isolieren von -Nachrichten zu verwenden, wenn Sie Ihre Appliance in einer Cluster-Umgebung verwenden. Konfiguration der Cluster-Verwaltung (Standard-Appliance) Verwenden Sie diese Seite nicht. Die Cluster-Verwaltung ist deaktiviert. Cluster-Verwaltung (Cluster-Scanner) Verwenden Sie diese Seite, um Informationen für eine Scan-Appliance anzugeben. Tabelle 5-71 sbeschreibungen Cluster-Kennung Wenn Sie mehrere Cluster oder McAfee Content Security Blade Server im selben Subnetz betreiben, weisen Sie jedem Cluster eine andere Cluster-Kennung zu, damit es keine Konflikte zwischen den Clustern gibt. Der zulässige Bereich ist Cluster-Verwaltung (Cluster-Master) Verwenden Sie diese Seite, um Informationen für eine Master-Appliance anzugeben. Im Modus "Expliziter Proxy" oder "Transparenter Router" können Sie das Failover zwischen zwei Appliances in einem Cluster aktivieren, indem Sie dieser Appliance eine virtuelle IP-Adresse zuweisen und eine andere Appliance als Cluster-Failover-Appliance mit derselben virtuellen Adresse konfigurieren. Im Modus "Transparente Bridge" erreichen Sie dies, indem Sie eine hohe STP-Priorität für diese Appliance einrichten und eine andere Appliance als Cluster-Failover-Appliance mit einer geringeren STP-Priorität konfigurieren and Web Security Appliances 5.6 Patch 1 Produkthandbuch

325 Übersicht über Systemfunktionen Setup-Assistent 5 Tabelle 5-72 sbeschreibungen Für Lastenausgleich zu verwendende Adresse Cluster-Kennung Scannen auf dieser Appliance aktivieren (Nicht zutreffend auf Content Security Blade Servern) Gibt die Appliance-Adresse an. Wenn Sie mehrere Cluster oder McAfee Content Security Blade Server im selben Subnetz betreiben, weisen Sie jedem Cluster eine andere Cluster-Kennung zu, damit es keine Konflikte zwischen den Clustern gibt. Der zulässige Bereich ist Wenn diese nicht ausgewählt ist, verteilt diese Appliance die gesamte Scan-Arbeitslast auf die Scan-Appliances. Wenn Sie in einem Appliance-Cluster nur über eine Master- und eine Failover-Appliance verfügen, die beide für das Scannen des Datenverkehrs konfiguriert sind, sendet die Master-Appliance die meisten Verbindungen zum Scannen an die Failover-Appliance. Cluster-Verwaltung (Cluster-Failover) Verwenden Sie diese Seite, um Informationen für eine Failover-Appliance anzugeben. Tabelle 5-73 sbeschreibungen Für Lastenausgleich zu verwendende Adresse Cluster-Kennung Scannen auf dieser Appliance aktivieren (Nicht zutreffend auf Content Security Blade Servern) Gibt die Appliance-Adresse an. Bietet eine Liste aller einer Appliance zugewiesenen Subnetze. Wenn Sie mehrere Cluster oder McAfee Content Security Blade Server im selben Subnetz betreiben, weisen Sie jedem Cluster eine andere Cluster-Kennung zu, damit es keine Konflikte zwischen den Clustern gibt. Der zulässige Bereich ist Wenn diese nicht ausgewählt ist, verteilt diese Appliance die gesamte Scan-Arbeitslast auf die Scan-Appliances. Wenn Sie in einem Appliance-Cluster nur über eine Master- und eine Failover-Appliance verfügen, die beide für das Scannen des Datenverkehrs konfiguriert sind, sendet die Master-Appliance die meisten Verbindungen zum Scannen an die Failover-Appliance. DNS und Routing Verwenden Sie diese Seite des Assistenten für die benutzerdefinierte Einrichtung, um die Verwendung von DNS und Routen durch die Appliance zu konfigurieren. DNS-Server (Domain Name System) übersetzen die Namen von Netzwerkgeräten in IP-Adressen (und umgekehrt), d. h., sie ordnen die Namen und Adressen einander zu. Die Appliance sendet in der hier aufgeführten Reihenfolge Anfragen an DNS-Server. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 325

326 5 Übersicht über Systemfunktionen Setup-Assistent Tabelle 5-74 sbeschreibungen DNS-Server Serveradresse Neuer Server/ Ausgewählte Server löschen Nur Anfragen an diese Server senden Zeigt die IP-Adressen der DNS-Server an. Beim ersten Server in der Liste muss es sich um den schnellsten bzw. zuverlässigsten Server handeln. Falls der erste Server die Anforderung nicht auflösen kann, nimmt die Appliance Kontakt mit dem zweiten Server auf. Falls keiner der Server in der Liste die Anforderung auflösen kann, leitet die Appliance die Anforderung an die DNS-Root-Namenserver im Internet weiter. Geben Sie die IP-Adresse eines lokalen Geräts mit Namensauflösungsfunktion an, wenn DNS-Suchen (in der Regel auf Port 53) von der Firewall verhindert werden. Fügt einen neuen Server zur Liste hinzu oder entfernt einen Server, beispielsweise, wenn Sie einen Server aufgrund von Netzwerkänderungen außer Betrieb setzen müssen. Standardmäßig ausgewählt. McAfee empfiehlt, diese ausgewählt zu lassen, da sie DNS-Abfragen möglicherweise beschleunigt, weil die Appliance die Abfragen nur an die angegebenen DNS-Server sendet. Wenn die Adresse unbekannt ist, werden Anfragen an die Root-DNS-Server im Internet gesendet. Wenn eine Antwort eingeht, empfängt die Appliance die Antwort und legt diese im Cache ab, sodass andere Server, die Abfragen an diesen DNS-Server senden, schneller eine Antwort erhalten können. Wenn Sie diese deaktivieren, versucht die Appliance zuerst, die Anfragen aufzulösen oder Abfragen an DNS-Server außerhalb Ihres Netzwerks zu senden. Tabelle 5-75 sbeschreibungen Routing Netzwerkadresse Maske Gateway Messgröße Neue Route Dynamisches Routing aktivieren Geben Sie die Netzwerkadresse der Route ein. Gibt an, wie viele Hosts sich in Ihrem Netzwerk befinden, beispielsweise Gibt die IP-Adresse des Routers an, der als nächster Hop außerhalb des Netzwerks verwendet wird. Die Adresse (IPv4) oder :: (IPv6) bedeutet, dass der Router über kein Standard-Gateway verfügt. Gibt die Priorität an, die der Route beigemessen wird. Eine niedrige Zahl weist auf eine hohe Priorität der jeweiligen Route hin. Fügen Sie eine neue Route zur Tabelle hinzu. Mithilfe der Pfeile können Sie die Route in der Liste nach oben und unten verschieben. Die Routen werden auf Grundlage ihrer Metrik ausgewählt. Verwenden Sie diese nur im Modus "Transparenter Router". Wenn diese aktiviert ist, kann die Appliance: Per Broadcast verbreitete Routing-Informationen empfangen, die über RIP (Standard) empfangen werden, und diese auf ihre Routing-Tabelle anwenden, sodass Sie Routing-Informationen, die bereits im Netzwerk vorhanden sind, nicht auf der Appliance duplizieren müssen Routing-Informationen per Broadcast verbreiten, wenn statische Routen über RIP in der Benutzeroberfläche konfiguriert wurden Zeiteinstellungen Auf dieser Seite des Assistenten für die benutzerdefinierte Einrichtung können Sie das Datum und die Uhrzeit sowie sämtliche Details für die Verwendung von NTP (Network Time Protocol) festlegen. NTP synchronisiert die Uhrzeiten unter den Geräten in einem Netzwerk. Einige Internet-Dienstanbieter bieten einen Uhrzeitdienst an. Weitere Informationen zu NTP finden Sie in RFC 1305 unter oder and Web Security Appliances 5.6 Patch 1 Produkthandbuch

327 Übersicht über Systemfunktionen Setup-Assistent 5 Die Appliance kann ihre Uhrzeiteinstellungen mit anderen Geräten synchronisieren und hält dabei ihre eigenen Protokolle, Berichte und Zeitpläne stets auf dem neuesten Stand. Da NTP-Nachrichten nicht häufig versendet werden, beeinträchtigen sie die Leistung der Appliance nicht wesentlich. Tabelle 5-76 Zeiteinstellungen sbeschreibungen Zeitzone Systemzeit (lokal) Zeit der Appliance jetzt einstellen NTP aktivieren NTP-Client-Broadcasts aktivieren NTP-Server Gibt Ihre lokale Zeitzone an. Wenn in Ihrer Region Sommer- und Winterzeit gelten, müssen Sie die Zeitzone zweimal im Jahr ändern. Gibt das Datum und die lokale Uhrzeit an. Klicken Sie auf das Kalendersymbol, um das Datum festzulegen. Wenn Sie darauf klicken, wird die Zeit in der Appliance eingestellt. Sie müssen auf diese Schaltfläche klicken, bevor Sie auf Weiter klicken. Falls erforderlich, können Sie nach der Installation NTP (Network Time Protocol) konfigurieren. Wenn ausgewählt, akzeptiert NTP Nachrichten von einem angegebenen Server oder einem Netzwerk-Broadcast. Wenn ausgewählt, akzeptiert NTP Nachrichten nur von Netzwerk-Broadcasts. Diese Methode ist hilfreich, wenn das Netzwerk ausgelastet ist, es muss aber anderen Geräten im Netzwerk vertraut werden. Wenn diese nicht ausgewählt ist, akzeptiert NTP Nachrichten nur von Servern, die in der Liste angegeben sind. Zeigt die Netzwerkadresse oder einen Domänennamen eines oder mehrerer NTP-Server an, die die Appliance verwendet. Wenn Sie mehrere Server angeben, prüft die Appliance jede NTP-Nachricht, um die richtige Uhrzeit zu bestimmen. Kennwort Auf dieser Seite des Assistenten für die benutzerdefinierte Einrichtung können Sie ein Kennwort für die Appliance festlegen. Ein sicheres Kennwort besteht aus Buchstaben und Ziffern. Sie können bis zu 15 Zeichen eingeben. Tabelle 5-77 sbeschreibungen Benutzer-ID Kennwort Diese lautet scmadmin. Sie können später weitere Benutzer hinzufügen. Gibt das neue Kennwort an. Ändern Sie das Kennwort baldmöglichst, damit Ihre Appliance geschützt bleibt. Sie müssen das neue Kennwort zweimal eingeben, um es zu bestätigen. Das ursprüngliche Standardkennwort lautet scmchangeme. Zusammenfassung Benutzerdefinierte Einrichtung Auf dieser Seite können Sie, wenn Sie den Assistenten für die benutzerdefinierte Einrichtung verwenden, eine Zusammenfassung der Einstellungen anzeigen, die Sie für Netzwerkverbindungen und das Scannen des Netzwerkverkehrs vorgenommen haben. Wenn Sie einen Wert ändern möchten, klicken Sie auf den entsprechenden blauen Link, um die Seite anzuzeigen, auf der Sie den Wert ursprünglich eingegeben haben. Nachdem Sie auf Fertig stellen geklickt haben, wird der Setup-Assistent abgeschlossen. Verwenden Sie die hier angezeigte IP-Adresse, um die Benutzeroberfläche aufzurufen. Beispiel: Beachten Sie, dass die Adresse mit https und nicht mit http beginnt. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 327

328 5 Übersicht über Systemfunktionen Setup-Assistent Wenn Sie sich zum ersten Mal bei der Benutzeroberfläche anmelden, geben Sie den Benutzernamen scmadmin und das Kennwort ein, das Sie in diesem Setup-Assistenten angegeben haben. Tabelle 5-78 sbeschreibungen Der Wert entspricht bewährten Praktiken. Der Wert ist wahrscheinlich nicht korrekt. Er ist zwar gültig, entspricht aber nicht bewährten Praktiken. Prüfen Sie den Wert, bevor Sie fortfahren. Es wurde kein Wert festgelegt. Der vorgegebene Standardwert wurde nicht geändert. Prüfen Sie den Wert, bevor Sie fortfahren. Wiederherstellen aus einer Datei Mit dem Setup-Assistenten zum Wiederherstellen aus einer Datei können Sie Ihre Appliance basierend auf den Einstellungen konfigurieren, die Sie von einer anderen Appliance gespeichert haben. Der Setup-Assistent zum Wiederherstellen aus einer Datei enthält die folgenden Seiten: Konfiguration importieren auf Seite 329 Wiederherzustellende Werte auf Seite 329 Datenverkehr Standardeinrichtung auf Seite 318 Grundlegende Einstellungen Standardeinrichtung auf Seite 319 Netzwerkeinstellungen auf Seite 323 Cluster-Verwaltung auf Seite 323 DNS und Routing auf Seite 233 Zeiteinstellungen auf Seite 326 Kennwort auf Seite 327 Zusammenfassung Standardeinrichtung auf Seite 320 Inhalt Konfiguration importieren Wiederherzustellende Werte Datenverkehr Benutzerdefinierte Einrichtung Grundlegende Einstellungen Benutzerdefinierte Einrichtung Cluster-Verwaltung DNS und Routing Zeiteinstellungen Kennwort Zusammenfassung Benutzerdefinierte Einrichtung 328 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

329 Übersicht über Systemfunktionen Setup-Assistent 5 Konfiguration importieren In diesem Dialogfeld können Sie die Konfigurationsdatei importieren, die die Details enthält, die Sie zum Konfigurieren der Appliance verwenden möchten. Tabelle 5-79 sbeschreibungen Durchsuchen Suchen Sie nach der Konfigurationsdatei, die Sie als Basis für die neuen Einstellungen verwenden möchten. Der Name der Konfigurationsdatei besitzt das Format: config_<datums- und Uhrzeitstempel>.zip Wiederherzustellende Werte In diesem Dialogfeld können Sie die Bereiche der Konfiguration auswählen, die Sie wiederherstellen möchten. Standardmäßig versucht der Setup-Assistent, alle Einstellungen in der Konfigurationsdatei auf Ihrer Appliance wiederherzustellen. Sie können festlegen, dass die Einstellungen in bestimmten Bereichen nicht wiederhergestellt werden sollen, indem Sie die Auswahl der entsprechenden Bereiche aufheben, bevor Sie mit der Installation fortfahren. Der Setup-Assistent ermöglicht Ihnen, alle Einstellungen zu prüfen und zu ändern, bevor Sie sie auf die Appliance übernehmen. Tabelle 5-80 sbeschreibungen Protokollkonfiguration Netzwerkkonfiguration Die Berichtskonfiguration Die Benutzervoreinstellungen Informationen zu den von der Appliance verwendeten Protokollen. Diese Informationen werden immer wiederhergestellt. Informationen zu den IP-Adressen und Host-Namen sowie andere spezifische Details für Ihre Appliance und Ihr Netzwerk. Informationen dazu, wie Sie Ihre bevorzugten Berichte und Ihre geplanten Berichte konfiguriert haben. Informationen dazu, wie Sie Benutzeroberflächenoptionen konfiguriert haben, beispielsweise die Dashboard-Konfiguration. Rollenbasierte Benutzerkonten Wenn Sie diese auswählen, werden Informationen zu den von Ihnen eingerichteten rollenbasierten Benutzerkonten erneut installiert. Dies beinhaltet nicht die Kennwörter für Standardkonten. epo-konfiguration Wenn die Appliance, die die Konfigurationsdatei generiert hat, von epolicy Orchestrator verwaltet wurde, wendet diese diese epo-konfigurationseinstellungen an. Datenverkehr Benutzerdefinierte Einrichtung Wenn Sie den Assistenten für die benutzerdefinierte Einrichtung auswählen, können Sie über diese Seite die lokale Relay-Domäne sowie den Datenverkehrstyp angeben, den die Appliance scannt. Der -Verkehr umfasst SMTP und POP3. Sie können auch den Schutz gegen potentiell unerwünschte Programme sowie die McAfee Global Threat Intelligence aktivieren. Außerdem können Sie die lokale Relay-Domäne für die Appliance aktivieren. Web-Verkehr umfasst HTTP (für Web-Browsing), ICAP (zur Verwendung mit ICAP-Clients) und FTP für die Dateiübertragung. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 329

330 5 Übersicht über Systemfunktionen Setup-Assistent Sie können die einzelnen Protokolle (SMTP, POP3, HTTP, ICAP und FTP) aktivieren oder deaktivieren. Wenn sich die Appliance im transparenten Router- oder transparenten Bridge-Modus befindet und das Protokoll deaktiviert wird, passiert der Datenverkehr für das Protokoll die Appliance, wird aber nicht gescannt. Wenn sich die Appliance im Modus "Expliziter Proxy" befindet und ein Protokoll deaktiviert wird, wird der Verkehr abgelehnt, der für dieses Protokoll an die Appliance gesendet wird. Das Protokoll wird in der Appliance blockiert. Im Modus "Expliziter Proxy" wird nur SMTP-, POP3-, HTTP-, ICAP- und FTP-Verkehr von der Appliance verarbeitet. Sämtlicher anderer Datenverkehr wird abgelehnt. Wenn nach der Installation gar kein Datenverkehr gescannt werden soll, können Sie alle Protokolle auf dieser Seite deaktivieren. Unter Relay-en gibt die Appliance die Domäneninformationen an, falls diese über DHCP verfügbar sind. Löschen Sie den Stern, wenn Sie den vorgeschlagenen Domänennamen verwenden möchten, oder geben Sie einen anderen Domänennamen ein. Web Web-Konfiguration -Konfiguration Protokollkonfiguration Verbindungseinstellungen (SMTP) -Konfiguration Protokollkonfiguration Verbindungseinstellungen (POP3) Grundlegende Einstellungen Benutzerdefinierte Einrichtung Verwenden Sie diese Seite, wenn Sie den Assistenten für die benutzerdefinierte Einrichtung auswählen, um grundlegende Einstellungen für die Appliance im Modus "Transparente Bridge" anzugeben. Die Appliance versucht, Ihnen einige Informationen zur Verfügung zu stellen, und zeigt die Informationen gelb markiert an. Um diese Informationen zu ändern, klicken Sie, und geben Sie sie erneut ein. Tabelle 5-81 sbeschreibungen Grundlegende Einstellungen Cluster-Modus Aus Dies ist eine Standard-Appliance. Cluster-Scanner Die Appliance empfängt ihre Scan-Arbeit von einer Master-Appliance. Cluster-Master Die Appliance steuert die Scan-Arbeit verschiedener anderer Appliances. Cluster-Failover Falls der Master ausfällt, steuert diese Appliance stattdessen die Scan-Arbeit. Gerätename Domänenname Gibt einen Namen an, z. B. Appliance1. Gibt einen Domänennamen an, z. B. domaene1.com and Web Security Appliances 5.6 Patch 1 Produkthandbuch

331 Übersicht über Systemfunktionen Setup-Assistent 5 Tabelle 5-81 sbeschreibungen Grundlegende Einstellungen (Fortsetzung) Standard-Gateway Nächster Hop-Router Gibt eine IPv4-Adresse an, z. B Sie können später testen, ob die Appliance mit diesem Server kommunizieren kann. Gibt eine IPv6-Adresse an, z. B. FD4A:A1B2:C3D4::1. Cluster-Verwaltung Auf dieser Seite können Sie die Lastverteilung im Cluster konfigurieren. Abhängig davon, welchen Cluster-Modus Sie auf der Seite Grundlegende Einstellungen ausgewählt haben, ändert sich der auf der Seite Cluster-Verwaltung angezeigte Text. Beim Konfigurieren einer Gruppe von Appliance oder McAfee Content Security Blade Servern verwendet der aktuelle Master einen Algorithmus nach dem Prinzip "Am wenigsten verwendet", um den Appliances oder Blades Verbindungen zuzuweisen, deren Datenverkehr gescannt werden soll. Die nächste Verbindung wird der Appliance bzw. Blade, die aktuell die geringste Zahl von Verbindungen aufweist, zugewiesen. Für einen Appliance-Cluster: Wenn Sie nur über eine Master- und eine Failover-Appliance verfügen, die beide für das Scannen des Datenverkehrs konfiguriert sind, sendet die Master-Appliance die meisten Verbindungen zum Scannen an die Failover-Appliance. Wenn Sie über Scan-Appliances verfügen und das Scannen auf der Master- und der Failover-Appliance aktiviert haben, erhalten die Scan-Appliances den meisten Datenverkehr zum Scannen. Die Failover-Appliance erhält weniger Datenverkehr und die Master-Appliance am wenigsten. Falls Sie mehr als drei Appliances in einem Cluster betreiben, empfiehlt McAfee, das Scannen nicht auf der Master-Appliance zu aktivieren. Sie können die Master- und Failover-Blades eines McAfee Content Security Blade Server nicht zum Scannen von Datenverkehr konfigurieren. McAfee empfiehlt, McAfee Quarantine Manager zum Isolieren von -Nachrichten zu verwenden, wenn Sie Ihre Appliance in einer Cluster-Umgebung verwenden. Konfiguration der Cluster-Verwaltung (Standard-Appliance) Verwenden Sie diese Seite nicht. Die Cluster-Verwaltung ist deaktiviert. Cluster-Verwaltung (Cluster-Scanner) Verwenden Sie diese Seite, um Informationen für eine Scan-Appliance anzugeben. Tabelle 5-82 sbeschreibungen Cluster-Kennung Wenn Sie mehrere Cluster oder McAfee Content Security Blade Server im selben Subnetz betreiben, weisen Sie jedem Cluster eine andere Cluster-Kennung zu, damit es keine Konflikte zwischen den Clustern gibt. Der zulässige Bereich ist and Web Security Appliances 5.6 Patch 1 Produkthandbuch 331

332 5 Übersicht über Systemfunktionen Setup-Assistent Cluster-Verwaltung (Cluster-Master) Verwenden Sie diese Seite, um Informationen für eine Master-Appliance anzugeben. Im Modus "Expliziter Proxy" oder "Transparenter Router" können Sie das Failover zwischen zwei Appliances in einem Cluster aktivieren, indem Sie dieser Appliance eine virtuelle IP-Adresse zuweisen und eine andere Appliance als Cluster-Failover-Appliance mit derselben virtuellen Adresse konfigurieren. Im Modus "Transparente Bridge" erreichen Sie dies, indem Sie eine hohe STP-Priorität für diese Appliance einrichten und eine andere Appliance als Cluster-Failover-Appliance mit einer geringeren STP-Priorität konfigurieren. Tabelle 5-83 sbeschreibungen Für Lastenausgleich zu verwendende Adresse Cluster-Kennung Scannen auf dieser Appliance aktivieren (Nicht zutreffend auf Content Security Blade Servern) Gibt die Appliance-Adresse an. Wenn Sie mehrere Cluster oder McAfee Content Security Blade Server im selben Subnetz betreiben, weisen Sie jedem Cluster eine andere Cluster-Kennung zu, damit es keine Konflikte zwischen den Clustern gibt. Der zulässige Bereich ist Wenn diese nicht ausgewählt ist, verteilt diese Appliance die gesamte Scan-Arbeitslast auf die Scan-Appliances. Wenn Sie in einem Appliance-Cluster nur über eine Master- und eine Failover-Appliance verfügen, die beide für das Scannen des Datenverkehrs konfiguriert sind, sendet die Master-Appliance die meisten Verbindungen zum Scannen an die Failover-Appliance. Cluster-Verwaltung (Cluster-Failover) Verwenden Sie diese Seite, um Informationen für eine Failover-Appliance anzugeben. Tabelle 5-84 sbeschreibungen Für Lastenausgleich zu verwendende Adresse Cluster-Kennung Scannen auf dieser Appliance aktivieren (Nicht zutreffend auf Content Security Blade Servern) Gibt die Appliance-Adresse an. Bietet eine Liste aller einer Appliance zugewiesenen Subnetze. Wenn Sie mehrere Cluster oder McAfee Content Security Blade Server im selben Subnetz betreiben, weisen Sie jedem Cluster eine andere Cluster-Kennung zu, damit es keine Konflikte zwischen den Clustern gibt. Der zulässige Bereich ist Wenn diese nicht ausgewählt ist, verteilt diese Appliance die gesamte Scan-Arbeitslast auf die Scan-Appliances. Wenn Sie in einem Appliance-Cluster nur über eine Master- und eine Failover-Appliance verfügen, die beide für das Scannen des Datenverkehrs konfiguriert sind, sendet die Master-Appliance die meisten Verbindungen zum Scannen an die Failover-Appliance. DNS und Routing Verwenden Sie diese Seite des Assistenten für die benutzerdefinierte Einrichtung, um die Verwendung von DNS und Routen durch die Appliance zu konfigurieren. DNS-Server (Domain Name System) übersetzen die Namen von Netzwerkgeräten in IP-Adressen (und umgekehrt), d. h., sie ordnen die Namen und Adressen einander zu. Die Appliance sendet in der hier aufgeführten Reihenfolge Anfragen an DNS-Server and Web Security Appliances 5.6 Patch 1 Produkthandbuch

333 Übersicht über Systemfunktionen Setup-Assistent 5 Tabelle 5-85 sbeschreibungen DNS-Server Serveradresse Neuer Server/ Ausgewählte Server löschen Nur Anfragen an diese Server senden Zeigt die IP-Adressen der DNS-Server an. Beim ersten Server in der Liste muss es sich um den schnellsten bzw. zuverlässigsten Server handeln. Falls der erste Server die Anforderung nicht auflösen kann, nimmt die Appliance Kontakt mit dem zweiten Server auf. Falls keiner der Server in der Liste die Anforderung auflösen kann, leitet die Appliance die Anforderung an die DNS-Root-Namenserver im Internet weiter. Geben Sie die IP-Adresse eines lokalen Geräts mit Namensauflösungsfunktion an, wenn DNS-Suchen (in der Regel auf Port 53) von der Firewall verhindert werden. Fügt einen neuen Server zur Liste hinzu oder entfernt einen Server, beispielsweise, wenn Sie einen Server aufgrund von Netzwerkänderungen außer Betrieb setzen müssen. Standardmäßig ausgewählt. McAfee empfiehlt, diese ausgewählt zu lassen, da sie DNS-Abfragen möglicherweise beschleunigt, weil die Appliance die Abfragen nur an die angegebenen DNS-Server sendet. Wenn die Adresse unbekannt ist, werden Anfragen an die Root-DNS-Server im Internet gesendet. Wenn eine Antwort eingeht, empfängt die Appliance die Antwort und legt diese im Cache ab, sodass andere Server, die Abfragen an diesen DNS-Server senden, schneller eine Antwort erhalten können. Wenn Sie diese deaktivieren, versucht die Appliance zuerst, die Anfragen aufzulösen oder Abfragen an DNS-Server außerhalb Ihres Netzwerks zu senden. Tabelle 5-86 sbeschreibungen Routing Netzwerkadresse Maske Gateway Messgröße Neue Route Dynamisches Routing aktivieren Geben Sie die Netzwerkadresse der Route ein. Gibt an, wie viele Hosts sich in Ihrem Netzwerk befinden, beispielsweise Gibt die IP-Adresse des Routers an, der als nächster Hop außerhalb des Netzwerks verwendet wird. Die Adresse (IPv4) oder :: (IPv6) bedeutet, dass der Router über kein Standard-Gateway verfügt. Gibt die Priorität an, die der Route beigemessen wird. Eine niedrige Zahl weist auf eine hohe Priorität der jeweiligen Route hin. Fügen Sie eine neue Route zur Tabelle hinzu. Mithilfe der Pfeile können Sie die Route in der Liste nach oben und unten verschieben. Die Routen werden auf Grundlage ihrer Metrik ausgewählt. Verwenden Sie diese nur im Modus "Transparenter Router". Wenn diese aktiviert ist, kann die Appliance: Per Broadcast verbreitete Routing-Informationen empfangen, die über RIP (Standard) empfangen werden, und diese auf ihre Routing-Tabelle anwenden, sodass Sie Routing-Informationen, die bereits im Netzwerk vorhanden sind, nicht auf der Appliance duplizieren müssen Routing-Informationen per Broadcast verbreiten, wenn statische Routen über RIP in der Benutzeroberfläche konfiguriert wurden Zeiteinstellungen Auf dieser Seite des Assistenten für die benutzerdefinierte Einrichtung können Sie das Datum und die Uhrzeit sowie sämtliche Details für die Verwendung von NTP (Network Time Protocol) festlegen. NTP synchronisiert die Uhrzeiten unter den Geräten in einem Netzwerk. Einige Internet-Dienstanbieter bieten einen Uhrzeitdienst an. Weitere Informationen zu NTP finden Sie in RFC 1305 unter oder and Web Security Appliances 5.6 Patch 1 Produkthandbuch 333

334 5 Übersicht über Systemfunktionen Setup-Assistent Die Appliance kann ihre Uhrzeiteinstellungen mit anderen Geräten synchronisieren und hält dabei ihre eigenen Protokolle, Berichte und Zeitpläne stets auf dem neuesten Stand. Da NTP-Nachrichten nicht häufig versendet werden, beeinträchtigen sie die Leistung der Appliance nicht wesentlich. Tabelle 5-87 Zeiteinstellungen sbeschreibungen Zeitzone Systemzeit (lokal) Zeit der Appliance jetzt einstellen NTP aktivieren NTP-Client-Broadcasts aktivieren NTP-Server Gibt Ihre lokale Zeitzone an. Wenn in Ihrer Region Sommer- und Winterzeit gelten, müssen Sie die Zeitzone zweimal im Jahr ändern. Gibt das Datum und die lokale Uhrzeit an. Klicken Sie auf das Kalendersymbol, um das Datum festzulegen. Wenn Sie darauf klicken, wird die Zeit in der Appliance eingestellt. Sie müssen auf diese Schaltfläche klicken, bevor Sie auf Weiter klicken. Falls erforderlich, können Sie nach der Installation NTP (Network Time Protocol) konfigurieren. Wenn ausgewählt, akzeptiert NTP Nachrichten von einem angegebenen Server oder einem Netzwerk-Broadcast. Wenn ausgewählt, akzeptiert NTP Nachrichten nur von Netzwerk-Broadcasts. Diese Methode ist hilfreich, wenn das Netzwerk ausgelastet ist, es muss aber anderen Geräten im Netzwerk vertraut werden. Wenn diese nicht ausgewählt ist, akzeptiert NTP Nachrichten nur von Servern, die in der Liste angegeben sind. Zeigt die Netzwerkadresse oder einen Domänennamen eines oder mehrerer NTP-Server an, die die Appliance verwendet. Wenn Sie mehrere Server angeben, prüft die Appliance jede NTP-Nachricht, um die richtige Uhrzeit zu bestimmen. Kennwort Auf dieser Seite des Assistenten für die benutzerdefinierte Einrichtung können Sie ein Kennwort für die Appliance festlegen. Ein sicheres Kennwort besteht aus Buchstaben und Ziffern. Sie können bis zu 15 Zeichen eingeben. Tabelle 5-88 sbeschreibungen Benutzer-ID Kennwort Diese lautet scmadmin. Sie können später weitere Benutzer hinzufügen. Gibt das neue Kennwort an. Ändern Sie das Kennwort baldmöglichst, damit Ihre Appliance geschützt bleibt. Sie müssen das neue Kennwort zweimal eingeben, um es zu bestätigen. Das ursprüngliche Standardkennwort lautet scmchangeme. Zusammenfassung Benutzerdefinierte Einrichtung Auf dieser Seite können Sie, wenn Sie den Assistenten für die benutzerdefinierte Einrichtung verwenden, eine Zusammenfassung der Einstellungen anzeigen, die Sie für Netzwerkverbindungen und das Scannen des Netzwerkverkehrs vorgenommen haben. Wenn Sie einen Wert ändern möchten, klicken Sie auf den entsprechenden blauen Link, um die Seite anzuzeigen, auf der Sie den Wert ursprünglich eingegeben haben. Nachdem Sie auf Fertig stellen geklickt haben, wird der Setup-Assistent abgeschlossen. Verwenden Sie die hier angezeigte IP-Adresse, um die Benutzeroberfläche aufzurufen. Beispiel: Beachten Sie, dass die Adresse mit https und nicht mit http beginnt and Web Security Appliances 5.6 Patch 1 Produkthandbuch

335 Übersicht über Systemfunktionen Setup-Assistent 5 Wenn Sie sich zum ersten Mal bei der Benutzeroberfläche anmelden, geben Sie den Benutzernamen scmadmin und das Kennwort ein, das Sie in diesem Setup-Assistenten angegeben haben. Tabelle 5-89 sbeschreibungen Der Wert entspricht bewährten Praktiken. Der Wert ist wahrscheinlich nicht korrekt. Er ist zwar gültig, entspricht aber nicht bewährten Praktiken. Prüfen Sie den Wert, bevor Sie fortfahren. Es wurde kein Wert festgelegt. Der vorgegebene Standardwert wurde nicht geändert. Prüfen Sie den Wert, bevor Sie fortfahren. Einrichten der Verwaltung durch epo Verwenden Sie den Assistenten "Einrichten der Verwaltung durch epo", um die Appliance so zu konfigurieren, dass sie von Ihrem epolicy Orchestrator-Server aus verwaltet werden kann. Der Assistent "Einrichten der Verwaltung durch epo" enthält die folgenden Seiten: Einstellungen für die epo-verwaltung auf Seite 336 Datenverkehr Standardeinrichtung auf Seite 318 Grundlegende Einstellungen Standardeinrichtung auf Seite 319 Netzwerkeinstellungen auf Seite 323 Cluster-Verwaltung auf Seite 323 Kennwort auf Seite 327 Zusammenfassung Standardeinrichtung auf Seite 320 Inhalt Einstellungen für die epo-verwaltung Grundlegende Einstellungen Einrichten der Verwaltung durch epo Netzwerkeinstellungen Cluster-Verwaltung DNS und Routing Zeiteinstellungen Kennwort Zusammenfassung Einrichten der Verwaltung durch epo and Web Security Appliances 5.6 Patch 1 Produkthandbuch 335

336 5 Übersicht über Systemfunktionen Setup-Assistent Einstellungen für die epo-verwaltung Verwenden Sie diese Seite, wenn Sie die Verwaltung durch epo im Setup-Assistenten einrichten, um die Appliance für die Verwaltung durch McAfee epolicy Orchestrator zu konfigurieren. Tabelle 5-90 sbeschreibungen epo-erweiterungen Laden Sie die epolicy Orchestrator-Erweiterungen für and Web Security Appliances herunter. Diese Datei enthält sowohl die EWG- als auch die EWS-Erweiterung. Die EWG-Erweiterung ermöglicht die Berichterstellung in epolicy Orchestrator für die folgenden Produkte: and Web Security Appliances Version 5.5 and Web Security Appliances Version 5.6 McAfee Web Gateway McAfee Gateway Die EWS-Erweiterung bietet eine vollständige epolicy Orchestrator-Verwaltung für and Web Security Appliances Version 5.6. Damit Sie epolicy Orchestrator für die Berichterstellung oder die Verwaltung verwenden können, müssen die epo-erweiterungen auf Ihrem epolicy Orchestrator-Server installiert sein. epo-hilfe-erweiterungen epo-verbindungseinstellungen importieren Laden Sie die epolicy Orchestrator-Hilfe-Erweiterungen für die beiden oben angegebenen epo-erweiterungen herunter. Diese Datei installiert die zu den epolicy Orchestrator-Erweiterungen für and Web Security Appliances gehörenden Hilfe-Erweiterungen auf Ihrem epolicy Orchestrator-Server. Klicken Sie hier, um zur Datei mit den Verbindungseinstellungen für epolicy Orchestrator zu navigieren und die epolicy Orchestrator-Verbindungsinformationen in die Appliance zu importieren. Vorgehensweise Konfigurieren der Appliance für das Arbeiten mit epolicy Orchestrator Gehen Sie wie nachfolgend beschrieben vor, um die Appliance für die Verwaltung durch epolicy Orchestrator einzurichten: 1 Wählen Sie in Ihrer and Web Security Appliance unter Einstellungen für die epo-verwaltung die epo-erweiterungen, und klicken Sie auf Speichern, um die Erweiterungsdatei herunterzuladen. 2 Wählen Sie in Ihrer and Web Security Appliance unter Einstellungen für die epo-verwaltung die epo 4.5-Hilfe, und klicken Sie auf Speichern, um die Hilfedatei herunterzuladen. 3 Installieren Sie diese Erweiterungen auf dem epo-server, indem Sie Menü Software Erweiterungen Erweiterungen installieren wählen. 4 Speichern Sie auf dem epo-server die Verbindungseinstellungen mithilfe des Befehls Menü Gateway-Schutz and Web Gateway Aktionen Verbindungseinstellungen exportieren and Web Security Appliances 5.6 Patch 1 Produkthandbuch

337 Übersicht über Systemfunktionen Setup-Assistent 5 5 Kehren Sie in der and Web Security Appliance zur Seite "Einstellungen für die epo-verwaltung" im Setup-Assistenten der Appliance zurück, und klicken Sie auf epo-verbindungseinstellungen importieren. Navigieren Sie zur epo-verbindungseinstellungsdatei. 6 Klicken Sie auf Weiter, um im Setup-Assistenten mit der Seite Grundlegende Einstellungen fortzufahren. Grundlegende Einstellungen Einrichten der Verwaltung durch epo Verwenden Sie diese Seite, um die grundlegenden Einstellungen für die Appliance zu konfigurieren, die durch epolicy Orchestrator verwaltet wird. Tabelle 5-91 sbeschreibungen Cluster-Modus Folgende en stehen zur Auswahl: Aus (Standard-Appliance) Cluster-Scanner Cluster-Master Cluster-Failover Gerätename Domänenname Standard-Gateway (IPv4) Nächster Hop-Router (IPv6) Netzwerkschnittstelle Netzwerkeinstellungen Verwenden Sie diese Seite, um die IP-Adresse und die Netzwerkgeschwindigkeiten für die Appliance zu konfigurieren. Sie können IPv4- und IPv6-Adressen verwenden, entweder separat oder zusammen. Vergeben Sie neue IP-Adressen für die Appliance und deaktivieren Sie die standardmäßigen IP-Adressen, um doppelte IP-Adressen im Netzwerk zu vermeiden und um Hacker abzuhalten. Die IP-Adressen müssen eindeutig und für Ihr Netzwerk geeignet sein. Geben Sie so viele IP-Adressen wie erforderlich an. Tabelle 5-92 Netzwerkeinstellungen sbeschreibungen Netzwerkeinstellungen ändern Betriebsmodus Durch Klicken auf diese wird ein Assistent mit den folgenden en gestartet. Bietet eine Auswahl an Modi. Im Modus Transparente Route oder Transparente Bridge wissen andere Netzwerkgeräte wie -Server nicht, dass die Appliance die vor dem Weiterleiten abgefangen und gescannt hat. Der Vorgang auf der Appliance ist für andere Geräte transparent, also unsichtbar. Im Modus Expliziter Proxy senden einige Netzwerkgeräte Datenverkehr an die Appliance. Die Appliance fungiert dann als Proxy und verarbeitet den Datenverkehr für die Geräte. LAN-Schnittstellentyp Gibt den Verbindungstyp an Kupferleitung oder Glasfaser. Diese ist nur für High-Speed-Appliances verfügbar. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 337

338 5 Übersicht über Systemfunktionen Setup-Assistent Tabelle 5-92 Netzwerkeinstellungen sbeschreibungen (Fortsetzung) IP-Adresse Netzwerkmaske Gibt Netzwerkadressen an, die es der Appliance ermöglichen, mit Ihrem Netzwerk zu kommunizieren. Beispiel: oder FD4A:A1B2:C3D4::1. Sie können mehrere IP-Adressen für die Anschlüsse der Appliance angeben. Wenn sich die Appliance im transparenten Modus befindet, werden die IP-Adressen für beide Anschlüsse in einer Liste zusammengefasst. Klicken Sie in den anderen Modi auf Netzwerkschnittstelle 1 bzw. Netzwerkschnittstelle 2, um die jeweilige Liste zu bearbeiten. Bei der ersten IP-Adresse in der Liste handelt es sich um die primäre Adresse. Bei den nachfolgenden IP-Adressen handelt es sich um Aliasadressen. Gibt die IPv4-Netzwerkmaske an, z. B , oder gibt die IPv6-Präfixlänge an (1-64 oder 128). Cluster-Verwaltung Mithilfe dieser Seite können Sie die Anforderungen an den Lastenausgleich angeben. Konfiguration der Cluster-Verwaltung (Standard-Appliance) Verwenden Sie diese Seite nicht. Die Cluster-Verwaltung ist deaktiviert. Cluster-Verwaltung (Cluster-Scanner) Verwenden Sie diese Seite, um Informationen für eine Scan-Appliance anzugeben. Tabelle 5-93 sbeschreibungen Cluster-Kennung Gibt eine ID an. Der Bereich liegt zwischen 0 und 255. Cluster-Verwaltung (Cluster-Master) Verwenden Sie diese Seite, um Informationen für eine Master-Appliance anzugeben. Tabelle 5-94 sbeschreibungen Für Lastenausgleich zu verwendende Adresse Gibt die Appliance-Adresse an. Cluster-Kennung Gibt eine ID an. Der Bereich liegt zwischen 0 und 255. Scannen auf dieser Appliance aktivieren Wenn diese nicht ausgewählt ist, verteilt diese Appliance die gesamte Scan-Arbeitslast auf die Scan-Appliances. Cluster-Verwaltung (Cluster-Failover) Verwenden Sie diese Seite, um Informationen für eine Failover-Appliance anzugeben. Tabelle 5-95 sbeschreibungen Für Lastenausgleich zu verwendende Adresse Gibt die Appliance-Adresse an. Bietet eine Liste aller einer Appliance zugewiesenen Subnetze. Cluster-Kennung Gibt eine ID an. Der Bereich liegt zwischen 0 und 255. Scannen auf dieser Appliance aktivieren Wenn diese nicht ausgewählt ist, verteilt diese Appliance die gesamte Scan-Arbeitslast auf die Scan-Appliances and Web Security Appliances 5.6 Patch 1 Produkthandbuch

339 Übersicht über Systemfunktionen Setup-Assistent 5 DNS und Routing Verwenden Sie diese Seite des Assistenten für die benutzerdefinierte Einrichtung, um die Verwendung von DNS und Routen durch die Appliance zu konfigurieren. DNS-Server (Domain Name System) übersetzen die Namen von Netzwerkgeräten in IP-Adressen (und umgekehrt), d. h., sie ordnen die Namen und Adressen einander zu. Die Appliance sendet in der hier aufgeführten Reihenfolge Anfragen an DNS-Server. Tabelle 5-96 sbeschreibungen DNS-Server Serveradresse Neuer Server/ Ausgewählte Server löschen Nur Anfragen an diese Server senden Zeigt die IP-Adressen der DNS-Server an. Beim ersten Server in der Liste muss es sich um den schnellsten bzw. zuverlässigsten Server handeln. Falls der erste Server die Anforderung nicht auflösen kann, nimmt die Appliance Kontakt mit dem zweiten Server auf. Falls keiner der Server in der Liste die Anforderung auflösen kann, leitet die Appliance die Anforderung an die DNS-Root-Namenserver im Internet weiter. Geben Sie die IP-Adresse eines lokalen Geräts mit Namensauflösungsfunktion an, wenn DNS-Suchen (in der Regel auf Port 53) von der Firewall verhindert werden. Fügt einen neuen Server zur Liste hinzu oder entfernt einen Server, beispielsweise, wenn Sie einen Server aufgrund von Netzwerkänderungen außer Betrieb setzen müssen. Standardmäßig ausgewählt. McAfee empfiehlt, diese ausgewählt zu lassen, da sie DNS-Abfragen möglicherweise beschleunigt, weil die Appliance die Abfragen nur an die angegebenen DNS-Server sendet. Wenn die Adresse unbekannt ist, werden Anfragen an die Root-DNS-Server im Internet gesendet. Wenn eine Antwort eingeht, empfängt die Appliance die Antwort und legt diese im Cache ab, sodass andere Server, die Abfragen an diesen DNS-Server senden, schneller eine Antwort erhalten können. Wenn Sie diese deaktivieren, versucht die Appliance zuerst, die Anfragen aufzulösen oder Abfragen an DNS-Server außerhalb Ihres Netzwerks zu senden. Tabelle 5-97 sbeschreibungen Routing Netzwerkadresse Maske Gateway Messgröße Neue Route Dynamisches Routing aktivieren Geben Sie die Netzwerkadresse der Route ein. Gibt an, wie viele Hosts sich in Ihrem Netzwerk befinden, beispielsweise Gibt die IP-Adresse des Routers an, der als nächster Hop außerhalb des Netzwerks verwendet wird. Die Adresse (IPv4) oder :: (IPv6) bedeutet, dass der Router über kein Standard-Gateway verfügt. Gibt die Priorität an, die der Route beigemessen wird. Eine niedrige Zahl weist auf eine hohe Priorität der jeweiligen Route hin. Fügen Sie eine neue Route zur Tabelle hinzu. Mithilfe der Pfeile können Sie die Route in der Liste nach oben und unten verschieben. Die Routen werden auf Grundlage ihrer Metrik ausgewählt. Verwenden Sie diese nur im Modus "Transparenter Router". Wenn diese aktiviert ist, kann die Appliance: Per Broadcast verbreitete Routing-Informationen empfangen, die über RIP (Standard) empfangen werden, und diese auf ihre Routing-Tabelle anwenden, sodass Sie Routing-Informationen, die bereits im Netzwerk vorhanden sind, nicht auf der Appliance duplizieren müssen Routing-Informationen per Broadcast verbreiten, wenn statische Routen über RIP in der Benutzeroberfläche konfiguriert wurden and Web Security Appliances 5.6 Patch 1 Produkthandbuch 339

340 5 Übersicht über Systemfunktionen Setup-Assistent Zeiteinstellungen Auf dieser Seite des Assistenten für die benutzerdefinierte Einrichtung können Sie das Datum und die Uhrzeit sowie sämtliche Details für die Verwendung von NTP (Network Time Protocol) festlegen. NTP synchronisiert die Uhrzeiten unter den Geräten in einem Netzwerk. Einige Internet-Dienstanbieter bieten einen Uhrzeitdienst an. Weitere Informationen zu NTP finden Sie in RFC 1305 unter oder Die Appliance kann ihre Uhrzeiteinstellungen mit anderen Geräten synchronisieren und hält dabei ihre eigenen Protokolle, Berichte und Zeitpläne stets auf dem neuesten Stand. Da NTP-Nachrichten nicht häufig versendet werden, beeinträchtigen sie die Leistung der Appliance nicht wesentlich. Tabelle 5-98 Zeiteinstellungen sbeschreibungen Zeitzone Systemzeit (lokal) Zeit der Appliance jetzt einstellen NTP aktivieren NTP-Client-Broadcasts aktivieren NTP-Server Gibt Ihre lokale Zeitzone an. Wenn in Ihrer Region Sommer- und Winterzeit gelten, müssen Sie die Zeitzone zweimal im Jahr ändern. Gibt das Datum und die lokale Uhrzeit an. Klicken Sie auf das Kalendersymbol, um das Datum festzulegen. Wenn Sie darauf klicken, wird die Zeit in der Appliance eingestellt. Sie müssen auf diese Schaltfläche klicken, bevor Sie auf Weiter klicken. Falls erforderlich, können Sie nach der Installation NTP (Network Time Protocol) konfigurieren. Wenn ausgewählt, akzeptiert NTP Nachrichten von einem angegebenen Server oder einem Netzwerk-Broadcast. Wenn ausgewählt, akzeptiert NTP Nachrichten nur von Netzwerk-Broadcasts. Diese Methode ist hilfreich, wenn das Netzwerk ausgelastet ist, es muss aber anderen Geräten im Netzwerk vertraut werden. Wenn diese nicht ausgewählt ist, akzeptiert NTP Nachrichten nur von Servern, die in der Liste angegeben sind. Zeigt die Netzwerkadresse oder einen Domänennamen eines oder mehrerer NTP-Server an, die die Appliance verwendet. Wenn Sie mehrere Server angeben, prüft die Appliance jede NTP-Nachricht, um die richtige Uhrzeit zu bestimmen. Kennwort Auf dieser Seite des Assistenten für die benutzerdefinierte Einrichtung können Sie ein Kennwort für die Appliance festlegen. Ein sicheres Kennwort besteht aus Buchstaben und Ziffern. Sie können bis zu 15 Zeichen eingeben. Tabelle 5-99 sbeschreibungen Benutzer-ID Kennwort Diese lautet scmadmin. Sie können später weitere Benutzer hinzufügen. Gibt das neue Kennwort an. Ändern Sie das Kennwort baldmöglichst, damit Ihre Appliance geschützt bleibt. Sie müssen das neue Kennwort zweimal eingeben, um es zu bestätigen. Das ursprüngliche Standardkennwort lautet scmchangeme. Zusammenfassung Einrichten der Verwaltung durch epo Auf dieser Seite können Sie, wenn Sie den Assistenten "Einrichten der Verwaltung durch epo" verwenden, eine Zusammenfassung der Einstellungen, die Sie für Netzwerkverbindungen und das 340 and Web Security Appliances 5.6 Patch 1 Produkthandbuch

341 Übersicht über Systemfunktionen Setup-Assistent 5 Scannen des Netzwerkverkehrs vorgenommen haben, den Cluster-Status und die Scan-Einstellungen anzeigen, die epolicy Orchestrator für die Appliance verwaltet. Wenn Sie einen Wert ändern möchten, klicken Sie auf den entsprechenden blauen Link, um die Seite anzuzeigen, auf der Sie den Wert ursprünglich eingegeben haben. Nachdem Sie auf Fertig stellen geklickt haben, wird der Setup-Assistent abgeschlossen. Verwenden Sie die hier angezeigte IP-Adresse, um die Benutzeroberfläche aufzurufen. Beispiel: Beachten Sie, dass die Adresse mit https und nicht mit http beginnt. Wenn Sie sich zum ersten Mal bei der Benutzeroberfläche anmelden, geben Sie den Benutzernamen scmadmin und das Kennwort ein, das Sie in diesem Setup-Assistenten angegeben haben. Die Appliance wird jetzt von epolicy Orchestrator verwaltet. Melden Sie sich beim epo-server an, um Ihre Appliance zu verwalten. Tabelle sbeschreibungen Der Wert entspricht bewährten Praktiken. Der Wert ist wahrscheinlich nicht korrekt. Er ist zwar gültig, entspricht aber nicht bewährten Praktiken. Prüfen Sie den Wert, bevor Sie fortfahren. Es wurde kein Wert festgelegt. Der vorgegebene Standardwert wurde nicht geändert. Prüfen Sie den Wert, bevor Sie fortfahren. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 341

342

343 6 Übersicht 6 über Fehlerbehebungsfunktionen Dieses Thema bietet einen Überblick über die Funktionen der and Web Security Appliances, die Sie bei der Fehlerbehebung in der Appliance unterstützen. Fehlerbehebung Falls Probleme auftauchen, lesen Sie den Abschnitt "Fehlerbehebung", der die Antworten zu einigen häufig gestellten Fragen enthält. Die Appliance verfügt über zahlreiche Diagnosetools zur Fehlerermittlung. Der Link Ressourcen am oberen Rand des Appliance-Fensters bietet Links zu folgenden Informationen: Kontaktieren des Supports. Einsenden einer Probe. Bibliothek mit Virusinformationen. Zusätzliche Ressourcen, einschließlich Links zu einer Liste mit McAfee-Adressen sowie zu den SNMP-MIB-Definitionen. Inhalt Tools zur Fehlerbehebung Berichte zur Fehlerbehebung Tests Tools zur Fehlerbehebung In diesen Themen werden die Fehlerbehebungs-Tools vorgestellt, die die Appliance anbietet. Fehlerbehebung Tools Inhalt Ping- und Traceroute Systemzustand Route-Informationen Speicherplatz and Web Security Appliances 5.6 Patch 1 Produkthandbuch 343

344 6 Übersicht über Fehlerbehebungsfunktionen Tools zur Fehlerbehebung Ping- und Traceroute Mit dieser Seite können Sie testen, ob die Appliance andere Geräte über das Netzwerk erreichen kann. Fehlerbehebung Fehlerbehebungs-Tools Ping- und Traceroute Wenn eine Antwort zurückkommt, kann das Gerät erreicht werden. Wenn eine Zeitüberschreitung bei der Anfrage auftritt, kann das Gerät nicht erreicht werden. Dieser Test schließt physische Probleme mit der Netzwerkverbindung als Ursache aus und stellt sicher, dass andere Geräte eingeschaltet sind. Tabelle 6-1 sbeschreibungen Ziel-IP und Domänenname Ping-Zähler IPv6-Protokoll verwenden Ping-Ziel Traceroute Gibt das Zielgerät oder die Domäne an. Gibt an, wie häufig die Anfrage gesendet wird. Wenn ausgewählt, wird das IPv6-Protokoll verwendet. Wenn nicht ausgewählt, wird das IPv4-Protokoll verwendet. Wenn Sie darauf klicken, wird die Anfrage gesendet und Informationen zu den Paketen bereitgestellt. Wenn Sie darauf klicken, wird die Anfrage gesendet und Informationen zur jeweiligen Route bereitgestellt. Systemzustand Auf dieser Seite können Sie Informationen zum Status der Verarbeitung anzeigen. Fehlerbehebung Fehlerbehebungs-Tools Systemauslastung Die Anzeige wird alle paar Sekunden aktualisiert. Die Informationen ähneln denen aus dem Linux-Top-Befehl. Tabelle 6-2 sbeschreibungen Pausieren Informationen zur Betriebszeit Auslastungsdurchschnitt CPU Prozesse Arbeitsspeicher Wenn Sie darauf klicken, werden die Informationen nicht weiter aktualisiert. Klicken Sie auf Fortsetzen, um zur normalen Aktualisierung zurückzukehren. Zeigt an, wie lange das System ausgeführt wurde. Zeigt Werte für den Auslastungsdurchschnitt an, also die durchschnittliche Anzahl an Prozessen, die in den letzten 1, 5 und 15 Minuten bereit zur Ausführung waren. Zeigt den Prozentsatz an CPU-Zeit im Benutzermodus, Systemmodus und Ruhezustand an. (Nice-Tasks sind nur diejenigen, deren Nice-Wert positiv ist.) Die auf Nice-Tasks verwendete Zeit ist in der System- und Benutzerzeit enthalten, sodass die Gesamtzeit mehr als 100 % beträgt. Zeigt die Gesamtzahl an Prozessen an, die zur Zeit der letzten Aktualisierung ausgeführt wurden, sowie die Komponenten aller Prozesse, die ausgeführt werden, sich im Ruhezustand befinden, angehalten wurden oder Zombies sind. Zeigt Statistiken zur Speichernutzung an, einschließlich des gesamten verfügbaren Speichers, des freien und genutzten Speichers, des gemeinsamen Speichers und des für Puffer verwendeten Speichers and Web Security Appliances 5.6 Patch 1 Produkthandbuch

345 Übersicht über Fehlerbehebungsfunktionen Tools zur Fehlerbehebung 6 Tabelle 6-2 sbeschreibungen (Fortsetzung) Swap Befehl Status Zeigt Statistiken zum Swap-Speicherplatz, einschließlich des gesamten Swap-Speicherplatzes, des verfügbaren und des genutzten Swap-Speicherplatzes an. Zeigt Informationen zu den einzelnen Prozessen an. Route-Informationen Auf dieser Seite finden Sie Informationen zu den Routen, die für den Zugriff auf bestimmte Netzwerke und Hosts verwendet wurden. Fehlerbehebung Fehlerbehebungs-Tools Route-Informationen Auf dieser Seite können Sie Informationen zu folgenden Themen anzeigen: Routen, die für den Zugriff auf bestimmte Netzwerke verwendet werden. Routen, die für den Zugriff auf Hosts verwendet werden, die kürzlich IP-Pakete von der Appliance erhalten haben. Diese Hostinformationen werden im lokalen Cache der Appliance gespeichert. Es kann einige Minuten dauern, bis die Informationen angezeigt werden. Die Informationen sind denen aus dem Linux-Route-Befehl ähnlich. Tabelle 6-3 sbeschreibungen Weiterleitungs-Cache anzeigen Numerische Adressen verwenden Aktualisieren Ziel Gateway oder Next-Hop Genmaske Bei Auswahl dieser können Adressinformationen angegeben werden, die die Appliance aus Konversationen mit anderen Geräten ableitet. Klicken Sie zum Anzeigen der Informationen auf Aktualisieren. Bei Auswahl dieser können IP-Adressen statt Domänennamen in den Spalten Quelle, Ziel und Gateway angegeben werden. Klicken Sie zum Anzeigen der Informationen auf Aktualisieren. Wenn Sie hierauf klicken, werden die angeforderten Informationen durch die Einstellungen für Weiterleitungs-Cache anzeigen und Numerische Adressen verwenden angezeigt. Zeigt das Netzwerk an, an das IP-Pakete für diese Route gesendet werden. Ein Ziel bedeutet, dass die im Setup-Assistenten angegebene Standard-Route verwendet wird. Gibt die IP-Adresse des Routers an, der als nächster Hop-Out des Netzwerks verwendet wird. Die Adresse bedeutet, dass die Route über kein Standard-Gateway verfügt. Zeigt die Netzwerkmaske an, die bestimmt, ob es sich bei einer IP-Adresse um die Adresse eines Netzwerks oder eines bestimmten Host handelt. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 345

346 6 Übersicht über Fehlerbehebungsfunktionen Tools zur Fehlerbehebung Tabelle 6-3 sbeschreibungen (Fortsetzung) Flags Zeigt Informationen zur Route an, z. B.: Eine Route wurde abgelehnt, möglicherweise zu Gunsten einer alternativen Route. (!) Messgröße Installiert durch addrconf. (A oder addrconf) Ein Eintrag im Cache der Appliance. (C) Eine dynamisch installierte Route. (D) Das Ziel ist ein Gateway oder Netzwerk (ausgenommen das interne Netzwerk der Appliance). (G oder Gateway) Das Ziel ist ein Host. (H) Die Route verwendet die Loopback-Schnittstelle. (I oder intern) Das Ziel ist eine Adresse dieser Appliance. (L oder lokal) Eine dynamisch veränderte Route. (M) Die Route wurde durch dynamisches Routing erneut eingerichtet. (R) Die Route ist verfügbar und kann verwendet werden. (U oder Up) Zeigt die Priorität an, die der Route beigemessen wird. Eine niedrige Zahl weist auf eine hohe Priorität der jeweiligen Route hin. Ref. Zeigt die Anzahl an Verweisen auf diese Route an, üblicherweise 0. Verwendung Schnittstelle Zeigt an, wie häufig die Appliance in der letzten Zeit diese Route ausgewählt hat. Zeigt den Port an, an den IP-Pakete gesendet werden. lo Loopback-Schnittstelle. ibr0 Netzwerk-Schnittstelle im Modus "Transparente Bridge". eth0 entspricht LAN1. eth1 entspricht LAN2. Speicherplatz Auf dieser Seite können Sie sehen, wie der Speicherplatz verwendet wird. Fehlerbehebung Fehlerbehebungs-Tools Speicherplatz Tabelle 6-4 sbeschreibungen Gemounted am Größe, Verwendeter Prozentsatz Zeigt den Namen jedes Verzeichnisses an. Klicken Sie auf einen Namen, um ein anderes Fenster zu öffnen, und klicken Sie dann auf die Pfeile neben weiteren Namen, um die Größe der untergeordneten Verzeichnisse anzuzeigen. Zeigt Informationen zu jedem Hauptverzeichnis an. Prozentsätze werden auf die nächste Ganzzahl gerundet and Web Security Appliances 5.6 Patch 1 Produkthandbuch

347 Übersicht über Fehlerbehebungsfunktionen Berichte zur Fehlerbehebung 6 Berichte zur Fehlerbehebung In diesen Themen werden die Berichte zur Fehlerbehebung vorgestellt, die die Appliance anbietet. Fehlerbehebung Berichte Inhalt Minimum-Eskalations-Bericht Netzwerkverkehr aufzeichnen Quarantäne speichern Protokolldateien Fehlerberichts-Tool Minimum-Eskalations-Bericht Falls Sie vom technischen Support von McAfee dazu aufgefordert werden, verwenden Sie diese Seite, um einen Minimum-Eskalations-Bericht zu erstellen, der dem Support dabei hilft, Probleme mit Ihrer Appliance zu diagnostizieren. Fehlerbehebung Berichte zur Fehlerbehebung Minimum-Eskalations-Bericht Der Bericht bietet dem Support die mindestens erforderlichen Informationen. Möglicherweise werden Sie später aufgefordert, weitere Informationen einzugeben. Der Bericht wird in eine ZIP-Datei gepackt, was einige Minuten dauern kann. Die Dateigröße beträgt mehrere Megabyte. Tabelle 6-5 sbeschreibungen Netzwerktests ausführen Sammeln... Bericht erstellen Bericht speichern Bericht löschen Wenn ausgewählt, wird dieser Informationstyp zum Bericht hinzugefügt. Wenn ausgewählt, werden diese Dateien zum Bericht hinzugefügt. Wenn Sie darauf klicken, werden die angegebenen Elemente in einer.zip-datei gesammelt. Während Daten gesammelt werden, wird der Fortschritt der Sammlung in einem neuen Fenster angezeigt. Um das Fenster auszublenden, klicken Sie auf Schließen. Um das Fenster erneut zu öffnen, klicken Sie auf Aktuellen Fortschritt anzeigen. Wenn Sie auf diese klicken, können Sie die Informationen als separate HTML-Dateien auf der Appliance anzeigen oder in einer ZIP-Datei speichern. Der Dateiname enthält das Datum und die Uhrzeit. Wenn Sie darauf klicken, wird der Bericht aus der Appliance entfernt. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 347

348 6 Übersicht über Fehlerbehebungsfunktionen Berichte zur Fehlerbehebung Netzwerkverkehr aufzeichnen Auf dieser Seite können Sie den auf der Appliance ein- und ausgehenden TCP-Verkehr für die spätere Analyse abfangen. Fehlerbehebung Bericht zur Fehlerbehebung Netzwerkverkehr aufzeichnen Dieses Tool kann nicht ordnungsgemäß verwendet werden, wenn die Appliance im Modus "Transparenter Router" oder im Modus "Transparente Bridge" ausgeführt wird. Die Ausgabedatei ist eine gzip-komprimierte tcpdump-erfassungsdatei. Sie können die Ausgabedatei mit einem Tool wie Wireshark oder WinDump analysieren. Tabelle 6-6 sbeschreibungen Alles Ausgewählte Protokolle Aufzeichnungsdauer Maximale Größe der Ausgabedatei Bericht erstellen Wenn ausgewählt, werden Informationen zu TCP-Paketen in allen Protokollen gesammelt. Wenn ausgewählt, werden nur die Informationen zu TCP-Paketen gesammelt, die entsprechend den ausgewählten Protokollen auf einem solchen Port einoder ausgehen. Die Datei kann groß werden, weshalb Sie keine Daten von mehr Protokollen als erforderlich sammeln sollten. Gibt an, wie lange Daten aufgezeichnet werden sollen. Der Standardwert beträgt 30 Minuten. Gibt eine Größenbeschränkung für den Bericht an. Der Standardwert lautet 50 MB. Wenn Sie darauf klicken, beginnt das Sammeln von Informationen zum Netzwerkverkehr. Während Daten gesammelt werden, wird der Fortschritt in einem neuen Fenster angezeigt. Um das Fenster auszublenden, klicken Sie auf Schließen. Um das Fenster erneut zu öffnen, klicken Sie auf Aktuellen Fortschritt anzeigen. Das Aufzeichnen wird angehalten, wenn eines der folgenden Ereignisse eintritt: Der Zeitraum endet. Die maximale Dateigröße ist überschritten. Sie klicken im Fenster Netzwerkaufzeichnungsfortschritt auf Aufzeichnung stoppen. Der Datenträger der Appliance ist fast voll. Bericht speichern Bericht löschen Wenn Sie auf diese klicken, können Sie die Informationen als separate Dateien auf der Appliance anzeigen oder die Informationen in einer gezippten TAR-Datei speichern. Der Dateiname enthält das Datum und die Uhrzeit. Wenn Sie darauf klicken, wird der Bericht aus der Appliance entfernt and Web Security Appliances 5.6 Patch 1 Produkthandbuch

349 Übersicht über Fehlerbehebungsfunktionen Berichte zur Fehlerbehebung 6 Quarantäne speichern Über diese Seite können Sie isolierte Elemente angeben, die offline gespeichert werden. Fehlerbehebung Berichte zur Fehlerbehebung Quarantäne speichern Die Elemente werden in einer.zip-datei gespeichert, was einige Minuten dauern kann. Um die Listen der isolierten Elemente auf der Appliance anzuzeigen, wählen Sie in der Navigationsleiste Nachrichtensuche aus. Um die s in der Warteschlange anzuzeigen, wählen Sie -Übersicht aus. Tabelle 6-7 sbeschreibungen Quarantäneviren an MQM umgeleitet Bericht erstellen Bericht speichern Bericht löschen Wenn ausgewählt, werden die in den Bericht einzubeziehenden Elemente angegeben. Wenn Sie Quarantäneviren, Quarantänewarteschlange oder MQM umgeleitet auswählen, führt der Bericht infizierte Dateien auf. Wenn Sie darauf klicken, werden die angegebenen Elemente in einer.zip-datei gesammelt. Während Daten gesammelt werden, wird der Fortschritt im Statusfenster angezeigt. Wenn Sie auf diese klicken, können Sie die Informationen als separate Dateien auf der Appliance anzeigen oder die Informationen in einer ZIP-Datei speichern. Der Dateiname enthält das Datum und die Uhrzeit. Wenn Sie darauf klicken, wird der Bericht aus der Appliance entfernt. Protokolldateien Auf dieser Seite können Sie Protokolldateien für eine spätere Analyse speichern oder sie auf der Benutzeroberfläche anzeigen. Fehlerbehebung Berichte zur Fehlerbehebung Protokolldateien Es kann erforderlich sein, die Protokolldateien regelmäßig zu speichern, da die Appliance automatisch Protokolleinträge nach einiger Zeit (oder wenn die Protokolldateien fast voll sind) entfernt. Sie können auf dieser Seite auch Protokolle einsehen, die auf Ihrer Appliance gespeichert sind. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 349

350 6 Übersicht über Fehlerbehebungsfunktionen Berichte zur Fehlerbehebung sbeschreibungen Protokolldateien speichern Datumsbereich Wählen Sie die Datumsbereiche, die gespeichert werden sollen. Sie können entweder Alle Daten auswählen oder mithilfe der Steuerelemente einen Datumsbereich angeben. Gesamtgröße der Protokolldatei begrenzen auf Gibt die maximale Dateigröße an, wenn die Protokolle gesichert werden. Der Standardwert lautet 30 MB. Die Ausgabedatei ist eine Sammlung komprimierter Dateien, die Informationen zu Systemaktivitäten, dem Leistungsverlauf, Webserver-Aktivitäten und Versionsnummern enthalten. Für weitere Informationen zum Leistungsverlauf geben Sie eine größere Dateigröße an. Protokolle sichern Protokolle speichern Wenn Sie hierauf klicken, werden alle Protokolleinstellungen für die Appliance in einer Datei gespeichert, die Sie herunterladen können. Sie können die Konfigurationsdetails zum Offline-Betrieb der Appliance sicher speichern und diese Informationen später wiederherstellen, falls die ursprüngliche Appliance ausfällt. Die Systemkonfigurationsdateien werden in einer ZIP-Datei gespeichert. Wenn Sie auf diese klicken, können Sie die Protokolle herunterladen. Der Link ist erst dann aktiv, nachdem die Protokolldateien erstellt wurden. sbeschreibungen Systemprotokoll-Viewer Anzuzeigende Protokolldatei Anzahl der abzurufenden Zeilen Ansicht aktualisieren, wenn sich die Protokolle ändern Protokolle abrufen Keine Protokolle mehr abrufen Off-Box-Systemprotokolle und Systemprotokollarchiv konfigurieren Wählen Sie aus der Dropdown-Liste die Protokolldatei, die angezeigt werden soll. Systemprotokoll Zeigt den Inhalt des Systemprotokolls, das unter /var/log/ messages gespeichert ist. -Protokoll Wenn On-Box-Syslog aktiviert ist, wird der Inhalt des unter /var/log/mail gespeicherten -Protokolls angezeigt. Wenn On-Box-Syslog deaktiviert ist, ist dieses Protokoll leer. UI-Fehlerprotokoll Zeigt die Protokolldatei des Webservers, der die Benutzeroberfläche der Appliance hostet. Wählen Sie die Anzahl der gleichzeitig anzuzeigenden Zeilen. Bei Auswahl dieser werden die angezeigten Protokolle aktualisiert, wenn neue Einträge von der Appliance aufgezeichnet werden. Klicken Sie hier, um die ausgewählten Protokolldaten unter Berücksichtigung der ausgewählten en anzuzeigen. Klicken Sie hier, um die Anzeige der Protokolldateien zu beenden. Der aktuelle Bildschirminhalt wird beibehalten, es werden aber keine Aktualisierungen angezeigt, bis Sie eine weitere Aktion wählen. Klicken Sie auf diesen Link, um zur Seite System Protokollierung, Warnung und SNMP Systemprotokolleinstellungen zu navigieren, auf der Sie en zur Systemprotokollierung konfigurieren können and Web Security Appliances 5.6 Patch 1 Produkthandbuch

351 Übersicht über Fehlerbehebungsfunktionen Tests 6 Fehlerberichts-Tool Auf dieser Seite können Sie Berichte erstellen, um dem technischen Support von McAfee die Diagnose von Problemen mit Ihrer Appliance zu erleichtern. Fehlerbehebung Berichte zur Fehlerbehebung Protokolldateien speichern Der technische Support von McAfee fragt Sie möglicherweise zusätzlich zum Minimum-Eskalations-Bericht nach diesem Bericht. Der Bericht wird in eine ZIP-Datei gepackt, was einige Minuten dauern kann. Die Dateigröße beträgt mehrere Megabyte. McAfee empfiehlt die Auswahl der Fehlerüberwachung aktivieren. Tabelle 6-8 sbeschreibungen Fehlerüberwachung aktivieren Inhaltsdaten hinzufügen Fehlerereignisse automatisch übermitteln Ereignis-Gültigkeitsdauer Ausgewählte Ereignisse an McAfee senden Ausgewählte Ereignisse löschen Diese Einstellung ermöglicht es der Appliance, Informationen zu jedem festgestellten Fehler zu erfassen. Die Auswahl von Inhaltsdaten hinzufügen ermöglicht es der Appliance im Fehlerfall, Informationen zu den Daten zu speichern, die von der Appliance verarbeitet wurden, als der Fehler auftrat. Diese Informationen können für McAfee bei der Diagnose des Problems sehr wertvoll sein. Ermöglicht der Appliance, Informationen über Fehlerereignisse automatisch an McAfee zu senden. Der Zeitraum in Tagen, für den die Appliance Ereignisse speichert, falls ein Fehler erkannt wird. Hiermit können Sie Fehlerberichte zur weiteren Analyse an McAfee senden. Hiermit können Sie Ereignisse entfernen, die nicht mehr benötigt werden. Tests In diesen Themen werden die Tests zur Fehlerbehebung vorgestellt, die Sie von der Appliance aus durchführen können. Fehlerbehebung Tests Systemtests Mithilfe dieser Seite können Sie testen, ob die Appliance ordnungsgemäß mit anderen Geräten verbunden ist, beispielsweise mit DNS-Servern und McAfee-Update-Servern. Fehlerbehebung Tests Systemtests and Web Security Appliances 5.6 Patch 1 Produkthandbuch 351

352 6 Übersicht über Fehlerbehebungsfunktionen Tests Tabelle 6-9 sbeschreibungen Tests starten Wenn Sie darauf klicken, werden die Tests gestartet. Es kann mehrere Minuten dauern, bis die Tests abgeschlossen sind. Die Ergebnisse werden anstelle dieses Symbols angezeigt. Weist darauf hin, dass der Test erfolgreich war. Weist darauf hin, dass der Test nicht erfolgreich war. Klicken Sie auf den Link "Details", um weitere Informationen zu erhalten. Weist darauf hin, dass der Test noch ausgeführt wird. Tests stoppen Pingen des Gateways Wenn Sie darauf klicken, werden die Tests angehalten. Sämtliche bereits gestarteten Tests werden abgeschlossen. Gibt an, ob ein Gateway-Ping für jede statische Route durchgeführt werden kann. Ein Ping an sich ist noch kein verlässlicher Verbindungstest, da einige Geräte vielleicht so konfiguriert sind, dass Ping-Anfragen ignoriert werden. Auch wenn der Ping-Test fehlschlägt, muss das Gateway immer in der ARP-Weiterleitungstabelle angezeigt werden. In der ARP-Tabelle nach Gateway suchen Ping für DNS-Server Abfrage für externe Adresse " an DNS-Server senden Abfrage für den Appliance-Domänennamen und Abfrage für Appliance-Adresse Konnektivität mit McAfee GTI-Datei-Reputation prüfen SiteAdvisor-Update-Server abfragen Such-Server für McAfee GTI- -Reputation abfragen Abfragen/Testen des RBL-Servers Gibt an, ob das Gateway in der ARP-Weiterleitungstabelle aufgeführt ist. Gibt an, ob die Appliance Kontakt mit DNS-Servern aufnehmen kann. Gibt an, ob alle DNS-Server die Adresse in den richtigen Satz von IP-Adressen auflösen kann. Gibt an, ob alle DNS-Server die Appliance finden können, wenn die Domänenadresse und der vollqualifizierte Domänenname vorliegen. Bestätigt mithilfe einer Testdatei, dass auf die Server zugegriffen werden kann. Gibt an, ob die Appliance Kontakt dem SiteAdvisor-Server aufnehmen kann. Gibt an, ob die Appliance Kontakt dem Server aufnehmen kann. Wenn Sie einen RBL-Server definiert haben, prüft die Appliance Folgendes: Ob ein Namenserver-Eintrag für den RBL-Domänennamen vorliegt. Ob ein A-Eintrag (Adresse) für vorliegt. Die meisten RBL-Server verwenden für Tests die Adresse Die Appliance führt eine statische Abfrage bei den Servern aus und testet die Verbindung. Prüfen der Konnektivität mit LDAP-Server Gibt an, ob die Appliance eine Verbindung mit dem LDAP-Server herstellen kann and Web Security Appliances 5.6 Patch 1 Produkthandbuch

353 Übersicht über Fehlerbehebungsfunktionen Tests 6 Tabelle 6-9 sbeschreibungen (Fortsetzung) Komponenten-Updates Testen der Authentifizierungsdienste epo Diese Tests bewirken Folgendes: Überprüfen, ob das Aktualisierungsprogramm gestartet wurde. Angeben, ob auf die Antiviren-Updates-Websites zugegriffen werden kann. Angeben, ob auf die Anti-Spam-Updates-Websites zugegriffen werden kann. (Nur verfügbar, wenn s gescannt werden.) Angeben, ob auf die Update-Server für die Web-Kategorisierung zugegriffen werden kann Gibt an, ob die Appliance eine Verbindung mit den Authentifizierungsdiensten herstellen kann. Diese Tests ermitteln, ob die Appliance richtig mit einem epolicy Orchestrator-Server verbunden ist. Die Tests sind nur verfügbar, wenn die epo-verwaltung aktiviert ist. Siehe System Komponentenverwaltung epo. Diese Tests bewirken Folgendes: Überprüfen, ob das Aktualisierungsprogramm gestartet wurde. Überprüfen, ob die Appliance den epo-server abhört. Überprüfen, ob die Appliance Daten an den epo-server senden kann. Überprüfen, ob die Anzahl an epo-ereignissen, die auf das Senden an den epo-server warten, keine vordefinierte Grenze überschreitet. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 353

354

355 7 7 Übersicht über die and Web Security Appliances und die Integration von epolicy Orchestrator Dieses Thema bietet einen Überblick über die Intergration von McAfee and Web Security Appliances in McAfee epolicy Orchestrator. Inhalt Zusammenarbeiten von Appliances mit epolicy Orchestrator Unterschiede bei der Verwaltung von and Web Security Appliance unter epolicy Orchestrator Konfigurieren der Appliance für die epolicy Orchestrator-Verwaltung Verwalten Ihrer Appliances in epolicy Orchestrator Zusammenarbeiten von Appliances mit epolicy Orchestrator In diesem Thema erhalten Sie einen allgemeinen Überblick darüber, wie Sie Ihre McAfee and Web Security Appliance in den McAfee epolicy Orchestrator-Server integrieren können. Mit dieser Version können Sie in epolicy Orchestrator den Status Ihrer Appliances überwachen und sie verwalten. Sie können die Appliances direkt in epolicy Orchestrator verwalten, ohne die Benutzeroberfläche für jede Appliance starten zu müssen. In epolicy Orchestrator ähneln die Seiten der Benutzeroberfläche, die Sie zum Konfigurieren und Verwalten Ihrer and Web Security Appliances verwenden, hinsichtlich ihrer Gestaltung den Seiten, die Sie von den Appliances gewohnt sind. Wenn Sie die epolicy Orchestrator-Verwaltung auf and Web Security Appliances aktivieren, erhält der im Lieferumfang jeder Appliance enthaltene McAfee Agent die Konfigurationsinformationen Servername, IP-Adresse, Kennwörter für den Zugriff auf die epolicy Orchestrator-Update-Repositories und die für den Zugriff erforderlichen öffentlichen Schlüssel für Ihren epolicy Orchestrator-Server. Der Agent startet dann die Kommunikation zwischen Ihrer Appliance und dem epolicy Orchestrator-Server. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 355

356 7 Übersicht über die and Web Security Appliances und die Integration von epolicy Orchestrator Unterschiede bei der Verwaltung von and Web Security Appliance unter epolicy Orchestrator Sie können die epolicy Orchestrator-Erweiterungen über den Link Ressourcen in der and Web Security Appliances-Benutzeroberfläche herunterladen. Diese ZIP-Datei enthält zwei epolicy Orchestrator-Erweiterungen: Die EWG 1.5-Erweiterung, die die Überwachungs- und Berichterstellungsfunktionen für die and Web Security Appliances-Versionen 5.5 und 5.6 sowie für die Produkte McAfee Web Gateway und McAfee Gateway bereitstellt. Die EWS 5.6-Erweiterung, die die Funktionalität zum Pushen der Richtlinienkonfiguration vom epolicy Orchestrator-Server auf Ihre Appliances und Content Security Blade-Server der Version 5.6 bereitstellt. Darüber hinaus können Sie auch die Hilfe-Erweiterungen für jede dieser epolicy Orchestrator-Erweiterungen herunterladen. Diese sind auch über den Link Ressourcen in der and Web Security Appliances-Benutzeroberfläche verfügbar. Wenn Sie in epolicy Orchestrator arbeiten, können Sie mithilfe der Standard-Workflows und -Funktionen von epolicy Orchestrator Konfigurationen auf alle Appliances im Push-Verfahren übertragen, die die für epolicy Orchestrator eingerichtet sind. Weitere Informationen zum Konfigurieren Ihrer Appliance für die epolicy Orchestrator-Verwaltung finden Sie im Thema Einrichten der Verwaltung durch epo auf Seite 335 im Setup-Assistenten. Unterschiede bei der Verwaltung von and Web Security Appliance unter epolicy Orchestrator In diesem Abschnitt werden die Unterschiede in der Software der and Web Security Appliance beschrieben, wenn diese von McAfee epolicy Orchestrator aus ausgeführt wird. Einführung Wenn McAfee epolicy Orchestrator die and Web Security Appliance 5.6 verwaltet, gibt es einige deutliche Unterschiede bei den verfügbaren Funktionen und deren Verhalten: Daten, die auf Basis von "Live"-Informationen der and Web Security Appliance generiert werden, sind in epolicy Orchestrator nicht verfügbar. Einige Funktionen und en der and Web Security Appliance haben unter epolicy Orchestrator einen anderen Menüpfad. Konfigurationsänderungen, bei denen Daten von Diensten von Drittanbietern erforderlich sind (z. B. Active Directory) werden in der Benutzeroberfläche der and Web Security Appliance und nicht in epolicy Orchestrator durchgeführt. In den folgenden Tabellen werden die Funktionen der and Web Security Appliance 5.6 aufgeführt, die nicht in epolicy Orchestrator verfügbar sind oder sich an einer anderen Stelle in der Benutzeroberfläche befinden. Die Menüpfade entsprechen den in der and Web Security Appliance verwendeten Pfade. Die in der and Web Security Appliance verfügbare Registerkarte Fehlerbehebung ist in epolicy Orchestrator nicht verfügbar and Web Security Appliances 5.6 Patch 1 Produkthandbuch

357 Übersicht über die and Web Security Appliances und die Integration von epolicy Orchestrator Unterschiede bei der Verwaltung von and Web Security Appliance unter epolicy Orchestrator 7 Tabelle 7-1 Berichtsinformationen Menüpfad Dashboard Berichte Geplante Berichte Berichte -Berichte Berichte Web-Berichte Berichte Systemberichte Dashboard-Informationen basieren auf Live-Informationen und stehen in epolicy Orchestrator nicht zur Verfügung. Der bevorzugte Bericht und die Berichtsaktionen Jetzt senden und Herunterladen basieren auf Live-Informationen der Appliances und stehen in epolicy Orchestrator nicht zur Verfügung. Live-Berichtsinformationen basieren auf Live-Informationen und stehen in epolicy Orchestrator nicht zur Verfügung. Live-Berichtsinformationen basieren auf Live-Informationen und stehen in epolicy Orchestrator nicht zur Verfügung. Live-Berichtsinformationen basieren auf Live-Informationen und stehen in epolicy Orchestrator nicht zur Verfügung. Tabelle 7-2 Registerkarte " " Menüpfad Nachrichtensuche -Übersicht -Konfiguration Protokollkonfiguration Transport Layer Security (SMTP) -Konfiguration Protokollkonfiguration Empfangen von s Listen für Zulassen und Verweigern -Konfiguration Konfiguration virtueller Hosts -Konfiguration Protokolleinstellungen (SMTP) und -Konfiguration Verbindungs- und Protokolleinstellungen (POP3) -Richtlinien Scan-Richtlinien: Spam-Einstellungen - Von Benutzern übermittelte Black- und Whitelists -Richtlinien Scan-Richtlinien: Spam-Einstellungen - Regeln Live-Berichtsinformationen basieren auf Live-Informationen und stehen in epolicy Orchestrator nicht zur Verfügung. Live-Berichtsinformationen basieren auf Live-Informationen und stehen in epolicy Orchestrator nicht zur Verfügung. Die Registerkarte Transport Layer Security (SMTP) steht in epolicy Orchestrator in der Kategorie Zertifikatsverwaltung zur Verfügung. Die Liste Blockierte Verbindungen basiert auf Live-Informationen und steht in epolicy Orchestrator nicht zur Verfügung. Virtuelle Hosts für eine and Web Security Appliance können nicht in epolicy Orchestrator konfiguriert werden. Sie können virtuelle Hosts parallel mit der Verwaltung von physischen Hosts in epolicy Orchestrator konfigurieren. Die Konfiguration virtueller Hosts wird vom physischen Host übernommen, sofern sie nicht in der Benutzeroberfläche der Appliance individuell pro Host festgelegt wurde. Netzwerkgruppen können zu den Protokollvoreinstellungen in epolicy Orchestrator hinzugefügt werden. Von Benutzern übermittelte Black- und Whitelists enthalten Live-Informationen und werden in epolicy Orchestrator nicht angezeigt. Spam-Regeln basieren auf Live-Informationen und werden in epolicy Orchestrator nicht angezeigt. Sie können einzelne Regeln jedoch anhand des Namens von epolicy Orchestrator aus ausschließen. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 357

358 7 Übersicht über die and Web Security Appliances und die Integration von epolicy Orchestrator Unterschiede bei der Verwaltung von and Web Security Appliance unter epolicy Orchestrator Tabelle 7-2 Registerkarte " " (Fortsetzung) Menüpfad -Richtlinien Scan-Richtlinien Konfiguration virtueller Hosts -Richtlinien Wörterbücher Virtuelle Hosts für eine and Web Security Appliance können nicht in epolicy Orchestrator konfiguriert werden. Sie können virtuelle Hosts parallel mit der Verwaltung von physischen Hosts in epolicy Orchestrator konfigurieren. Die Konfiguration virtueller Hosts wird vom physischen Host übernommen, sofern sie nicht in der Benutzeroberfläche der Appliance individuell pro Host festgelegt wurde. In epolicy Orchestrator befinden sich die Compliance-Wörterbücher unter Gateway-Schutz EWS 5.6 DLP und Compliance Wörterbücher. Alle von epolicy Orchestrator verwalteten and Web Security Appliances verwenden den gleichen Satz Wörterbücher, die wiederum von allen epolicy Orchestrator-Richtlinien verwendet werden. -Richtlinien Registrierte Dokumente Quarantäne-Konfiguration Quarantäneoptionen Quarantänekonfiguration Quarantäne-Digest-en In epolicy Orchestrator werden Dokumente, die für Data Loss Prevention registriert werden, unter Gateway-Schutz EWS 5.6 DLP und Compliance Registrierte Dokumente hochgeladen und trainiert. Wenn McAfee Quarantine Manager verwendet wird, ist die Appliance-ID für eine bestimmte and Web Security Appliance spezifisch und wird nicht von epolicy Orchestrator verwaltet. Zum Aktivieren der Quarantäne-Digest-Nachrichten in epolicy Orchestrator navigieren Sie zu Senden von s Quarantäne-Digest-Nachrichten in der Kategorie -Konfiguration. Die en Nachrichtenvorschau und Senden beziehen sich auf Nachrichten in and Web Security Appliance und können in epolicy Orchestrator nicht verwendet werden. Tabelle 7-3 Registerkarte "Web" Menüpfad Web Web-Konfiguration HTTP Verbindungseinstellungen Web Web-Richtlinien Wörterbücher Authentifizierungsdienste können nicht über epolicy Orchestrator eingerichtet werden. In epolicy Orchestrator befinden sich die Compliance-Wörterbücher unter Gateway-Schutz EWS 5.6 DLP und Compliance Wörterbücher. Alle von epolicy Orchestrator verwalteten Appliances verwenden den gleichen Satz Wörterbücher, die wiederum von allen epolicy Orchestrator-Richtlinien verwendet werden and Web Security Appliances 5.6 Patch 1 Produkthandbuch

359 Übersicht über die and Web Security Appliances und die Integration von epolicy Orchestrator Unterschiede bei der Verwaltung von and Web Security Appliance unter epolicy Orchestrator 7 Tabelle 7-4 Registerkarte "System" Menüpfad System Appliance-Verwaltung Allgemein System Appliance-Verwaltung Uhrzeit und Datum System Appliance-Verwaltung Remote-Zugriff System Appliance-Verwaltung UPS-Einstellungen System Appliance-Verwaltung Datenbankwartung System Appliance-Verwaltung Systemverwaltung System Appliance-Verwaltung Standardeinstellungen des Servers System Cluster-Verwaltung System Benutzer, Gruppen und Dienste Verzeichnisdienste System Benutzer, Gruppen und Dienste Webbenutzer-Authentifizierung System Benutzer, Gruppen und Dienste Richtliniengruppen System Benutzer, Gruppen und Dienste Rollenbasierte Benutzerkonten Diese Registerkarte enthält Appliance-spezifische Informationen und steht in epolicy Orchestrator nicht zur Verfügung. Das Einstellen der Appliance-Zeit ist eine dynamische Aktion, die in epolicy Orchestrator nicht zur Verfügung steht. Die Out-of-Band-Verwaltung benötigt Appliance-spezifische Informationen und steht in epolicy Orchestrator nicht zur Verfügung. Diese Einstellung ist Appliance-spezifisch und steht in epolicy Orchestrator nicht zur Verfügung. Das Festlegen des Berichtskennworts im Abschnitt Externer Zugriff ist eine dynamische Aktion, die in epolicy Orchestrator nicht zur Verfügung steht. Das manuelle Zurücksetzen und Verwalten der Datenbank unter Verwaltung kann nicht von epolicy Orchestrator aus durchgeführt werden. Die Benutzeroberfläche von epolicy Orchestrator ermöglicht es, das Feld Aufbewahrungsgrenzwerte für Datenbanken leer zu lassen. Wenn keine Daten eingegeben wurden, werden die Appliance-Hardware-spezifischen Standardwerte verwendet. Diese sind in epolicy Orchestrator standardmäßig leer. Diese Registerkarte enthält Appliance-spezifische Aktionen und steht in epolicy Orchestrator nicht zur Verfügung. Das Abrufen des öffentlichen Schlüssels der Appliance im Abschnitt Remote-Sicherung ist in epolicy Orchestrator nicht möglich. Die Cluster-Verwaltung basiert auf Appliance-spezifischen Informationen und kann in epolicy Orchestrator nicht eingerichtet werden. Die Authentifizierungsdienste können in epolicy Orchestrator nicht eingerichtet werden. Die Authentifizierungsdienste können in epolicy Orchestrator nicht eingerichtet werden. Konfigurieren Sie Netzwerkgruppen in epolicy Orchestrator im Bereich Richtliniengruppen der Kategorien -Richtlinien oder Web-Richtlinien. Konfigurieren Sie -Absender und -Empfänger in epolicy Orchestrator im Bereich Richtliniengruppen der Kategorie -Richtlinien. Konfigurieren Sie Webbenutzer und URL-Gruppen in epolicy Orchestrator im Abschnitt Richtliniengruppen der Kategorie Web-Richtlinien. Rollenbasierte Benutzerkonten enthalten Appliance-spezifische Informationen und können in epolicy Orchestrator nicht eingerichtet werden. and Web Security Appliances 5.6 Patch 1 Produkthandbuch 359

360 7 Übersicht über die and Web Security Appliances und die Integration von epolicy Orchestrator Konfigurieren der Appliance für die epolicy Orchestrator-Verwaltung Tabelle 7-4 Registerkarte "System" (Fortsetzung) Menüpfad System Virtuelles Hosting System Zertifikatsverwaltung Zertifikate CA-Zertifikate System Zertifikatsverwaltung Zertifikate TLS-Zertifikate und -Schlüssel System Zertifikatsverwaltung Zertifikate HTTPS-Zertifikat der Appliance System Zertifikatsverwaltung Zertifikatsperrlisten Installierte Zertifikatsperrlisten System Zertifikatsverwaltung Zertifikatsperrlisten Updates für die Zertifikatsperrliste System Komponentenverwaltung System Setup-Assistent Sie können die Konfiguration des physischen Hosts in epolicy Orchestrator festlegen und anwenden. Virtuelle Hosts für eine and Web Security Appliance können jedoch nicht in epolicy Orchestrator konfiguriert werden. Sie können virtuelle Hosts parallel mit der Verwaltung von physischen Hosts in epolicy Orchestrator konfigurieren. Die Konfiguration virtueller Hosts wird vom physischen Host übernommen, sofern sie nicht in der Benutzeroberfläche der Appliance individuell pro Host festgelegt wurde. Alle von epolicy Orchestrator verwalteten and Web Security Appliance verwenden dieselbe Liste von Zertifikaten. Alle von epolicy Orchestrator verwalteten and Web Security Appliance verwenden dieselbe Liste von Zertifikaten. Die Funktionen zum Importieren, Exportieren und Generieren von Zertifikatssignaturanforderungen für ein HTTPS-Zertifikat der and Web Security Appliance stehen in epolicy Orchestrator nicht zur Verfügung. Die Zertifikatsperrlisten beziehen sich auf die jeweiligen Appliances und können in epolicy Orchestrator nicht eingerichtet werden. Das Konfigurieren bestimmter HTTP-Proxy-Einstellungen für Updates der Zertifikatsperrliste steht in epolicy Orchestrator nicht zur Verfügung. Die Standard-Proxy-Einstellungen werden in epolicy Orchestrator verwaltet. Manuelle Updates der Zertifikatsperrliste können nicht von epolicy Orchestrator aus durchgeführt werden. Diese Einstellungen sind Appliance-spezifisch und können nicht von epolicy Orchestrator aus verwaltet werden. Diese Einstellungen sind Appliance-spezifisch und können nicht von epolicy Orchestrator aus verwaltet werden. Konfigurieren der Appliance für die epolicy Orchestrator-Verwaltung Damit Ihre Appliance durch die epolicy Orchestrator-Software verwaltet werden kann, müssen Sie die Appliance so konfigurieren, dass sie die Verwaltung durch epolicy Orchestrator akzeptiert. Außerdem müssen Sie die epolicy Orchestrator-Erweiterungen in die epolicy Orchestrator-Software und die epolicy Orchestrator-Konfiguration in Ihre and Web Security Appliance importieren. Um Ihre and Web Appliance so zu konfigurieren, dass sie durch epolicy Orchestrator verwaltet werden kann, müssen Sie die Konfigurationsdetails aus der epolicy Orchestrator-Software importieren. Darüber hinaus müssen Sie auch die and Web Security-Erweiterung, die über den Link Ressourcen in der and Web Security Appliances-Benutzeroberfläche verfügbar ist, auf Ihrer epolicy Orchestrator-Software installieren and Web Security Appliances 5.6 Patch 1 Produkthandbuch

361 Übersicht über die and Web Security Appliances und die Integration von epolicy Orchestrator Verwalten Ihrer Appliances in epolicy Orchestrator 7 Um Ihnen das Einrichten Ihrer and Web Security Appliances für die epolicy Orchestrator-Verwaltung zu erleichtern, enthält der Setup-Assistent in and Web Security Appliances (System Setup-Assistent) mehrere Seiten, die speziell zur Konfiguration der Appliance für die Verwaltung durch epolicy Orchestrator dienen. Entfernen der epolicy Orchestrator-Erweiterung Der Standard-Workflow von epolicy Orchestrator ermöglicht es, die epolicy Orchestrator-Erweiterungen zu entfernen. In diesem Thema werden wichtige Hinweise zu diesem Vorgehen erläutert. Navigieren Sie in der Benutzeroberfläche von epolicy Orchestrator zu Menü Software Erweiterung, um die Erweiterung zu entfernen. Wenn Sie die and Web Security Appliance-Erweiterung aus dem epolicy Orchestrator-Server entfernen, werden alle Daten bezüglich Ihrer and Web Security Appliances gelöscht. Wenn Sie ein Upgrade auf eine neuere Version der and Web Security Appliance-Erweiterung durchführen möchten, sollten Sie die neue Erweiterung installieren, ohne die vorhandene Erweiterung zu entfernen. Dadurch werden die Daten zu den and Web Security Appliances im epolicy Orchestrator beibehalten. Verwalten Ihrer Appliances in epolicy Orchestrator In diesem Thema erhalten Sie einen Überblick über die Verwaltung Ihrer and Web Security Appliances in epolicy Orchestrator. Wenn Sie konfiguriert haben, dass Ihre McAfee and Web Security Appliances von McAfee epolicy Orchestrator verwaltet werden, sollten Sie die meisten Konfigurationsänderungen über den epolicy Orchestrator-Server vornehmen. Falls Sie die epolicy Orchestrator-Verwaltung in Ihrer Appliance konfiguriert haben, werden bei der Eingabe von Konfigurationsänderungen über die Benutzeroberfläche der Appliance die gewünschten Änderungen vorgenommen. Diese Änderungen werden aber unter Umständen bei der nächsten Konfigurationsübertragung vom epolicy Orcestrator-Server überschrieben. Sie finden in epolicy Orchestrator die Konfigurationsseiten für Ihre Appliances, indem Sie zu Menü Gateway-Schutz navigieren und dann and Web Gateway oder DLP und Compliance auswählen. Die Verwaltung der and Web Security Appliances entspricht der üblichen Vorgehensweise in epolicy Orchestrator. Weitere Informationen hierzu finden Sie im Produkthandbuch zu McAfee epolicy Orchestrator and Web Security Appliances 5.6 Patch 1 Produkthandbuch 361