Produkthandbuch. McAfee Web Gateway Cloud Service

Transkript

1 Produkthandbuch McAfee Web Gateway Cloud Service

2 COPYRIGHT Copyright 2017 McAfee LLC MARKENZUORDNUNGEN McAfee und das McAfee Logo, McAfee Active Protection, epolicy Orchestrator, McAfee epo, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan sind Marken der McAfee LLC oder seiner Tochtergesellschaften in den USA und anderen Ländern. Andere Marken sind Eigentum der jeweiligen Inhaber. LIZENZINFORMATIONEN Lizenzvertrag HINWEIS AN ALLE BENUTZER: LESEN SIE SORGFÄLTIG DEN ZU DER VON IHNEN ERWORBENEN LIZENZ JEWEILS ZUGEHÖRIGEN RECHTSGÜLTIGEN VERTRAG, IN DEM DIE ALLGEMEINEN GESCHÄFTSBEDINGUNGEN FÜR DIE NUTZUNG DER LIZENZIERTEN SOFTWARE DARGELEGT SIND. DIE ART VON LIZENZ, DIE SIE ERWORBEN HABEN, ENTNEHMEN SIE DER VERKAUFSLIZENZGEWÄHRUNG SOWIE SONSTIGEN DAMIT ZUSAMMENHÄNGENDEN LIZENZGEWÄHRUNGEN ODER DEN BESTELLUNGEN, DIE SIE ZUSAMMEN MIT IHREM SOFTWAREPAKET ODER SEPARAT ALS TEIL IHRES KAUFES ERHALTEN HABEN (IN FORM EINER BROSCHÜRE, EINER DATEI AUF DER PRODUKT-CD ODER EINER DATEI AUF DER WEBSITE, VON DER SIE DAS SOFTWAREPAKET HERUNTERGELADEN HABEN). WENN SIE DEN IM VERTRAG DARGELEGTEN BESTIMMUNGEN NICHT ZUSTIMMEN, DÜRFEN SIE DIE SOFTWARE NICHT INSTALLIEREN. SOFERN DIES ERFORDERLICH IST, DÜRFEN SIE DAS PRODUKT AN MCAFEE ODER DIE VERKAUFSSTELLE ZURÜCKGEBEN UND ERHALTEN EINE VOLLE RÜCKERSTATTUNG. 2 McAfee Web Gateway Cloud Service Produkthandbuch

3 Inhaltsverzeichnis 1 Produktübersicht 5 Was ist McAfee WGCS? Wichtigste Funktionen Funktionsweise von McAfee WGCS McAfee-Web-Sicherheitstechnologien Kontoverwaltung Richtlinienverwaltung 9 Globales Richtlinienmodell Verwenden des Richtlinien-Browsers Anzeigen von Funktionsrichtlinien Anzeigen von Regeln Anzeigen von Katalogen Herunterladen und Installieren von SSL-Zertifikaten auf Clientsystemen Arbeiten mit Benutzergruppen Active Directory-Synchronisierung Hinzufügen einer lokalen Benutzergruppe Umbenennen der lokalen Benutzergruppe Arbeiten mit Regeln und Funktionsrichtlinien Hinzufügen einer Regel Erstellen einer Regel durch Importieren einer URL-Liste Erstellen einer Regel mit Ausnahmen Bearbeiten einer Regel Ändern der Regelreihenfolge Löschen einer Regel Erstellen einer Liste Löschen einer Liste Verwalten der URLs Erstellen einer Blockierungsseite Bearbeiten der Richtliniendetails Ändern der zugewiesenen Richtlinie Anzeigen von Benutzeraktionen Exportieren der Audit-Protokolle Fehlerzustände Authentifizierung 37 Authentifizierung und Richtlinienauswahl Implementierung der Authentifizierungsoptionen in McAfee WGCS Ablauf des Authentifizierungsprozesses IP-Bereichsauthentifizierung Aktivieren oder Deaktivieren der IP-Bereichsauthentifizierung Konfigurieren der IP-Bereichsauthentifizierung Importieren einer Liste von IP-Adressbereichen Exportieren einer Liste von IP-Adressbereichen SAML-Authentifizierung McAfee Web Gateway Cloud Service Produkthandbuch 3

4 Inhaltsverzeichnis Vorteile der SAML-Authentifizierung SAML-Authentifizierung Allgemeine Schritte Übersicht über die SAML-Konfiguration Hinweise zur Konfiguration der SAML-Authentifizierung Konfigurieren von SAML in der Verwaltungskonsole Einstellungen für die SAML-Authentifizierung IPsec-Site-to-Site-Authentifizierung Konfigurieren der IPsec-Site-to-Site-Authentifizierung Hinweise zur Konfiguration von IPsec-Site-to-Site Aktivieren oder Deaktivieren der IPsec-Site-to-Site-Authentifizierung Hinzufügen eines IPsec-Speicherorts Löschen eines IPsec-Speicherorts Bearbeiten der IPsec-Site-to-Site-Einstellungen IPsec-Site-to-Site-Einstellungen Hinzufügen einer SAML-Authentifizierung zu IPsec-Site-to-Site Konfiguration von Richtlinienregeln für IPsec-VPN-Datenverkehr Index 55 4 McAfee Web Gateway Cloud Service Produkthandbuch

5 1 Produktübersicht 1 McAfee Web Gateway Cloud Service (McAfee WGCS) ist ein weltweit verfügbarer Cloud-Dienst für Unternehmen, der durch gründliche Inhalts-Scans und die Integration in andere -Web-Sicherheitstechnologien von McAfee umfassenden Web-Schutz bietet. Inhalt Was ist McAfee WGCS? Wichtigste Funktionen Funktionsweise von McAfee WGCS McAfee-Web-Sicherheitstechnologien Kontoverwaltung Was ist McAfee WGCS? Der Web-Schutzdienst schützt Ihr Unternehmen vor Sicherheitsbedrohungen, die beim Zugriff von Benutzern auf das Web auftreten. Der Dienst scannt und filtert den Web-Datenverkehr zwischen Endbenutzern im Unternehmen und der Cloud. Er blockiert Datenverkehr, der von der konfigurierten Web-Schutzrichtlinie nicht zugelassen wird. Der Schutz erstreckt sich auf Benutzer innerhalb und außerhalb des Netzwerks. So schützt der Dienst beispielsweise auch Benutzer, die in einem Café oder Hotel arbeiten. Mithilfe des Web-Schutzdienstes können Sie komplexe Bedrohungen abwehren, die Unternehmensrichtlinie zur Internet-Nutzung umsetzen und die Produktivität optimieren. Sie können beispielsweise den Zugriff auf Datei-Upload-Websites zu steuern. Darüber hinaus können Sie die Web-Nutzung innerhalb und außerhalb des Netzwerks anhand von hunderten von Web-Inhalts-, Anwendungs- und Medientypkategorien gezielt und präzise steuern. Der auf einer Cloud-Plattform ausgeführte Dienst McAfee WGCS wird rund um die Uhr von einem Team aus McAfeeSicherheitsexperten betreut. Sie schließen ein Abonnement für den Dienst ab und müssen weder Hardware oder noch Software installieren. Die Cloud-Dienstplattform besteht aus global verteilten Knoten, den so genannten Points of Presence (PoP, Knotenpunkte). Der Global Routing Manager (GRM) ist ein DNS-Dienst, der für die intelligente Datenverkehrsweiterleitung, Lastverteilung und Failover zuständig ist. Der GRM leitet den Datenverkehr an den besten verfügbaren Knotenpunkt weiter. Der Web-Schutzdienst wird mithilfe der McAfee epolicy Orchestrator Cloud (McAfee epo Cloud)-Plattform und -konsole verwaltet und konfiguriert. McAfee WGCS kann mit oder ohne McAfee Client Proxy bereitgestellt werden. Die Client Proxy-Software wird auf den Computern der Endbenutzer in Ihrem Unternehmen installiert. Die Software unterstützt die Standorterkennung und leitet Anfragen von Endbenutzern an den Cloud-Dienst weiter, wenn Benutzer außerhalb des Netzwerks arbeiten. McAfee Web Gateway Cloud Service Produkthandbuch 5

6 1 Produktübersicht Wichtigste Funktionen Client Proxy wird mithilfe der McAfee epolicy Orchestrator (McAfee epo )- oder McAfee epo Cloud-Plattform und -konsole verwaltet und konfiguriert. McAfee WGCS kann in Client Proxy integriert werden, wenn die Verwaltung der Software über eine der Plattformen erfolgt. Endbenutzer-Computer werden als Client- oder Endpunkt-Computer bezeichnet. Endpunkt-Computer werden auch als Endpunkte bezeichnet. Wichtigste Funktionen McAfee WGCS stellt diese zentralen Sicherheitsfunktionen bereit: URL-Filterung anhand von Whitelists, Blacklists und Reputationskategorien, die auf den von McAfee Global Threat Intelligence (McAfee GTI) ermittelten Risikostufen basieren SSL-Scans, einschließlich vollständiger Entschlüsselung und Inhaltsüberprüfung Web-Filterung: Web-Inhaltsfilterung mithilfe des Web-Kategoriefilters Web-Anwendungsfilterung mithilfe des Zugriffsschutzes Medientypfilterung mithilfe des Medientypfilters Anti-Malware-Filterung zum internen Blockieren von Malware mit bewährter Technologie für Virenschutz und Verhaltensemulation SAML-, IP-Adressbereichs- und IPsec-Site-to-Site-Authentifizierung von Endbenutzern, die Cloud-Zugriff anfordern Web-Schutzberichte: Produktivität, Web-Aktivitäten, Erzwingung von Web-Richtlinien und Web-Sicherheitsübersicht Funktionsweise von McAfee WGCS Der Web-Schutzdienst schützt das Unternehmen durch einen umfassenden Erkennungsprozess vor Malware, Spyware, Viren, Phishing-URLs, gezielten Angriffen und kombinierten Bedrohungen. Die Bedrohungserkennung umfasst die folgenden allgemeinen Schritte. 1 Anhand von signaturbasierten Antiviren-Technologien mit URL-Kategorie- und Reputationsdaten aus McAfee GTI filtert McAfee WGCS bekannte Bedrohungen aus dem Web-Datenverkehr, während legitimer Datenverkehr passieren darf. Bei diesem Schritt werden etwa 80 % der Web-Bedrohungen erkannt. 2 Für den verbleibenden Web-Datenverkehr ist nicht bekannt, ob er legitim oder bösartig ist. Verdächtiger unbekannter Datenverkehr wird dann von der Gateway Anti-Malware Engine überprüft. Dynamische Web-Inhalte und aktiver Code werden mithilfe von Emulationstechnologien in einer kontrollierten Umgebung beobachtet, um die Absicht nachzuvollziehen und das Verhalten vorherzusagen. Bei diesem Schritt werden nahezu 100 % der verbleibenden Web-Bedrohungen erkannt. Diese Bedrohungen, die auch als Zero-Day-Malware bezeichnet werden, sind entweder veränderte oder völlig neue Malware-Dateien, für die noch keine Signaturen vorhanden sind. 6 McAfee Web Gateway Cloud Service Produkthandbuch

7 Produktübersicht McAfee-Web-Sicherheitstechnologien 1 McAfee-Web-Sicherheitstechnologien McAfee WGCS stützt sich auf Informationen und Bedrohungsanalysen, die von bewährten McAfee-Web-Sicherheitskomponenten und -technologien bereitgestellt werden. Diese Komponenten und Technologien aktualisieren den Web-Schutzdienst automatisch, wenn sich Web-Sicherheitsinformationen und Bedrohungsanalysedaten ändern. Die Komponenten und Technologien sind vollständig in den Dienst integriert. Der Konfigurationsaufwand in der Benutzeroberfläche ist minimal. Zu Web-Sicherheitskomponenten und -technologien zählen Folgende: McAfee GTI: Bewertet die Website-Reputation auf der Grundlage des früheren Verhaltens und stuft Websites als hohes, mittleres, niedriges oder nicht verifiziertes Risiko ein. McAfee GTI: Erfasst, analysiert und verteilt Daten von mehr als 100 Millionen Sensoren in mehr als 120 Ländern in Echtzeit. Filter vereinfachen Richtlinienregeln, indem ähnliche Websites, Web-Anwendungen und Dateitypen Gruppen zugewiesen werden. Der Web-Kategoriefilter weist Websites entsprechend ihrem Inhalt Kategorien zu. Anhand dieses Filters gestatten oder blockieren Sie den Zugriff auf bestimmte Inhalte. So können Sie beispielsweise den Zugriff auf Glücksspiel-Websites blockieren. Der Zugriffsschutz weist Web-Anwendungen den Kategorien nach Typ zu. Anhand dieses Filters gestatten oder blockieren Sie den Zugriff auf Web-Anwendungen entweder einzeln oder nach Kategorien. Sie können beispielsweise Datei-Uploads in Dateifreigabe-Anwendungen in der Cloud blockieren. Im Medientypfilter werden Dateien nach Dokumenttyp oder Audio- bzw. Videoformat kategorisiert. Anhand dieses Filters gestatten oder blockieren Sie den Zugriff auf bestimmte Medientypen. So können Sie beispielsweise den Zugriff auf Streaming-Medien blockieren. Die Gateway Anti-Malware Engine filtert Web-Datenverkehr. Dabei wird Zero-Day-Malware intern mithilfe von Emulationstechnologien erkannt und blockiert, bevor Endbenutzergeräte infiziert werden. Kontoverwaltung In der Verwaltungskonsole können Sie ein lokales Active Directory mit McAfee epo Cloud synchronisieren. Sie können auch Ihre Web-Schutzrichtlinie auf von Ihnen erstellte und benannte lokale Benutzergruppen anwenden. Active Directory-Synchronisierung: Sie können die lokalen Active Directory-Konten Ihres Unternehmens in der Systemstruktur von McAfee epo Cloud erstellen, ausfüllen und verwalten. Weitere Informationen hierzu finden Sie im Produkthandbuch für McAfee epolicy Orchestrator Cloud. Lokale Benutzergruppen: Sie können lokale Benutzergruppen manuell erstellen und benennen und diese dann den Richtlinienregelaktionen hinzufügen. Diese Funktion ist Bestandteil der Schnittstelle im Menü Richtlinie Web- und Cloud-Datenschutzrichtlinie. McAfee Web Gateway Cloud Service Produkthandbuch 7

8 1 Produktübersicht Kontoverwaltung 8 McAfee Web Gateway Cloud Service Produkthandbuch

9 2 2 Richtlinienverwaltung In der McAfee epo Cloud-Verwaltungskonsole können Sie die Web-Sicherheitsrichtlinie verwalten, die steuert, wie McAfee WGCS Web-Datenverkehr filtert und den Zugriff auf Web-Inhalte, Anwendungen und Objekte zulässt bzw. blockiert. Inhalt Globales Richtlinienmodell Verwenden des Richtlinien-Browsers Herunterladen und Installieren von SSL-Zertifikaten auf Clientsystemen Arbeiten mit Benutzergruppen Arbeiten mit Regeln und Funktionsrichtlinien Anzeigen von Benutzeraktionen Exportieren der Audit-Protokolle Fehlerzustände Globales Richtlinienmodell Das McAfee WGCS-Richtlinienmodell basiert auf einem Satz von Richtlinien, die global auf das gesamte Unternehmen angewendet werden. Sie konfigurieren einen Satz von Richtlinien, die global auf alle Benutzer und Gruppen im Unternehmen angewendet werden. Wenn Sie den Richtliniensatz so anzupassen möchten, dass er auf bestimmte Benutzer oder Gruppen angewendet wird, konfigurieren Sie anschließend Ausnahmen für die Regeln, aus denen sich die Richtlinien im Satz zusammensetzen. McAfee Web Gateway Cloud Service Produkthandbuch 9

10 2 Richtlinienverwaltung Verwenden des Richtlinien-Browsers Verwenden des Richtlinien-Browsers Die Richtlinien-Browser-Oberfläche zur Verwaltung Ihrer Richtlinien ist so angelegt, dass die Informationen im Kontext angezeigt werden. Die Art der angezeigten Informationen hängt von Ihren installierten Optionen, vom aktuellen Bereich der Oberfläche und den jeweils ausgewählten Optionen ab. Die Oberfläche zur Verwaltung Ihrer Richtlinien ist für den Schutz der Hauptfunktionsbereiche ausgelegt, die für die von Ihnen genutzten McAfee-Produkte und -Dienste relevant sind. Abbildung 2-1 Standard-Richtlinien-Browser (alle Funktionen aus Gründen der Übersichtlichkeit minimiert) Dies sind die Hauptfunktionsbereiche: Globale Einstellungen: Hier verwalten Sie die Globale URL-Whitelist und die Globale Blacklist, die für alle Benutzer und Richtlinien gelten. SSL-Scanner: Hier konfigurieren Sie die Einstellungen für SSL-Scans (Secure Sockets Layer). Web-Reputation: Hier konfigurieren Sie die Reaktion auf eine Website basierend auf der Reputationsstufe. Web-Kategoriefilter: Hier konfigurieren Sie die Scan-Einstellungen für die einzelnen Kategorien, um Benutzer vor unangemessenen Website-Kategorien zu schützen. Zugriffsschutz: Ermöglicht Ihnen die Konfiguration von Web-basierten Anwendungen, die Ihren Benutzern zur Verfügung stehen. Medientypfilter: Hier konfigurieren Sie die Arten von Dateiformaten, auf die Ihre Benutzer zugreifen können. Anti-Malware-Filter: Hier konfigurieren Sie die Einstellungen zum Filtern der Malware. Anzeigen von Funktionsrichtlinien Jeder Hauptfunktionsbereich der Oberfläche enthält mindestens eine Funktionsrichtlinie, die sich auf diesen Bereich bezieht. Eine Funktionsrichtlinie stellt unterschiedlich starke Einschränkungen für die zentralen Funktionsbereiche bereit. Jede Richtlinie enthält einen eigenen Satz von Regeln und Ausnahmen. So blockiert eine strenge Funktionsrichtlinie üblicherweise für die meisten Benutzer den Zugriff auf die meisten Ziele. Eine großzügige Richtlinie lässt für die meisten Benutzer den Zugriff auf die meisten Ziele zu. 10 McAfee Web Gateway Cloud Service Produkthandbuch

11 Richtlinienverwaltung Verwenden des Richtlinien-Browsers 2 Die Software enthält standardmäßig mehrere Richtlinien für jeden Funktionsbereich. Diese Richtlinien sind mit gängigen Einstellungen für verschiedene Industrie-, Bildungs- und Regierungsbereiche vorkonfiguriert. Einige Unternehmen bzw. Organisationen bevorzugen beispielsweise weniger restriktive Einstellungen, damit die Mitarbeiter oder Studenten das Internet so effektiv wie möglich nutzen können. Das Verteidigungsministerium einer Regierung muss strenger sein. In den meisten Situationen ist es hilfreich, zwei Richtlinien für jede Funktion zu besitzen: eine für den normalen Alltagsbetrieb und eine restriktivere Richtlinie für die Untersuchung eines Sicherheitsproblems. Klicken Sie auf die Dropdown-Listen für die Richtlinien, und wählen Sie die einzelnen Richtlinien aus, um die für die einzelnen Funktionsbereiche verfügbaren Funktionsrichtlinien anzuzeigen. Abbildung 2-2 Anzeigen der Richtlinien durch Auswahl aus der Dropdown-Liste für die Richtlinien Nachdem die Dropdown-Liste erweitert wurde, werden alle Funktionsrichtlinien für diesen Bereich angezeigt. Sie können in jeder Richtlinie so viele Regeln wie erforderlich konfigurieren. Richtliniendetails Wenn Sie auf den Namen einer Funktionsrichtlinie (z. B. Eingeschränkt oder Großzügig) klicken, wird der Bereich Richtliniendetails angezeigt. Abbildung 2-3 Typischer Richtliniendetails-Bereich für McAfee Web Gateway Cloud Service-Richtlinien Im Bereich Richtliniendetails wird der Name der Funktionsrichtlinie angezeigt, und Sie können die von der Funktionsrichtlinie verwendeten Blockierungsseiten anzeigen und bearbeiten. McAfee Web Gateway Cloud Service Produkthandbuch 11

12 2 Richtlinienverwaltung Verwenden des Richtlinien-Browsers Darüber hinaus können Sie die Blockierungsseite kopieren, um daraus eine andere Blockierungsseite zu erstellen. Sie können die Details zu jeder Richtlinie anzeigen, unabhängig davon, ob sie aktiviert oder deaktiviert ist. Ein Symbol für deaktivierte Richtlinien markiert Richtlinien, die derzeit nicht verwendet werden. Sie können auch Informationen anzeigen, die sich speziell auf die Funktionsrichtlinie beziehen: Tabelle 2-1 Auf die Funktionsrichtlinie bezogene Informationen Funktionsrichtlinie Zusätzliche Informationen SSL-Scanner Web-Kategoriefilter Link SSL-Zertifikatspaket herunterladen Kontrollkästchen Nicht kategorisierte Sites blockieren Wenn Sie diese Option auswählen, werden alle nicht kategorisierten Websites blockiert, auch solche, die im nachfolgenden Bereich in der URL-Whitelist aufgelistet werden. Kontrollkästchen Sichere Suche erzwingen Beim Navigieren zu einer anderen Funktionsrichtlinie bleibt der Bereich Richtliniendetails geöffnet, wird jedoch erst aktualisiert, nachdem Sie auf den Namen der anderen Funktionsrichtlinie klicken. Anzeigen von Regeln Jede Funktionsrichtlinie enthält eine Reihe von Regeln. Die Regeln werden von oben nach unten ausgeführt. Dabei ist jede Regel so konfiguriert, dass bei einer Regelübereinstimmung die ausgewählte Aktion durchgeführt wird. Abbildung 2-4 Beispiele für Funktionsrichtlinienregeln Jede Funktionsrichtlinie kann bestimmte Regeltypen enthalten. 12 McAfee Web Gateway Cloud Service Produkthandbuch

13 Richtlinienverwaltung Verwenden des Richtlinien-Browsers 2 Tabelle 2-2 Regeltypen Funktion Zulässige Regeln Globale Einstellungen Globale URL-Whitelist: URLs, die als sicher betrachtet und vor allen anderen Regeln in dieser Funktion ausgewertet werden. Übereinstimmende URLs umgehen die restlichen Regeln in dieser Funktion. Globale Blacklist: URLs, die als unsicher betrachtet und vor allen anderen Regeln in dieser Funktion ausgewertet werden. Übereinstimmende URLs umgehen die restlichen Regeln in dieser Funktion, und der Zugriff wird blockiert. SSL-Scanner Web-Reputation Web-Kategoriefilter Zugriffsschutz Medientypfilter Anti-Malware-Filter URL-Whitelist: URLs, die auf die Funktion SSL-Scanner angewendet werden. SSL-Web-Kategorie: Datenverkehr kann basierend auf der URL-Kategorie untersucht oder nicht untersucht werden. SSL-Web-Anwendung: SSL-Datenverkehr kann basierend auf der verwendeten Web-Anwendungsliste untersucht oder nicht untersucht werden. Alle anderen SSL-Verbindungen (Erfassungsregel): Gilt für alle Anfragen, die noch nicht mit den Regeln für diese Funktion übereinstimmen. URL-Whitelist: URLs, die auf die Funktion Web-Reputation angewendet werden. Web-Reputation: Websites werden basierend auf ihrem GTI-Reputationsfaktor (Global Threat Intelligence) zugelassen oder blockiert. URL-Whitelist: URLs, die auf die Funktion Web-Kategeoriefilter angewendet werden. Web-Kategorien: Anfragen werden basierend auf der URL-Kategorie zugelassen oder blockiert. Alle anderen Web-Kategorien (Erfassungsregel): Gilt für alle Anfragen, die noch nicht mit den Regeln für diese Funktion übereinstimmen. Web-Anwendungs-URL-Whitelist: URLs, die auf die Funktion Zugriffsschutz angewendet werden. Web-Anwendungen: Anfragen werden basierend auf der in der jeweiligen Anfrage erkannten Web-Anwendung zugelassen oder blockiert. Alle anderen Web-Anwendungen (Erfassungsregel): Gilt für alle Anfragen, die noch nicht mit den Regeln für diese Funktion übereinstimmen. URL-Whitelist: URLs, die auf die Funktion Medientypfilter angewendet werden. Medientyp: Anfragen werden basierend auf dem in der jeweiligen Anfrage erkannten Medientyp zugelassen oder blockiert. Alle anderen Medien (Erfassungsregel): Gilt für alle Anfragen, die noch nicht mit den Regeln für diese Funktion übereinstimmen. URL-Whitelist: URLs, die auf die Funktion Anti-Malware-Filter angewendet werden. Anti-Malware-Scan: Blockiert Anfragen für böswillige Dateien basierend auf der GAM-Wahrscheinlichkeit (Gateway-Anti-Malware). McAfee Web Gateway Cloud Service Produkthandbuch 13

14 2 Richtlinienverwaltung Verwenden des Richtlinien-Browsers Regeldetails Wenn Sie auf eine Regel klicken, wird der Bereich Regeldetails angezeigt. Hier werden der Name der Regel und ihr Status (aktiviert bzw. deaktiviert) angezeigt. Außerdem werden die konfigurierte primäre Aktion sowie ggf. konfigurierte Ausnahmen angezeigt. Abbildung 2-5 Bereich Regeldetails Oben im Bereich Regeldetails werden das primäre Objekt das Objekt oder die Liste, auf das bzw. die sich die Regel bezieht und der Status angezeigt. Der Bereich Regeldetails enthält Folgendes: Tabelle 2-3 Menü Regeldetails Menüelement Regel aktivieren Beschreibung Aktivieren Sie die derzeit ausgewählte Regel, sodass sie zur Bewertung der Web-Anfragen Ihrer Benutzer verwendet wird. Regel deaktivieren Um zu verhindern, dass eine Regel zur Bewertung der Web-Anfragen Ihrer Benutzer verwendet wird, wählen Sie Regel deaktivieren. Aktion hinzufügen Fügen Sie ggf. für die ausgewählte Funktion und Regel zusätzliche Aktionen zur Regel hinzu. Schließen Schließen Sie die Karte Regeldetails. Das primäre Objekt hängt vom Kontext ab. Wenn Sie verschiedene Regeltypen auswählen, werden nur relevante primäre Objekte angezeigt. Die derzeit ausgewählte primäre Aktion wird angezeigt. 14 McAfee Web Gateway Cloud Service Produkthandbuch

15 Richtlinienverwaltung Verwenden des Richtlinien-Browsers 2 Tabelle 2-4 Für verschiedene Regeltypen verfügbare primäre Aktionen Regeltyp Anwendungsregeln Anti-Malware-Regeln Verfügbare primäre Aktionen Zulassen, Blockieren Zulassen, Blockieren, Send to Sandbox (An Sandbox senden), Umgehen Hinweise Sie können keine Anti-Malware-Regeln erstellen. Die Aktionen Send to Sandbox (An Sandbox senden) und Umgehen sind nur verfügbar, wenn Sie den Dienst Cloud Threat Detection erworben haben. Globale URL-Blacklist Blockieren Sie können keine Blacklist-Regeln erstellen. Die einzige Blacklist befindet sich in der Funktion Globale Einstellungen. Erfassungsregeln Globale URL-Whitelist Medientypregeln Zulassen, Blockieren Immer zulassen Zulassen, Blockieren Web-Reputationsregeln Zulassen, Blockieren Das primäre Objekt für die Web-Reputation kann nicht bearbeitet werden. Sie können keine Web-Reputationsregeln erstellen. SSL-Scanner-Regeln Web-Kategorieregeln URL-Whitelist-Regeln Überprüfen, Nicht überprüfen Zulassen, Blockieren Zulassen In jeder primären Aktion werden die konfigurierten Ausnahmeobjekte (sofern zulässig) angezeigt. Tabelle 2-5 Beschreibungen der Aktionen Aktion Zulassen/Blockieren Immer zulassen Überprüfen/Nicht überprüfen Send to Sandbox (An Sandbox senden)/ Umgehen (nur verfügbar für den Dienst Cloud Threat Detection) Beschreibung Die Aktion Zulassen lässt die Web-Anfrage die aktuelle Funktion umgehen und leitet sie zur nächsten Funktion in der Liste weiter. Die Aktion Blockieren beendet die Verarbeitung und blockiert die Anfrage. Die nur in der globalen URL-Whitelist verfügbare Aktion Immer zulassen lässt die Web-Anfrage passieren und verhindert jede weitere Verarbeitung durch die verbleibenden Funktionen. Die Aktion Überprüfen sorgt dafür, dass die SSL-Informationen entschlüsselt werden, bevor sie an die nächste Funktion in der Liste übergeben werden. Die Aktion Nicht überprüfen verhindert die Entschlüsselung der SSL-Informationen und damit jede weitere Verarbeitung durch die verbleibenden Funktionen. Durch die Aktion Send to Sandbox (An Sandbox senden) werden Dateien zur weiteren Analyse an den Dienst Cloud Threat Detection weitergeleitet. Die Aktion Umgehen verhindert, dass die Datei an den Dienst Cloud Threat Detection gesendet wird. Bedeutung der Regelreihenfolge Beim Auslösen der Aktion Immer zulassen werden alle nachfolgenden Regeln übersprungen und im Zusammenhang mit der aktuellen Anfrage nicht ausgewertet. McAfee Web Gateway Cloud Service Produkthandbuch 15

16 2 Richtlinienverwaltung Verwenden des Richtlinien-Browsers Bei Aktionen vom Typ Zulassen werden alle verbleibenden Regeln der derzeit angewendeten Funktionsrichtlinie übersprungen, und die Verarbeitung wird mit der nächsten Funktionsrichtlinie fortgesetzt. Das auslösende Element wird für die Aktion Zulassen und für die Aktion Immer zulassen zugelassen. Achten Sie auf die Reihenfolge, in der Sie die Regeln für die jeweilige Funktionsrichtlinie anordnen. Positionieren Sie die strengsten Regeln am Anfang der Regelliste, und ordnen Sie die Regeln dann bis zur abschließenden Erfassungsregel ganz unten in der Liste an. Bedeutung der Aktionsreihenfolge Die letzte Aktion im Bereich Regeldetails ist die primäre Aktion und fungiert als Erfassungsaktion. Wenn die letzte Aktion beispielsweise Blockieren lautet, wird jeglicher Datenverkehr, der nicht mit den darüber befindlichen Aktionen übereinstimmt, blockiert. Siehe auch Aktivieren oder Deaktivieren einer Regel auf Seite 23 Objektdetails Im Objektdetailbereich können Sie die wichtigen Elemente der Regeln anzeigen. Abbildung 2-6 Bereich "Objektdetails" Während Sie den Workflow eines Tasks durchlaufen, werden im Objektdetailbereich unterschiedliche Informationen angezeigt, sodass immer die zum aktuellen Workflow passenden Optionen angezeigt werden. Bei Auswahl der Regel Web-Reputation können Sie beispielsweise die Regel aktivieren bzw. deaktivieren und Ausnahmen hinzufügen. Sie können die Beschreibung der Regel Web-Reputation jedoch nicht bearbeiten. Wenn es in der jeweiligen Workflow-Phase zulässig ist, können Sie die im ausgewählten Objekt angezeigten Elemente bearbeiten. Einige Bereiche der Schnittstelle können viele auswählbarer Einträge enthalten. Diese Bereiche enthalten ein Suchfeld, über das Sie das Gesuchte schneller finden können. Erfassungsregeln Erfassungsregeln bieten eine Methode für das Konfigurieren von Funktionsrichtlinien, die wirksam werden, wenn keine anderen Regeln ausgelöst werden. Erfassungsregeln sind in den Richtlinien SSL-Scanner, Web-Kategoriefilter, Zugriffsschutz und Medientypfilter enthalten. 16 McAfee Web Gateway Cloud Service Produkthandbuch

17 Richtlinienverwaltung Herunterladen und Installieren von SSL-Zertifikaten auf Clientsystemen 2 Die Erfassungsregeln werden ganz unten in der Regelliste für die relevanten Richtlinien angezeigt und können weder gelöscht noch an eine andere Position verschoben werden. Dieser Regeltyp kann deaktiviert werden. Anzeigen von Katalogen Kataloge enthalten Gruppen zusammengehörender Daten, zum Beispiel Blockierungsseiten, Listen von Web-Kategorien, Listen von Web-Anwendungstypen und Listen von Medientypen. Daraufhin wird rechts im Bildschirm der Bereich Katalog angezeigt. Abbildung 2-7 Katalog-Bereich Der Inhalt des Katalog-Bereichs hängt vom ausgewählten Funktionsbereich und den Regeln ab. Herunterladen und Installieren von SSL-Zertifikaten auf Clientsystemen Wenn SSL-Zertifikate installiert werden, kann McAfee WGCS Ihren SSL-Datenverkehr scannen. Diese Zertifikate müssen auf jedem für die Kommunikation mit McAfee WGCS verwendeten Gerät installiert sein. Das Zertifikatspaket enthält ausführliche Informationen zum Installieren der SSL-Zertifikate in verschiedenen Browsern und unter verschiedenen Betriebssystemen. 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie im Richtlinien-Browser die Option SSL-Scanner aus. 3 Klicken Sie rechts vom Bereich SSL-Scanner auf den Namen einer Richtlinie (z. B. Keine SSL-Untersuchung oder Einfache Abdeckung). 4 Klicken Sie im Bereich Richtliniendetails auf SSL-Zertifikatspaket herunterladen. Speichern Sie bei einer entsprechenden Aufforderung die ZIP-Datei lokal. 5 Extrahieren Sie die Dateien aus der ZIP-Datei, und stellen Sie sie dem Endbenutzer bereit. 6 Befolgen Sie die im Dokument Importing_Certificates_into_Browsers.pdf aufgeführten Anweisungen für die jeweiligen Browser und Betriebssysteme (in der ZIP-Datei für das Zertifikatspaket enthalten). Arbeiten mit Benutzergruppen Wenn Sie lokale Benutzergruppen konfigurieren oder mithilfe der Active Directory-Dienste Ihr Active Directory einbinden, können Richtlinien auf verschiedene Benutzergruppen angewendet werden. McAfee Web Gateway Cloud Service Produkthandbuch 17

18 2 Richtlinienverwaltung Arbeiten mit Benutzergruppen Aufgaben Active Directory-Synchronisierung auf Seite 18 Wenn Sie die Benutzergruppen aus Active Directory in die Web-Schutzrichtlinien integrieren, können Sie Richtlinien erstellen, die auf bestimmte Benutzergruppen angewendet werden. Hinzufügen einer lokalen Benutzergruppe auf Seite 18 Sie können Ihren Funktionsrichtlinien lokale Benutzergruppen hinzufügen, um den Schutz Ihrer Benutzer anzupassen. Umbenennen der lokalen Benutzergruppe auf Seite 18 Als Administrator können Sie die Benutzergruppen umbenennen. Active Directory-Synchronisierung Wenn Sie die Benutzergruppen aus Active Directory in die Web-Schutzrichtlinien integrieren, können Sie Richtlinien erstellen, die auf bestimmte Benutzergruppen angewendet werden. Ausführliche Informationen zur Synchronisierung Ihres lokalen AD finden Sie im Kapitel Active Directory-Synchronisierung im Produkthandbuch für McAfee epolicy Orchestrator. Hinzufügen einer lokalen Benutzergruppe Sie können Ihren Funktionsrichtlinien lokale Benutzergruppen hinzufügen, um den Schutz Ihrer Benutzer anzupassen. 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie im Richtlinien-Browser die zu ändernde Funktion aus. 3 Wählen Sie im Funktionsbereich die Funktionsrichtlinie und Regel aus, um die lokale Benutzergruppe hinzuzufügen. 4 Wählen Sie im Bereich Regeldetails die Option aus. Der aktuellen primären Aktion können Sie keine Benutzergruppe hinzufügen. 5 Klicken Sie auf im Bereich Katalog. Klicken Sie zum Hinzufügen einer vorhandenen Benutzergruppe neben der erforderlichen Gruppe auf. 6 Klicken Sie auf Neue Benutzergruppe. 7 (Optional) Geben Sie einen Namen für die Benutzergruppe ein. 8 Klicken Sie auf Speichern, um die Regel zu aktualisieren. Umbenennen der lokalen Benutzergruppe Als Administrator können Sie die Benutzergruppen umbenennen. 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie im Richtlinien-Browser die zu ändernde Funktion aus. 3 Wählen Sie die lokale Benutzergruppe aus, die Sie umbenennen möchten. 18 McAfee Web Gateway Cloud Service Produkthandbuch

19 Richtlinienverwaltung Arbeiten mit Regeln und Funktionsrichtlinien 2 4 Klicken Sie auf im Bereich Objektdetails. 5 Klicken Sie auf Umbenennen. Klicken Sie zum Löschen der Benutzergruppe auf Löschen. 6 Geben Sie den neuen Namen für die Benutzergruppe ein. 7 Klicken Sie auf Speichern, um die lokale Benutzergruppe zu aktualisieren. Arbeiten mit Regeln und Funktionsrichtlinien Verwenden Sie die folgenden n zum Erstellen bzw. Ändern von Regeln und Funktionsrichtlinien. McAfee Web Gateway Cloud Service Produkthandbuch 19

20 2 Richtlinienverwaltung Arbeiten mit Regeln und Funktionsrichtlinien Aufgaben Hinzufügen einer Regel auf Seite 20 Sie können Ihren Funktionsrichtlinien Regeln hinzufügen, um den Schutz Ihrer Benutzer anzupassen. Erstellen einer Regel durch Importieren einer URL-Liste auf Seite 21 Sie können eine URL-Listenregel erstellen, indem Sie eine CSV-Datei mit den URLs in eine URL-Liste importieren und diese URL-Liste dann der neuen Regel hinzufügen. Erstellen einer Regel mit Ausnahmen auf Seite 22 Erstellen Sie eine Regel mit Ausnahmen, um Benutzergruppen anzugeben. Sie können auch den Zugriff für die Benutzergruppen zulassen oder verweigern. Bearbeiten einer Regel auf Seite 23 Es gibt mehrere Methoden zum Bearbeiten von Regeln, um Ihre Schutzanforderungen zu erfüllen. Ändern der Regelreihenfolge auf Seite 26 Sie können Regeln an eine andere Position verschieben, um die Anwendungsreihenfolge zu ändern. Die Regeln werden von oben nach unten angewendet. Löschen einer Regel auf Seite 26 Durch das Löschen unerwünschter Regeln können Sie Ihre Funktionsrichtlinien besser organisieren und verstehen. Erstellen einer Liste auf Seite 26 Sie können Listen erstellen und sie Web-Kategorie-, Medientyp-, Sitelist- und Anwendungsregeln hinzufügen. Löschen einer Liste auf Seite 27 Sie können nicht verwendete primäre Objekte, Sitelisten, Web-Kategorien und benutzerdefinierte Objekte aus der Katalogliste löschen. Verwalten der URLs auf Seite 28 Durch Hinzufügen einer URL zur URL-Liste können Sie die Website steuern, auf die Ihre Benutzer zugreifen. Die hinzugefügten URLs werden in der URL-Liste verwaltet, die Sie bei Bedarf bearbeiten können. Die URLs können zur Sicherung der Informationen auch exportiert werden. Erstellen einer Blockierungsseite auf Seite 31 Eine Blockierungsseite wird angezeigt, wenn dem Benutzer der Zugriff auf eine bestimmte URL, ein bestimmtes Dokument oder eine andere Web-Anfrage verweigert wird. Sie können für einzelne Funktionsrichtlinien unterschiedliche Blockierungsseiten erstellen. Bearbeiten der Richtliniendetails auf Seite 32 Sie können im Bereich Richtliniendetails den vorhandenen Richtliniennamen und die zugewiesene Blockierungsseite bearbeiten. Ändern der zugewiesenen Richtlinie auf Seite 33 Auf jede Funktion kann immer nur jeweils eine aktive Funktionsrichtlinie angewendet werden. Mit der folgenden können Sie die einer Funktion zugewiesene Funktionsrichtlinie ändern. Hinzufügen einer Regel Sie können Ihren Funktionsrichtlinien Regeln hinzufügen, um den Schutz Ihrer Benutzer anzupassen. Die Platzierung der neuen Regel hängt von den ausgewählten Optionen und dem derzeit ausgewählten Element ab: 20 McAfee Web Gateway Cloud Service Produkthandbuch

21 Richtlinienverwaltung Arbeiten mit Regeln und Funktionsrichtlinien 2 Wenn eine vorhandene Regel ausgewählt ist, wird die neue Regel unmittelbar darüber platziert. Wenn keine Regel ausgewählt ist, wird die neue Regel im ausgewählten Hauptschutzbereich platziert. Wenn eine Erfassungsregel vorhanden ist, wird die neue Regel darüber platziert. Wenn Sie eine Whitelist hinzufügen möchten, wird diese unter der letzten Whitelist-Regel im Browser hinzugefügt. Eine Regel kann nicht hinzugefügt werden, wenn Sie die Regeldetails einer anderen Regel bearbeiten. Bestimmte Regeltypen, z. B. Anti-Malware-Regeln und Web-Reputationsregeln, werden standardmäßig erstellt. Sie können keine weiteren Regeln dieses Typs hinzufügen. 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Klicken Sie im Richtlinien-Browser auf das Symbol aus. der Funktionsrichtlinie, und wählen Sie dann Neue Regel 3 Wählen Sie im Bereich Katalog den erforderlichen Katalogtyp aus der Dropdown-Liste aus. 4 Klicken Sie neben der ausgewählten Liste auf. Bewährte Methode: Die zur Auswahl verfügbaren Elemente lassen sich mit dem Feld Suchen filtern. 5 Wählen Sie im Bereich Regeldetails die erforderliche Aktion aus, um sie zur Liste hinzuzufügen. 6 Klicken Sie auf Speichern. Siehe auch Ändern der Regeldetails auf Seite 24 Erstellen einer Regel durch Importieren einer URL-Liste Sie können eine URL-Listenregel erstellen, indem Sie eine CSV-Datei mit den URLs in eine URL-Liste importieren und diese URL-Liste dann der neuen Regel hinzufügen. Bevor Sie beginnen Sie benötigen eine Datei mit durch Kommas getrennten Werten (CSV-Datei), die die Liste der zu importierenden URLs enthält. Die Datei kann eine Kopfzeile (Überschriften) enthalten. Die Liste muss durch Kommas getrennte Werte enthalten. Jede Zeile muss eine URL enthalten, gefolgt von einem Komma (',') als Trennzeichen und entweder "true" oder "false". "true" bedeutet, dass für die URL der Parameter "Alle Unterdomänen" ausgewählt ist, während "false" bedeutet, dass "Alle Unterdomänen" nicht ausgewählt ist. Bei der URL und dem Wert "true/false" wird die Groß-/Kleinschreibung nicht berücksichtigt. Es dürfen sich keine Leerzeichen in oder am Ende der Zeile befinden. McAfee Web Gateway Cloud Service Produkthandbuch 21

22 2 Richtlinienverwaltung Arbeiten mit Regeln und Funktionsrichtlinien Die Einträge in der Datei können beispielsweise wie folgt aussehen: example.org,true 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Klicken Sie im Richtlinien-Browser auf das Symbol Regel bezieht. der Funktionsrichtlinie, die sich auf die hinzuzufügende 3 Wählen Sie Neue Regel aus. 4 Wählen Sie im Bereich Katalog die URL-Liste in der Dropdown-Liste aus, klicken Sie auf Neue URL-Liste importieren aus., und wählen Sie 5 Navigieren Sie im Dialogfeld Liste importieren zur zuvor erstellten URL-Liste. Wenn die oberste Zeile der CSV-Datei Überschriften enthält, müssen Sie die Option Diese Datei enthält eine Kopfzeile auswählen. 6 Klicken Sie auf Importieren. Nun wird anhand des Inhalts der Datei eine URL-Listenregel erstellt. Wenn die CSV-Datei doppelte URLs enthält, wird der Import angehalten, und Sie werden in einer entsprechenden Meldung darauf hingewiesen. Sie können dann den Import fortsetzen oder den Vorgang ohne Importieren der URL-Liste beenden. 7 Nachdem die in der Datei aufgeführten URLs importiert wurden, können Sie den Standardnamen der URL-Liste übernehmen oder einen neuen Namen eingeben. Die neue Liste übernimmt standardmäßig den Namen der CSV-Datei, die zum Importieren der URL-Liste verwendet wurde. 8 Klicken Sie auf Speichern. 9 Um die Liste der neuen Regel hinzuzufügen, klicken Sie rechts neben der neu hinzugefügten URL-Liste auf. 10 Übernehmen Sie den standardmäßigen Regelnamen, oder geben Sie einen neuen Namen ein. Standardmäßig erhält die neue Regel den Namen der ausgewählten URL-Liste. 11 Klicken Sie auf Speichern. Siehe auch Exportieren einer Liste von URLs auf Seite 30 Erstellen einer Regel mit Ausnahmen Erstellen Sie eine Regel mit Ausnahmen, um Benutzergruppen anzugeben. Sie können auch den Zugriff für die Benutzergruppen zulassen oder verweigern. Nehmen Sie an, dass Sie eine Regel erstellen, um der Benutzergruppe mit den Führungskräften den Zugriff auf Websites sozialer Netzwerke zu verweigern. 22 McAfee Web Gateway Cloud Service Produkthandbuch

23 Richtlinienverwaltung Arbeiten mit Regeln und Funktionsrichtlinien 2 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Erstellen Sie eine neue Regel im Funktionsbereich Zugriffsschutz. a Klicken Sie im Richtlinien-Browser auf das Symbol der Funktionsrichtlinie. b Wählen Sie Neue Regel aus. 3 Weisen Sie den erforderlichen Regeltypen zu. a Wählen Sie im Bereich Katalog in der Dropdown-Liste die Option Web-Anwendungen aus. b Klicken Sie im Bereich Katalog rechts neben Soziale Netzwerke auf. Im Bereich Regeldetails erkennen Sie, dass der Regelname nun Soziale Netzwerke lautet. 4 Weisen Sie die erforderlichen Benutzergruppen zu. a Klicken Sie im Bereich Regeldetails auf neben der Option Blockieren, um die Liste der Benutzergruppen anzuzeigen. b Klicken Sie im Bereich Katalog rechts neben Führungskräfte auf. Sie können einer Aktion eine oder mehrere Benutzergruppen hinzufügen. 5 Klicken Sie im Bereich Regeldetails auf Speichern. Bearbeiten einer Regel Es gibt mehrere Methoden zum Bearbeiten von Regeln, um Ihre Schutzanforderungen zu erfüllen. Aufgaben Aktivieren oder Deaktivieren einer Regel auf Seite 23 Es müssen nicht immer alle in einer Funktionsrichtlinie enthaltenen Regeln aktiviert sein. Sie können die Regeln nach Bedarf aktivieren bzw. deaktivieren. Ändern der Regeldetails auf Seite 24 Im Bereich Regeldetails können Sie Ausnahmen für Benutzergruppen hinzufügen bzw. entfernen oder die primären Objekte in der derzeit ausgewählten Regel bearbeiten. Hinzufügen einer Aktion zu einer Regel auf Seite 25 Um eine Regel zu erzwingen, werden der Regel weitere Aktionen hinzugefügt. Ändern einer Aktion in eine primäre Aktion auf Seite 25 Die für eine Regel festgelegte primäre Aktion ist die so genannte Erfassungsaktion. Sie wird ganz unten im Bereich Regeldetails angezeigt. Entfernen einer Aktion aus einer Regel auf Seite 25 Die unerwünschten Aktionen, die der Regel hinzugefügt wurden, können entfernt werden. Aktivieren oder Deaktivieren einer Regel Es müssen nicht immer alle in einer Funktionsrichtlinie enthaltenen Regeln aktiviert sein. Sie können die Regeln nach Bedarf aktivieren bzw. deaktivieren. 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie im Richtlinien-Browser die zu ändernde Funktion aus. 3 Wählen Sie im Funktionsbereich die Funktionsrichtlinie und die Regel aus, die bearbeitet werden sollen. McAfee Web Gateway Cloud Service Produkthandbuch 23

24 2 Richtlinienverwaltung Arbeiten mit Regeln und Funktionsrichtlinien 4 Klicken Sie im Bereich Regeldetails auf, und wählen Sie aus den verfügbaren Optionen (Regel aktivieren oder Regel deaktivieren) die gewünschte Option aus. Wenn Sie versuchen, eine Erfassungsregel zu deaktivieren, wird ein weiteres Bestätigungsdialogfeld eingeblendet. Klicken Sie zum Fortfahren auf OK. 5 Klicken Sie auf Speichern. Ändern der Regeldetails Im Bereich Regeldetails können Sie Ausnahmen für Benutzergruppen hinzufügen bzw. entfernen oder die primären Objekte in der derzeit ausgewählten Regel bearbeiten. Bestimmte Regeltypen können nur eingeschränkt bearbeitet werden. Für Malware-Schutzregeln ist es beispielsweise nicht möglich, die Aktionen neu anzuordnen, die Regel zu löschen, die Standardausnahme aus der Aktion Blockieren zu entfernen und die Aktion Send to Sandbox (An Sandbox senden) zu entfernen. Für die meisten Regeltypen können Sie Ausnahmen erstellen. Eine Regel kann beispielsweise für Ihre Mitarbeiter den Zugriff auf das Internet zulassen. In dieser Regel könnten Sie dann eine Ausnahme definieren, die Gastbenutzern und freien Mitarbeitern den Zugriff verweigert. Der folgende Workflow veranschaulicht das Ändern der Regeldetails für die Aktion Zulassen. Die Änderung der Aktion Blockieren verläuft sehr ähnlich. 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie im Richtlinien-Browser die zu ändernde Funktion aus. 3 Wählen Sie im Funktionsbereich die Funktionsrichtlinie und die Regel aus, die bearbeitet werden sollen. 4 Achten Sie darauf, dass im Bereich Regeldetails die Aktion Zulassen ausgewählt ist. Die aktive Aktion kann in den Regeldetails nicht bearbeitet werden. Wenn beispielsweise die Aktion Zulassen aktiv ist und Sie die Details bearbeiten möchten, müssen Sie zunächst die Aktion Blockieren aktivieren. Verschieben Sie Blockieren an die letzte Position in der Aktionsliste. Nehmen Sie nun die gewünschten Änderungen an der Aktion Zulassen vor. 5 Klicken Sie auf neben Zulassen. 6 Führen Sie im Gruppen-Katalog mindestens eine der folgenden Aktionen aus: Hinzufügen einer Gruppe zur ausgewählten Regel: Klicken Sie im Gruppen-Katalog rechts neben der Benutzergruppe, die der Aktion Zulassen hinzugefügt werden soll, auf. Wenn der Aktion bereits eine Benutzergruppe zugewiesen ist, wird Objekt einer Aktion nur ein Mal hinzufügen. nicht angezeigt. Sie können ein Die ausgewählte Benutzergruppe wird im Katalog abgeblendet dargestellt und wird der Aktion Zulassen hinzugefügt. Entfernen einer Gruppe aus der ausgewählten Regel: Klicken Sie bei den vorhandenen Gruppen in den Regeldetails für die zu entfernende Gruppe auf. Daraufhin wird die ausgewählte Benutzergruppe aus der Aktion Zulassen entfernt. 7 Klicken Sie auf Speichern. 24 McAfee Web Gateway Cloud Service Produkthandbuch

25 Richtlinienverwaltung Arbeiten mit Regeln und Funktionsrichtlinien 2 Hinzufügen einer Aktion zu einer Regel Um eine Regel zu erzwingen, werden der Regel weitere Aktionen hinzugefügt. Je nach Ihrem ausgewählten Funktionsbereich und Regeln können zusätzliche Aktionen hinzugefügt werden. Wenn keine zusätzlichen Aktionen für Ihre ausgewählte Funktion und Regel verfügbar sind, ist die Option Aktion hinzufügen im Menü ausgegraut. 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie im Richtlinien-Browser die zu ändernde Funktion aus. 3 Wählen Sie im Funktionsbereich die Funktionsrichtlinie und die Regel aus, die bearbeitet werden sollen. 4 Klicken Sie im Bereich Regeldetails auf, und wählen Sie Aktion bearbeiten aus. Die neue Aktion wird der Regel als sekundäre Aktion hinzugefügt. 5 Klicken Sie auf Speichern. Ändern einer Aktion in eine primäre Aktion Die für eine Regel festgelegte primäre Aktion ist die so genannte Erfassungsaktion. Sie wird ganz unten im Bereich Regeldetails angezeigt. 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie im Richtlinien-Browser die zu ändernde Funktion aus. 3 Wählen Sie im Funktionsbereich die Funktionsrichtlinie und die Regel aus, die bearbeitet werden sollen. 4 Klicken Sie im Bereich Regeldetails neben der Aktion, die Sie als primäre Aktion festlegen möchten, auf. Für die zu ändernde Aktion wird angezeigt. 5 Klicken Sie auf. 6 Klicken Sie auf Nach unten, bis die ausgewählte Aktion die letzte Aktion ist. 7 Klicken Sie auf Speichern. Entfernen einer Aktion aus einer Regel Die unerwünschten Aktionen, die der Regel hinzugefügt wurden, können entfernt werden. 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie im Richtlinien-Browser die zu ändernde Funktion aus. 3 Wählen Sie im Funktionsbereich die Funktionsrichtlinie und die Regel aus, die bearbeitet werden sollen. 4 Klicken Sie im Bereich Regeldetails neben der zu entfernenden Aktion auf. 5 Klicken Sie auf, und wählen Sie Aktion entfernen aus. 6 Klicken Sie auf Speichern. McAfee Web Gateway Cloud Service Produkthandbuch 25

26 2 Richtlinienverwaltung Arbeiten mit Regeln und Funktionsrichtlinien Ändern der Regelreihenfolge Sie können Regeln an eine andere Position verschieben, um die Anwendungsreihenfolge zu ändern. Die Regeln werden von oben nach unten angewendet. Bevor Sie beginnen Sie können die Reihenfolge der Regeln nicht ändern, wenn sich eine Regel im Bearbeitungsmodus befindet. Wenn Sie gerade eine Regel bearbeiten, müssen Sie zunächst Ihre Änderungen speichern oder die Bearbeitung abbrechen, bevor Sie die Reihenfolge der Regeln ändern können. Sie können eine Erfassungsregel nicht neu anordnen, da sie in der Liste immer ganz unten stehen muss. 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie im Richtlinien-Browser die erforderliche Funktion aus. 3 Wählen Sie die zu verschiebende Regel aus. 4 Klicken Sie in der ausgewählten Funktion auf, und wählen Sie dann Regelreihenfolge ändern aus. 5 Klicken Sie auf oder, bis sich die ausgewählte Regel an der gewünschten Position befindet. 6 Klicken Sie auf Speichern. Löschen einer Regel Durch das Löschen unerwünschter Regeln können Sie Ihre Funktionsrichtlinien besser organisieren und verstehen. Folgendes kann nicht gelöscht werden: Erfassungsregeln Web-Reputationsregeln Anti-Malware-Regeln 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie im Richtlinien-Browser die erforderliche Funktion aus. 3 Wählen Sie die zu löschende Regel aus. 4 Klicken Sie in der ausgewählten Funktion auf, und wählen Sie dann Regel löschen aus. 5 Klicken Sie auf Löschen, um den Löschvorgang zu bestätigen. Die Regel wird unwiderruflich aus der Richtlinie gelöscht. Erstellen einer Liste Sie können Listen erstellen und sie Web-Kategorie-, Medientyp-, Sitelist- und Anwendungsregeln hinzufügen. Es gibt zwei Methoden für die Erstellung einer Liste: 26 McAfee Web Gateway Cloud Service Produkthandbuch

27 Richtlinienverwaltung Arbeiten mit Regeln und Funktionsrichtlinien 2 Erstellen einer Liste mithilfe der neuen Option Erstellen Sie eine Kopie einer vorhandenen Liste. Dieser Task zeigt den Vorgang zur Erstellung einer Liste und die Optionen zur Erstellung einer Liste durch das Kopieren einer vorhandenen Liste. Sie können keine Listen für Benutzergruppen erstellen. 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie die Funktion im Richtlinien-Browser aus. 3 Wählen Sie im Funktionsbereich die erforderliche Funktionsrichtlinie und die Regel aus. 4 Wählen Sie im Bereich Katalog den Katalogtyp aus, und führen Sie einen der folgenden Schritte aus: Klicken Sie auf, und wählen Sie Neue Liste aus. Wählen Sie die zu kopierende Liste aus, und klicken Sie auf. Wählen Sie dann Liste kopieren aus. Sie können die Liste bei Bedarf umbenennen. Die Namen Neue Liste und Liste kopieren werden gemäß dem ausgewählten Katalogtypen geändert. In Hinblick auf den Benutzergruppen-Katalogtypen ist die Option zum Kopieren nur für die lokale Benutzergruppe verfügbar. 5 Fügen Sie die erforderlichen Elemente von der Auswahlliste zur neuen Liste hinzu. Klicken Sie auf, um das Element hinzuzufügen. Wenn Sie ein Element von der neuen Liste entfernen, klicken Sie auf das -Symbol neben dem Element. Wenn Sie eine Liste für URL-Listen erstellen, sind keine Auswahllisten verfügbar. Geben Sie stattdessen die gewünschten URLs ein, oder kopieren Sie eine Liste von URLs, und fügen Sie diese anschließend in das URL-Feld ein. 6 Klicken Sie auf Speichern, um die neue Liste Ihrer Konfiguration hinzuzufügen. Löschen einer Liste Sie können nicht verwendete primäre Objekte, Sitelisten, Web-Kategorien und benutzerdefinierte Objekte aus der Katalogliste löschen. 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie die Regel im Richtlinien-Browser aus. 3 Wählen Sie den Katalogtyp im Bereich Katalog aus. 4 Klicken Sie im ausgewählten Katalogtyp auf die zu löschende Liste. Im Objektdetailbereich werden die ausgewählte Liste und ihre Elemente angezeigt. McAfee Web Gateway Cloud Service Produkthandbuch 27

28 2 Richtlinienverwaltung Arbeiten mit Regeln und Funktionsrichtlinien 5 Klicken Sie im Objektdetailbereich auf, und klicken Sie dann auf Löschen. Sie können ein Objekt bzw. eine Liste nicht löschen, wenn es bzw. sie in einer der Funktionen als Regel konfiguriert wurde. 6 Klicken Sie zur Bestätigung auf Löschen. Verwalten der URLs Durch Hinzufügen einer URL zur URL-Liste können Sie die Website steuern, auf die Ihre Benutzer zugreifen. Die hinzugefügten URLs werden in der URL-Liste verwaltet, die Sie bei Bedarf bearbeiten können. Die URLs können zur Sicherung der Informationen auch exportiert werden. Formatierung von Domänennamen für URL-Listen Die folgenden Formate für Domänennamen werden unterstützt: host.domaene.tld/pfad host.domaene.tld domaene.tld/pfad domaene.tld Host: DNS-Name des Hosts Domäne: Name der Unterdomäne tld: Domäne der obersten Ebene Pfad: Pfad zur Webressource Der Pfad und sämtliche Unterpfade werden automatisch angezeigt. Ansonsten könnten Sie im Domänennamen auch einen Stern am Ende des Pfads hinzufügen. 'Alle Unterdomänen'-Einstellung Mit dieser Einstellung wird festgelegt, ob Richtlinienregeln ausschließlich auf die Domäne oder auf die Domäne und sämtliche Unterdomänen angewendet werden. So geben Sie alle Unterdomänen an: Wenn Sie einer URL-Liste eine URL hinzufügen möchten, wählen Sie im Richtlinien-Browser die Option Alle Unterdomänen aus. Festlegen einer URL-Liste in einer CSV-Datei: Setzen Sie den Wert in der Spalte Subdomain(True/False) [Unterdomäne (True/False)] auf True. Das Angeben aller Unterdomänen hat denselben Effekt, wie "*." am Anfang eines jeden Domänennamens hinzuzufügen. Beispiel: *.Host.Domäne.tld/Pfad Hinzufügen einer URL zu einer URL-Liste Mit URL-Listen steuern Sie, auf welche Websites Ihre Benutzer zugreifen dürfen. Sie können eine Liste mit Websites hinzufügen. Whitelists und Blacklists sind im Prinzip URL-Listen, weisen jedoch folgende Besonderheiten auf: Die globale URL-Whitelist enthält nur die Aktion Immer zulassen. Funktionsspezifische Whitelists enthalten nur die Aktion Zulassen. 28 McAfee Web Gateway Cloud Service Produkthandbuch

29 Richtlinienverwaltung Arbeiten mit Regeln und Funktionsrichtlinien 2 Blacklists enthalten nur die Aktion Blockieren. Für Blacklists und Whitelists können keine Ausnahmen konfiguriert werden. 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie im Richtlinien-Browser die zu ändernde Funktion aus. 3 Wählen Sie im Funktionsbereich die Funktionsrichtlinie und die Regel aus, die bearbeitet werden sollen. 4 Wählen Sie im Bereich Katalog den Katalogtyp URL-Listen aus, und klicken Sie zur Bearbeitung auf die erforderliche URL-Liste. Im Objektdetailbereich werden die Details der ausgewählten URL-Liste angezeigt. 5 Klicken Sie im Objektdetailbereich auf, und wählen Sie Bearbeiten aus. 6 Geben Sie im URL-Feld die hinzuzufügende URL ein. Die URL wird während der Eingabe überprüft, um doppelte Eingaben zu verhindern. 7 (Optional) Wählen Sie Alle Unterdomänen aus, um alle Websites unter der URL hinzuzufügen. 8 Klicken Sie auf Hinzufügen. 9 Klicken Sie auf Speichern, um die Regel zu aktualisieren. Bearbeiten einer URL in einer URL-Liste Mit URL-Listen steuern Sie, auf welche Websites Ihre Benutzer zugreifen dürfen. Darin werden Websites aufgelistet, die Richtlinien hinzugefügt werden können. 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie im Richtlinien-Browser die zu ändernde Funktion aus. 3 Wählen Sie im Funktionsbereich die Funktionsrichtlinie und die Regel aus, die bearbeitet werden sollen. 4 Wählen Sie im Bereich Katalog den Katalogtyp URL-Listen aus, und klicken Sie zur Bearbeitung auf die erforderliche URL-Liste. Im Objektdetailbereich werden die Details der ausgewählten URL-Liste angezeigt. 5 Klicken Sie im Objektdetailbereich auf, und wählen Sie Bearbeiten aus. 6 Wählen Sie die URL aus, um die erforderlichen Änderungen im URL-Feld vorzunehmen. 7 Klicken Sie auf Fertig, um die bearbeitete URL in die URL-Liste aufzunehmen. Während Sie während der Bearbeitung eine URL hinzufügen möchten, klicken Sie auf. 8 Klicken Sie auf Speichern, um die Regel zu aktualisieren. McAfee Web Gateway Cloud Service Produkthandbuch 29

30 2 Richtlinienverwaltung Arbeiten mit Regeln und Funktionsrichtlinien Exportieren einer Liste von URLs Das Exportieren von URL-Listen ist eine nützliche Methode zum Sichern von Informationen. Sie können dann die exportierten Informationen in andere Regeln oder in andere Systeme importieren. Die exportierten URLs werden im CSV-Format gespeichert. 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie die Regel aus, die die Liste der URLs enthält, die als CSV-Datei exportiert werden sollen. 3 Wählen Sie im Bereich Katalog den Katalogtyp URL-Listen aus, und klicken Sie auf die erforderliche Liste. 4 Klicken Sie im Objektdetailbereich auf, und wählen Sie Exportieren aus. 5 Speichern Sie die Datei dann auf die im verwendeten Browser übliche Weise. Die Liste wird als Datei gespeichert, die den gleichen Namen wie das Sitelist-Objekt trägt. Wenn Sie die URL-Liste beispielsweise aus einer Sitelist mit dem Namen Blockierte URLs exportieren, wird eine Datei Blockierte URLs.csv erstellt. Importieren einer Liste von URLs Das Importieren einer Liste ist ein bequemes Verfahren, mit dem Sie dem System mehrere URLs auf einmal hinzufügen können. Die zu importierende URL-Liste muss das CSV-Format aufweisen. Bevor Sie beginnen Sie benötigen eine Datei mit durch Kommas getrennten Werten (CSV-Datei), die die Liste der zu importierenden URLs enthält. Die Datei kann eine Kopfzeile (Überschriften) enthalten. Die Liste muss durch Kommas getrennte Werte enthalten. Jede Zeile muss eine URL enthalten, gefolgt von einem Komma (',') als Trennzeichen und entweder "true" oder "false". "true" bedeutet, dass für die URL der Parameter "Alle Unterdomänen" ausgewählt ist, während "false" bedeutet, dass "Alle Unterdomänen" nicht ausgewählt ist. Bei der URL und dem Wert "true/false" wird die Groß-/Kleinschreibung nicht berücksichtigt. Es dürfen sich keine Leerzeichen in oder am Ende der Zeile befinden. Die Einträge in der Datei können beispielsweise wie folgt aussehen: example.org,true 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie die Regel im Funktionsbereich aus. 3 Wählen Sie im Bereich Katalog den Katalogtyp URL-Listen aus, und klicken Sie auf die erforderliche Liste. 4 Klicken Sie im Objektdetailbereich auf, und wählen Sie Importieren aus. 5 Navigieren Sie zur CSV-Datei, die die zu importierenden URLs enthält. Wenn die oberste Zeile der CSV-Datei Überschriften enthält, müssen Sie die Option Diese Datei enthält eine Kopfzeile auswählen. 30 McAfee Web Gateway Cloud Service Produkthandbuch

31 Richtlinienverwaltung Arbeiten mit Regeln und Funktionsrichtlinien 2 6 Klicken Sie auf Importieren. Daraufhin wird eine Statusmeldung angezeigt. Wenn die CSV-Datei doppelte URLs enthält, wird der Import angehalten, und Sie werden in einer entsprechenden Meldung darauf hingewiesen. Sie können dann den Import fortsetzen oder den Vorgang ohne Importieren der URL-Liste beenden. 7 Wenn vorhandene URLs durch die importierten Werte überschrieben werden sollen, klicken Sie auf Ersetzen. 8 Klicken Sie auf Speichern. Erstellen einer Blockierungsseite Eine Blockierungsseite wird angezeigt, wenn dem Benutzer der Zugriff auf eine bestimmte URL, ein bestimmtes Dokument oder eine andere Web-Anfrage verweigert wird. Sie können für einzelne Funktionsrichtlinien unterschiedliche Blockierungsseiten erstellen. Erstellen Sie mithilfe von Neue Blockierungsseite oder durch Kopieren einer vorhandenen Seite eine Blockierungsseite. 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie in der Richtlinien-Dropdown-Liste in der Funktionskopfzeile des Richtlinien-Browsers die Funktionsrichtlinie aus, die Sie ändern möchten. 3 Klicken Sie auf den Namen der Funktionsrichtlinie, z. B. Eingeschränkt oder Großzügig. 4 Klicken Sie im Bereich Richtliniendetails auf neben Blockierungsseite. 5 Führen Sie im Bereich Katalog unter Blockierungsseiten einen der folgenden Schritte aus: Klicken Sie auf, und wählen Sie Neue Blockierungsseite aus. Wählen Sie die zu kopierende Blockierungsseite aus, und klicken Sie auf Blockierungsseite kopieren aus.. Wählen Sie dann Klicken Sie zum Hinzufügen einer vorhandenen Blockierungsseite auf Blockierungsseite. neben der hinzuzufügenden McAfee Web Gateway Cloud Service Produkthandbuch 31

32 2 Richtlinienverwaltung Arbeiten mit Regeln und Funktionsrichtlinien 6 Bearbeiten Sie im Dialogfeld für die Blockierungsseite den Namen der Blockierungsseite, und ändern Sie Inhalt und Format der Meldung. Auf der Blockierungsseite können auch anhand von Token Informationen zur jeweiligen Web-Anfrage angegeben werden, die die Blockierungsaktion und Blockierungsmeldung ausgelöst hat. Tabelle 2-6 Verfügbare Token zur Verwendung auf Blockierungsseiten Token {URL} {REASON} {IP} {RULE} {WEB_CATEGORY} {URL_REPUTATION} {MEDIA_TYPE} Beschreibung Die angeforderte URL. Eine Kombination aus dem Grund für die Blockierung und genauen Angaben zum Grund. Die IP-Adresse des Client-Systems. Der Name der aktuellen Regel. Eine Liste der Kategorien, mit denen die angeforderte URL übereinstimmt. Der Reputationsfaktor für die angeforderte URL. Die Medientyp-Klassifizierung für die angeforderte Datei. {MALWARE_PROBABILITY} Die Wahrscheinlichkeit, dass die Datei bösartig ist. {MALWARE} {APPLICATION} {USERNAME} {PROXYNAME} Informationen zur erkannten Malware Der Name der Web-Anwendung. Informationen zum Benutzer, der die Web-Anfrage gestellt hat. Angaben zum verwendeten Proxy (falls zutreffend). Der Inhalt einer Blockierungsseite darf höchstens 1 MB groß sein. 7 Klicken Sie auf Speichern. Die neue Blockierungsseite wird dem entsprechenden Katalogtyp hinzugefügt. 8 Klicken Sie zum Verwenden der neu erstellten Blockierungsseite für die ausgewählte Richtlinie rechts neben der Blockierungsseite im Bereich Katalog auf. Die Blockierungsseite wird dem Bereich Richtliniendetails hinzugefügt. 9 Klicken Sie auf Speichern. Um eine Blockierungsseite zu bearbeiten oder zu löschen, wählen Sie die Blockierungsseite aus, und klicken Sie im Objektdetailbereich auf, um den entsprechenden Vorgang auszuführen. Bearbeiten der Richtliniendetails Sie können im Bereich Richtliniendetails den vorhandenen Richtliniennamen und die zugewiesene Blockierungsseite bearbeiten. 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie in der Richtlinien-Dropdown-Liste in der Funktionskopfzeile des Richtlinien-Browsers die Funktionsrichtlinie aus, die Sie ändern möchten. 3 Klicken Sie auf den Namen der Funktionsrichtlinie, z. B. Eingeschränkt oder Großzügig. 32 McAfee Web Gateway Cloud Service Produkthandbuch

33 Richtlinienverwaltung Anzeigen von Benutzeraktionen 2 4 Ändern Sie im Bereich Richtliniendetails den Namen der Funktionsrichtlinie, oder bearbeiten Sie ggf. die Blockierungsseite. Für einige Funktionstypen wie beispielsweise SSL-Scanner, Web-Kategoriefilter und können Sie zudem funktionsspezifische Optionen aktivieren. 5 Klicken Sie auf Speichern. Ändern der zugewiesenen Richtlinie Auf jede Funktion kann immer nur jeweils eine aktive Funktionsrichtlinie angewendet werden. Mit der folgenden können Sie die einer Funktion zugewiesene Funktionsrichtlinie ändern. Bevor Sie beginnen Für die Funktion müssen mindestens zwei Funktionsrichtlinien konfiguriert sein. 1 Wählen Sie im Menü McAfee epo Cloud die Option Richtlinie Web- und Cloud-Datenschutzrichtlinie aus. 2 Wählen Sie den entsprechenden Schlüsselfunktionsbereich aus, und klicken Sie auf die Dropdown-Liste mit den Richtlinien, um die verfügbaren Richtlinien anzuzeigen. Standardmäßig ist die derzeit aktivierte Richtlinie ausgewählt. 3 Wählen Sie eine neue Richtlinie in der Liste aus. 4 Klicken Sie auf Richtlinie aktivieren. 5 Klicken Sie auf Ja, um die Änderung zu bestätigen. Die neu ausgewählte Funktionsrichtlinie wird aktiviert. Anzeigen von Benutzeraktionen Die Einzelheiten zu den an Richtlinien vorgenommenen Änderungen werden in McAfee epo Cloud auf der Seite Audit-Protokoll erfasst. Verwenden Sie das Audit-Protokoll, um eine Aufzeichnung aller Benutzeraktionen aufzurufen und zu verwalten. Bei jedem Erstellen, Ändern oder Löschen einer Richtlinie bzw. Regel sowie beim Ändern der Regelreihenfolge werden Informationen zu den Änderungen in das McAfee epo Cloud-Audit-Protokoll geschrieben. Sie können den Verlauf von Benutzeraktionen anzeigen. McAfee Web Gateway Cloud Service Produkthandbuch 33

34 2 Richtlinienverwaltung Exportieren der Audit-Protokolle 1 Klicken Sie im McAfee epo Cloud-Menü auf Benutzerverwaltung Audit-Protokoll. 2 Sie können nach bestimmten Einträgen suchen, indem Sie in der Dropdown-Liste Voreingestellt den entsprechenden Zeitraum auswählen oder das Feld Schnellsuche verwenden und dann auf Übernehmen klicken. Mit der Schnellsuche werden die Felder Benutzername, Priorität, Aktion und Details durchsucht. Für die ausgewählten Parameter werden Einzelheiten zu den Änderungen an Richtlinien und Regeln angezeigt, beispielsweise die ID für die einzelnen Einträge und die Hierarchie des Objekts bzw. der Regel. Exportieren der Audit-Protokolle Sie können die in den Audit-Protokollen enthaltenen Informationen exportieren, um sie außerhalb von McAfee epo Cloud analysieren zu können. 1 Klicken Sie im McAfee epo Cloud-Menü auf Benutzerverwaltung Audit-Protokoll. 2 Sie können nach bestimmten Einträgen suchen, indem Sie in der Dropdown-Liste Voreingestellt den entsprechenden Zeitraum auswählen oder das Feld Schnellsuche verwenden. Klicken Sie dann auf Übernehmen. 3 Klicken Sie auf die Schaltfläche Aktion, und wählen Sie dann Tabelle exportieren aus. 4 Definieren Sie die Konfigurationsinformationen für die exportierten Informationen. Option Dateien komprimieren Dateiformat Welche Aktion soll mit exportierten Dateien durchgeführt werden Beschreibung Exportieren Sie alle Dateien in einer ZIP-Datei. Wählen Sie das Format aus, in dem die Informationen exportiert werden sollen. Wenn Sie die PDF-Ausgabe auswählen, müssen Sie die Seitengröße und -ausrichtung definieren. Außerdem können Sie Informationen zu den ausgewählten Filterkriterien angeben und dem PDF-Bericht ein Deckblatt hinzufügen. Geben Sie Details zu den Empfängern, den Betreff und Informationen für den Textteil der ein. 5 Klicken Sie auf Exportieren. Fehlerzustände Bei der Arbeit mit Produkten, die mit Web-Servern interagieren, können potenzielle Fehlerzustände auftreten. Auch mehrere Administratoren, die gleichzeitig Änderungen an Richtlinien vornehmen, können Fehlerzustände verursachen. Fehlerzustände gehören häufig zu einer der folgenden Kategorien: 34 McAfee Web Gateway Cloud Service Produkthandbuch

35 Richtlinienverwaltung Fehlerzustände 2 Datenfehler Netzwerkverbindungsfehler Fehler beim Speichern Datenfehler Datenfehler treten auf, wenn Daten nicht verfügbar sind oder nicht gefunden werden können. Dies sind einige typische Gründe für das Auftreten von Datenfehlern: Die angefragten Daten wurden gelöscht oder können nicht gefunden werden. Ein serverseitiger Fehler ist während der Verarbeitung der Datenanfrage aufgetreten. Wenn ein Datenfehler auftritt, wird in einer Fehlermeldung darauf hingewiesen, dass die Daten nicht verfügbar sind. Diese Meldung enthält eine Schaltfläche Erneut laden, mit der Sie erneut versuchen können, die Daten zu laden. Falls die Daten weiterhin nicht verfügbar sind, besagt eine weitere Meldung, dass der erneute Versuch fehlgeschlagen ist. Falls die angefragten Daten zuvor gelöscht wurden, wird Ihnen dies in der Fehlermeldung mitgeteilt. Netzwerkverbindungsfehler Wie bei vielen Web-Diensten können zwischen dem verwendeten System und dem Web-Server samt Datenbank, auf dem die Dienste gehostet werden, Kommunikationsfehler auftreten. Kommunikationsfehler im Netzwerk bestehen oft nur für kurze Zeit, und wenn die Kommunikation wieder funktioniert, stellt der Dienst die Verbindung automatisch wieder her. Sie können auch manuell erneut versuchen, die Verbindung herzustellen. Fehler beim Speichern Fehler beim Speichern treten auf, wenn ein Administrator auf Speichern klickt, der Speichervorgang jedoch fehlschlägt. Dies kann unter anderem folgende Gründe haben: Ein allgemeiner Fehler tritt auf, weil der Server ausgelastet oder überlastet war. Eine andere Person hat die Regel gelöscht, bevor Sie sie speichern konnten. Ein Objekt in der Regel, die Sie speichern wollten, ist nicht mehr vorhanden. McAfee Web Gateway Cloud Service Produkthandbuch 35

36 2 Richtlinienverwaltung Fehlerzustände 36 McAfee Web Gateway Cloud Service Produkthandbuch

37 3 Authentifizierung 3 McAfee WGCS wendet Ihre Web-Sicherheitsrichtlinie auf die Web-Anfragen von Endbenutzern an, nachdem diese authentifiziert wurden. Inhalt Authentifizierung und Richtlinienauswahl Implementierung der Authentifizierungsoptionen in McAfee WGCS Ablauf des Authentifizierungsprozesses IP-Bereichsauthentifizierung SAML-Authentifizierung IPsec-Site-to-Site-Authentifizierung Authentifizierung und Richtlinienauswahl McAfee WGCS trifft ausgehend von den durch die jeweilige Authentifizierungsoption zurückgegebenen Informationen die entsprechende Richtlinienauswahl. Client Proxy-Authentifizierung: Diese Option ist verfügbar, wenn Client Proxy auf Endbenutzer-Computern unter Windows oder Mac OS X installiert und in McAfee WGCS integriert ist. Client Proxy gibt die ID des Unternehmens sowie die Namen aller Gruppen, denen der Endbenutzer angehört, an McAfee WGCS zurück. McAfee WGCS trifft ausgehend von den jeweils bestehenden Gruppenmitgliedschaften die entsprechende Richtlinienauswahl. IP-Bereichsauthentifizierung: Wählen Sie diese Option aus, wenn McAfee WGCS Endbenutzer anhand ihrer IP-Adressen authentifizieren soll. McAfee WGCS trifft ausgehend von den für das Unternehmen konfigurierten IP-Adressbereichen die entsprechende Richtlinienauswahl. SAML-Authentifizierung: Wählen Sie diese Option aus, wenn Sie den Identitätshändler angegeben möchten, der in Ihrem Unternehmen zur Authentifizierung der Endbenutzer verwendet wird. Die Authentifizierung kann auf beliebige Weise erfolgen, beispielsweise über einen lokalen Active Directory-Dienst, Facebook oder Google. Das Ergebnis der Authentifizierung und die Identitätsinformationen werden in Form von SAML-Assertionen, die Paare aus Attributname und Wert enthalten, an McAfee WGCS zurückgegeben. McAfee WGCS trifft ausgehend vom Wert des Gruppen-ID-Attributs in den SAML-Assertionen die entsprechende Richtlinienauswahl. IPsec-Site-to-Site-Authentifizierung: Wählen Sie diese Option aus, wenn Sie die Kommunikation zwischen Ihrem Netzwerk und McAfee WGCS mithilfe eines IPsec-VPN-Tunnels sichern möchten. McAfee WGCS trifft ausgehend von der Kunden-ID in Verbindung mit der Quell-IP-Adresse der empfangenen IPsec-Kommunikationen und eines vorinstallierten Schlüssels die entsprechende Richtlinienauswahl. McAfee Web Gateway Cloud Service Produkthandbuch 37

38 3 Authentifizierung Implementierung der Authentifizierungsoptionen in McAfee WGCS Implementierung der Authentifizierungsoptionen in McAfee WGCS Die Implementierung ist abhängig von der Authentifizierungsoption. Dies sind die Authentifizierungsoptionen: Client Proxy: Die auf den Endgeräten installierte Client Proxy-Software fügt jeder HTTP- oder HTTPS-Anfrage Header hinzu. Die Header sind mittels einem gemeinsamen, geheimen Schlüssel verschlüsselt. McAfee WGCS erkennt die Header, entschlüsselt sie anhand des gemeinsamen, geheimen Schlüssels und identifiziert den Endbenutzer. Konfigurieren Sie in der McAfee epo- oder McAfee epo Cloud-Verwaltungskonsole im Richtlinienkatalog die Client Proxy-Authentifizierung. Es ist keine Konfiguration in der Benutzeroberfläche Web-Schutz notwendig. IP-Bereich: McAfee WGCS überprüft, ob die Quell-IP-Adresse im empfangenen TCP-Paket in den vom Kunden als sicher konfigurierten IP-Adressbereichen aufgeführt ist. Falls die Adresse enthalten ist, autorisiert McAfee WGCS die Anfrage. SAML: Die SAML-Option verwendet Cookie-Authentifizierung. Das Cookie enthält Benutzer- und Gruppennamen. Falls in der Anfrage kein Cookie enthalten ist, leitet McAfee WGCS die Anfrage an den Identitätsservice um, der für den in der vom Endbenutzer eingegebenen -Adresse enthaltenen Domänennamen konfiguriert ist. Der Identitätsservice authentifiziert den Benutzer und leitet die Anfrage mit dem Cookie zurück an McAfee WGCS um. McAfee WGCS überprüft das Cookie und extrahiert die Identität des Benutzers. IPsec-Site-to-Site: IPsec-Site-to-Site ist vielmehr ein Transportprotokoll als eine Authentifizierungsmethode. McAfee WGCS authentifiziert den IPsec-VPN-Tunnel und den Kunden jedoch nicht den Endbenutzer. Wenn Sie eine Client Proxy- oder SAML-Authentifizierung zu IPsec-Site-to-Site hinzufügen, kann McAfee WGCS diese zur Authentifizierung von Anfragen, die über den VPN-Tunnel empfangen werden, verwenden. Ablauf des Authentifizierungsprozesses Die Art, wie McAfee WGCS Webanfragen verarbeitet und Authentifizierungen ausführt, hängt von mehreren Faktoren ab von der Port-Nummer, von der eine Anfrage empfangen wird, sowie von der Tatsache, ob IPsec-Site-to-Site konfiguriert ist. Client Proxy-Authentifizierung McAfee WGCS überprüft vor jeder anderen Authentifizierungsmethode auf Client Proxy-Authentifizierungen und führt diese zuerst aus. Dabei ist unerheblich ob die IPsec-Site-to-Site-Authentifizierung konfiguriert ist oder nicht. Sie können die von Benutzerauthentifizierung von Client Proxy mit der von IPsec-Site-to-Site angebotenen Sicherheit kombinieren. Um die Client Proxy-Authentifizierung zu IPsec-Site-to-Site hinzuzufügen, stellen Sie sicher, dass Client Proxy so konfiguriert ist, dass es zur Weiterleitung von Datenverkehr an McAfee WGCS Port 80 verwendet. SAML-Authentifizierung Port 8084 ist für die SAML-Authentifizierung reserviert. Wenn die SAML- und IPsec-Site-to-Site-Authentifizierung konfiguriert sind, können Sie jedem IPsec-Speicherort die SAML-Konfiguration hinzufügen. Authentifizierungsprozess ohne Konfiguration von IPsec-Site-to-Site Wenn IPsec-Site-to-Site nicht konfiguriert ist, verarbeitet McAfee WGCS Webanfragen entsprechend der Port-Nummer, auf dem sie empfangen werden. 38 McAfee Web Gateway Cloud Service Produkthandbuch

39 Authentifizierung IP-Bereichsauthentifizierung 3 Ports 80, 8080, 8081: McAfee WGCS verarbeitet auf Ports empfangene Webanfragen, wie folgt: 1 Client Proxy: McAfee WGCS überprüft die Webanfrage zuerst auf Client Proxy-Header. Wenn Header vorhanden sind, wird die Client Proxy-Authentifizierung ausgeführt. 2 IP-Bereich: Falls die Webanfrage keine Client Proxy-Header enthält, überprüft anschließend McAfee WGCS, ob die Quell-IP-Adresse in dem von Kunden als sicher konfigurierten IP-Adressbereich vorhanden ist. Falls die Quell-IP-Adresse enthalten ist, autorisiert McAfee WGCS die Anfrage. 3 Falls weder Client Proxy noch eine IP-Bereichsauthentifizierung durchgeführt werden, wird die Webanfrage nicht autorisiert. Port 8084: Die SAML-Authentifizierung wird für alle auf dem Port 8084 empfangenen Webanfragen ausgeführt. Authentifizierungsprozess mit IPsec-Site-to-Site Wenn IPsec-Site-to-Site konfiguriert ist, verarbeitet McAfee WGCS über den IPsec-VPN-Tunnel empfangene Webanfragen wie folgt: 1 Client Proxy: McAfee WGCS überprüft die Webanfrage zuerst auf Client Proxy-Header. Wenn Header vorhanden sind, wird die Client Proxy-Authentifizierung ausgeführt. 2 SAML: Falls die Webanfrage keine Client Proxy-Header enthält, überprüft anschließend McAfee WGCS, ob eine SAML-Konfiguration mit der IPsec-Konfiguration verknüpft ist. Falls eine Verknüpfung besteht, wird die SAML-Authentifizierung durchgeführt. 3 Falls weder eine Client Proxy- noch eine SAML-Authentifizierung durchgeführt werden, wird der Kunde authentifiziert, wohingegen der Endbenutzer nicht identifiziert wird. IP-Bereichsauthentifizierung Sie können in der Verwaltungskonsole IP-Adressbereiche konfigurieren, die als sicher gelten. Anschließend authentifiziert McAfee WGCS die Benutzer, die von diesen Adressen aus Web-Anfragen senden. Auf der Benutzeroberfläche für die IP-Bereichsauthentifizierung haben Sie folgende Möglichkeiten: Aktivieren oder Deaktivieren der IP-Bereichsauthentifizierung. Konfigurieren von IP-Adressbereichen. Importieren einer Liste von IP-Adressbereichen. Exportieren einer Liste von IP-Adressbereichen. Aktivieren oder Deaktivieren der IP-Bereichsauthentifizierung Sie können die IP-Bereichsauthentifizierung nach Bedarf aktivieren bzw. deaktivieren. 1 Wählen Sie im Menü McAfee epo Cloud Web-Schutz Authentifizierungseinstellungen aus. 2 Wählen Sie in der Dropdown-Liste Authentifizierungseinstellungen die Option IP-Bereich aus. Daraufhin öffnet sich rechts im Bildschirm der Bereich Details. McAfee Web Gateway Cloud Service Produkthandbuch 39

40 3 Authentifizierung IP-Bereichsauthentifizierung 3 Aktivieren Sie zum Aktivieren der IP-Bereichsauthentifizierung das Kontrollkästchen IP-Bereichsauthentifizierung. Um die IP-Bereichsauthentifizierung zu deaktivieren, deaktivieren Sie das Kontrollkästchen. 4 Klicken Sie auf Speichern. Konfigurieren der IP-Bereichsauthentifizierung Ein IP-Adressbereich kann mithilfe der standardmäßigen CIDR-Notation (Classless Inter-Domain Routing) konfiguriert werden. Mit der CIDR-Notation wird Folgendes angegeben: Routing-Präfix für ein Netzwerk IP-Adresse oder -Adressbereich im angegebenen Netzwerk Die CIDR-Syntax besteht aus einer IPv4- oder IPv6-Adresse, der ein Schrägstrich und eine Dezimalzahl nachgestellt sind. Die Dezimalzahl gibt die im Routing-Präfix enthaltene Bit-Anzahl an und wird als Netzwerkgröße in Bits bezeichnet. IPv4-Netzwerke dürfen eine Größe von 24 bis 32 Bits aufweisen. Ein IPv4-Netzwerk mit einer Größe von 24 Bits umfasst 256 Adressen. IPv6-Netzwerke dürfen eine Größe von 120 bis 128 Bits aufweisen. Ein IPv6-Netzwerk mit einer Größe von 120 Bits umfasst 256 Adressen. Protokoll Netzwerkgröße (Bits) CIDR-Notation (Beispiel) Angegebener IP-Adressbereich IPv /24 Von bis IPv :db8:1234:0:0:0:0:ff00/120 Von 2001:db8:1234:0:0:0:0:ff00 bis 2001:db8:1234:0:0:0:0:ffff Hinzufügen eines IP-Adressbereichs Beim Konfigurieren der IP-Bereichsauthentifizierung können Sie der Liste der IP-Adressbereiche eine IP-Adresse bzw. einen IP-Bereich hinzufügen. 1 Wählen Sie im Menü McAfee epo Cloud Web-Schutz Authentifizierungseinstellungen aus. 2 Wählen Sie in der Dropdown-Liste Authentifizierungseinstellungen die Option IP-Bereich aus. Daraufhin öffnet sich rechts im Bildschirm der Bereich Details. 3 Wählen Sie im Menü IP-Adressbereiche die Option IP-Bereich konfigurieren aus. Daraufhin öffnet sich das Konfigurationsfeld. 4 Geben Sie mithilfe der CIDR-Notation eine IPv4- oder IPv6-Adresse bzw. einen IPv4- oder IPv6-Adressbereich ein, und klicken Sie dann auf Hinzufügen. Der Eintrag wird nun der Liste der IP-Adressbereiche hinzugefügt. 5 Fügen Sie je nach Bedarf weitere IP-Adressen oder -Adressbereiche hinzu, und klicken Sie dann auf Speichern. 40 McAfee Web Gateway Cloud Service Produkthandbuch

41 Authentifizierung IP-Bereichsauthentifizierung 3 Ändern eines IP-Adressbereichs Beim Konfigurieren der IP-Bereichsauthentifizierung können Sie in der Liste der IP-Adressbereiche enthaltene IP-Adressen bzw. IP-Bereiche ändern. Wenn Sie eine IP-Adresse bzw. einen IP-Adressbereich nicht ändern sondern hinzufügen möchten, klicken Sie auf das Hinzufügungssymbol (+). 1 Wählen Sie im Menü McAfee epo Cloud Web-Schutz Authentifizierungseinstellungen aus. 2 Wählen Sie in der Dropdown-Liste Authentifizierungseinstellungen die Option IP-Bereich aus. Daraufhin öffnet sich rechts im Bildschirm der Bereich Details. 3 Wählen Sie im Menü IP-Adressbereiche die Option IP-Bereich konfigurieren aus. Daraufhin öffnet sich das Konfigurationsfeld. 4 Wählen Sie in der Liste der IP-Adressbereiche den zu ändernden Eintrag aus. Der entsprechende Eintrag wird nun im Konfigurationsfeld angezeigt. 5 Bearbeiten Sie den Eintrag, und klicken Sie dann auf Fertig. Die Liste der IP-Adressbereiche wird aktualisiert und enthält nun den neuen Eintrag. 6 Ändern Sie ggf. weitere IP-Adressen oder -Adressbereiche, und klicken Sie dann auf Speichern. Löschen eines IP-Adressbereichs Beim Konfigurieren der IP-Bereichsauthentifizierung können Sie in der Liste der IP-Adressbereiche enthaltene IP-Adressen bzw. IP-Bereiche löschen. 1 Wählen Sie im Menü McAfee epo Cloud Web-Schutz Authentifizierungseinstellungen aus. 2 Wählen Sie in der Dropdown-Liste Authentifizierungseinstellungen die Option IP-Bereich aus. Daraufhin öffnet sich rechts im Bildschirm der Bereich Details. 3 Wählen Sie im Menü IP-Adressbereiche die Option IP-Bereich konfigurieren aus. 4 Wenn Sie eine IP-Adresse bzw. einen IP-Adressbereich löschen möchten, klicken Sie auf das rechts neben dem entsprechenden Bereich befindliche Löschsymbol (x). 5 Klicken Sie auf Speichern. Importieren einer Liste von IP-Adressbereichen Sie können die Liste der IP-Adressbereiche durch eine aus einer CSV-Datei importierten Liste ersetzen. Bevor Sie beginnen Beachten Sie folgende Hinweise, bevor Sie eine Liste von IP-Adressbereichen aus einer CSV-Datei importieren: McAfee Web Gateway Cloud Service Produkthandbuch 41

42 3 Authentifizierung SAML-Authentifizierung Die Datei enthält eine IP-Adresse bzw. einen IP-Adressbereich pro Zeile. Die erste Zeile der Datei darf eine Kopfzeile enthalten. Wenn dies der Fall ist, aktivieren Sie beim Importieren der Datei das Kontrollkästchen Diese Datei enthält eine Kopfzeile. 1 Wählen Sie im Menü McAfee epo Cloud Web-Schutz Authentifizierungseinstellungen aus. 2 Wählen Sie in der Dropdown-Liste Authentifizierungseinstellungen die Option IP-Bereich aus. Daraufhin öffnet sich rechts im Bildschirm der Bereich Details. 3 Wählen Sie im Menü IP-Adressbereiche die Option IP-Bereichsliste importieren aus. Daraufhin öffnet sich das Dialogfeld Liste importieren. 4 Navigieren Sie zur CSV-Datei, die die zu importierende Liste mit IP-Adressen und -Adressbereichen enthält, und klicken Sie dann auf Importieren. Daraufhin öffnet sich das Dialogfeld Importstatus. 5 Klicken Sie zur Bestätigung des Importvorgangs auf Ersetzen. Die in der Liste der IP-Adressbereiche enthaltenen Werte werden nun durch die Werte aus der CSV-Datei ersetzt. 6 Klicken Sie auf Speichern. Exportieren einer Liste von IP-Adressbereichen Sie können die Liste der IP-Adressbereiche zu Sicherungszwecken, zum Bearbeiten oder für einen späteren Import als CSV-Datei speichern. 1 Wählen Sie im Menü McAfee epo Cloud Web-Schutz Authentifizierungseinstellungen aus. 2 Wählen Sie in der Dropdown-Liste Authentifizierungseinstellungen die Option IP-Bereich aus. Daraufhin öffnet sich rechts im Bildschirm der Bereich Details. 3 Wählen Sie im Menü IP-Adressbereiche die Option IP-Bereichsliste exportieren aus. Daraufhin öffnet sich das Dialogfeld Opening IP_range_list_null.csv. 4 Wählen Sie Datei speichern aus, und klicken Sie dann auf OK. 5 Geben Sie einen Dateinamen und Speicherort an, und klicken Sie dann auf Speichern. SAML-Authentifizierung Mithilfe der SAML 2.0-Authentifizierung unterstützt McAfee WGCS Unternehmen, die zum Authentifizieren von Endbenutzern einen eigenen Identitätsdienst verwenden wollen. In der SAML-Spezifikation sind außer dem Endbenutzer noch folgende Rollen definiert: 42 McAfee Web Gateway Cloud Service Produkthandbuch

43 Authentifizierung SAML-Authentifizierung 3 Identitätshändler: Authentifiziert den Endbenutzer und gibt Assertionen zur Bestätigung der Identität des Benutzers aus. Der Identitätshändler ist ein beliebiger, von Ihrem Unternehmen angegebener Identitätsdienst. Dienstanbieter: Entscheidet anhand der vom Identitätshändler erhaltenen Identitätsinformationen, ob der vom Endbenutzer angefragte Dienst zur Verfügung gestellt wird. Der Endbenutzer fragt Zugriff auf eine Web-Ressource an. McAfee WGCS leitet als Dienstanbieter die Anfrage des Benutzers mit den entsprechenden Identitätsinformationen an die Cloud weiter oder blockiert die Anfrage. Identitätshändler und Dienstanbieter kommunizieren untereinander mithilfe eines Anfrage-Antwort-Protokolls: SAML-Anfrage: Der Dienstanbieter sendet eine Authentifizierungsanfrage an den Identitätshändler. SAML-Antwort: Der Identitätshändler sendet eine Antwort mit mindestens einer SAML-Assertion bezüglich des Endbenutzers an den Dienstanbieter. Vorteile der SAML-Authentifizierung Die SAML-Authentifizierung bietet folgende Vorteile. SAML-Authentifizierung: Es werden alle Identitätshändler und Authentifizierungsmethoden unterstützt, sofern die Anfrage, die Antwort und das Ergebnis der Authentifizierung anhand des SAML 2.0-Protokolls ausgetauscht werden. Der Informationsaustausch der an der SAML-Authentifizierung beteiligten Parteien kommt ohne Kennwörter aus. McAfee WGCS fordert vom Endbenutzer kein Kennwort. Stattdessen gibt der Identitätshändler alle Authentifizierungs- und Identitätsinformationen in Form von SAML-Assertionen weiter. SAML-Authentifizierung Allgemeine Schritte Vor dem Anwenden der Web-Richtlinie des Unternehmens auf den Endbenutzer benötigt McAfee WGCS die anhand der SAML-Authentifizierung ermittelte Benutzeridentität mit zugehörigen Gruppeninformationen. Der SAML-Authentifizierungsprozess umfasst die folgenden allgemeinen Schritte. McAfee Web Gateway Cloud Service Produkthandbuch 43

44 3 Authentifizierung SAML-Authentifizierung 1 Der Endbenutzer fragt Zugriff auf eine Web-Ressource an. Die Anfrage enthält zwar die URL der Ressource, aber keine Informationen, anhand derer der Benutzer oder dessen Unternehmen identifiziert werden kann. 2 McAfee WGCS empfängt die Anfrage und gibt eine Blockierungsseite zurück, auf der der Benutzer zur Eingabe einer -Adresse aufgefordert wird. 3 Der Benutzer gibt nun eine -Adresse an. 4 McAfee WGCS gleicht den Teil der Endbenutzer- -Adresse, der den Domänennamen darstellt, mit der Liste der konfigurierten Domänen ab. Wenn der Domänenname bereits vorhanden ist, veranlasst der Cloud-Dienst die SAML-Authentifizierung durch Umleitung der SAML-Anfrage in einem Cookie über den Browser des Benutzers an den Identitätshändler, der für diese Domäne konfiguriert ist. Die SAML-Anfrage umfasst die folgenden Werte: ID der Einheit: Identifiziert McAfee WGCS als Aussteller der SAML-Anfrage. Dieser Wert wird von Ihrem Unternehmen zugewiesen. Dienstanbieter-URL: Gibt die URL an, die von McAfee WGCS für die SAML-Kommunikation verwendet wird. Diese URL hat den folgenden festen Wert: 5 Für die Bestätigung der SAML-Anfrage sucht der Identitätshändler nach der ID der Einheit und nach der Dienstanbieter-URL. Wenn diese Werte konfiguriert sind, authentifiziert der Identitätshändler den Endbenutzer und leitet dann die SAML-Antwort in einem Cookie über den Browser des Benutzers an McAfee WGCS um. Die Antwort enthält SAML-Assertionen, die die Identität des Benutzers nachweisen und Informationen zum Benutzer und dessen Gruppen angeben. 44 McAfee Web Gateway Cloud Service Produkthandbuch

45 Authentifizierung SAML-Authentifizierung 3 Die SAML-Antwort umfasst die folgenden Werte: ID der Einheit: Identifiziert den Identitätshändler als Aussteller der SAML-Antwort. Dieser Wert wird von Ihrem Unternehmen zugewiesen. Dienstanbieter-URL: Gibt die URL des Identitätshändlerdienstes an. Dieser Wert wird von Ihrem Unternehmen bereitgestellt. 6 Zur Bestätigung der SAML-Antwort sucht McAfee WGCS nach der ID der Einheit und der Identitätshändler-URL. Wenn diese konfiguriert sind und der Benutzer authentifiziert wurde, wendet McAfee WGCS die Web-Richtlinie Ihres Unternehmens auf den Endbenutzer an und lässt den Zugriff auf die angefragte Web-Ressource zu bzw. blockiert diesen. Übersicht über die SAML-Konfiguration Für die SAML-Authentifizierung müssen Ihr Identitätshändler, die Client-Computer in Ihrem Unternehmen und die Verwaltungskonsole konfiguriert werden. Konfigurieren des Identitätshändlers Konfigurieren Sie Ihren Identitätshändler für die SAML-Kommunikation mit McAfee WGCS zur Verwendung dieser URL: Da der Cloud-Dienst SAML-Assertionen verwendet, die vom Identitätshändler verwendet werden, wird diese Einstellung als Assertion Consumer Service (ACS)-URL bezeichnet. Mehrere SAML-Einstellungen werden in der Verwaltungskonsole und in Ihrem Identitätshändler konfiguriert. Für eine erfolgreiche SAML-Authentifizierung müssen diese Einstellungen genau übereinstimmen. Konfiguration der Client-Browser Wenn die SAML-Authentifizierung McAfee WGCS verwendet, konfigurieren Sie die Client-Browser im Unternehmen so, dass Web-Anfragen folgendermaßen an Port 8084 gesendet werden: c<kunden_id>.saasprotection.com:8084 Konfiguration in der Verwaltungskonsole Die Konfiguration der SAML-Authentifizierung in der Verwaltungskonsole umfasst folgende allgemeine Aufgaben: Benutzeroberfläche Authentifizierungseinstellungen: Konfiguration der SAML-Authentifizierungseinstellungen Benutzeroberfläche Richtlinienverwaltung: Konfiguration der SSL-Scans Hinweise zur Konfiguration der SAML-Authentifizierung Sehen Sie sich diese Hinweise an, bevor Sie die SAML-Authentifizierung konfigurieren. Einrichten von SSL-Scans Für die SAML-Authentifizierung sind SSL-Scans erforderlich. Durch Aktivieren der SAML-Authentifizierung werden SSL-Scans automatisch aktiviert, die Sie in der Benutzeroberfläche Richtlinienverwaltung konfigurieren können. So richten Sie SSL-Scans ein: McAfee Web Gateway Cloud Service Produkthandbuch 45

46 3 Authentifizierung SAML-Authentifizierung 1 Konfigurieren Sie eine SSL-Scanner-Richtlinie. 2 Laden Sie das SSL-Zertifikatspaket herunter. 3 Installieren Sie die SSL-Zertifikate in den Browsern und unter den Betriebssystemen, die auf den Client-Computern in Ihrem Unternehmen ausgeführt werden. Weitere Informationen zu SSL-Scans finden Sie im Kapitel Richtlinienverwaltung. Whitelisting der Identitätshändler-URL Wenn Sie McAfee WGCS als Proxy-Server mithilfe einer PAC-Datei oder einer anderen Proxy-Konfigurationsmethode konfigurieren, sollten Sie die Identitätshändler-URL in die Whitelist aufnehmen. Ohne diesen Schritt könnten die SAML-Kommunikationen zwischen dem Endbenutzer und dem Cloud-Dienst in eine Endlosschleife geraten. Konfigurieren von SAML in der Verwaltungskonsole Auf der Benutzeroberfläche für die SAML-Authentifizierung können Sie die Eigenschaften der SAML-Authentifizierung konfigurieren und die gesamte Konfiguration aktivieren bzw. deaktivieren. Aufgaben Aktivieren oder Deaktivieren der SAML-Authentifizierung auf Seite 46 Sie können die SAML-Authentifizierung nach Bedarf aktivieren bzw. deaktivieren. Konfigurieren der SAML-Authentifizierung auf Seite 46 Nach dem Konfigurieren der SAML-Authentifizierung können Sie Ihren eigenen Identitätshändler verwenden, der dann die Authentifizierungs- und Identitätsinformationen in Form von SAML-Assertionen an McAfee WGCS weitergibt. Aktivieren oder Deaktivieren der SAML-Authentifizierung Sie können die SAML-Authentifizierung nach Bedarf aktivieren bzw. deaktivieren. 1 Wählen Sie im Menü McAfee epo Cloud Web-Schutz Authentifizierungseinstellungen aus. 2 Wählen Sie in der Dropdown-Liste Authentifizierungseinstellungen die Option SAML aus. Daraufhin öffnet sich rechts im Bildschirm der Bereich Details. 3 Klicken Sie zum Aktivieren der Bearbeitung auf das Bleistiftsymbol, und wählen Sie dann eine Option aus: Zur Aktivierung der SAML-Authentifizierung: Aktivieren Sie das Kontrollkästchen SAML-Authentifizierung aktivieren. Zur Deaktivierung der SAML-Authentifizierung: Deaktivieren Sie das Kontrollkästchen SAML-Authentifizierung aktivieren. 4 Klicken Sie auf Speichern. Konfigurieren der SAML-Authentifizierung Nach dem Konfigurieren der SAML-Authentifizierung können Sie Ihren eigenen Identitätshändler verwenden, der dann die Authentifizierungs- und Identitätsinformationen in Form von SAML-Assertionen an McAfee WGCS weitergibt. Bevor Sie beginnen Zum Konfigurieren der SAML-Authentifizierung benötigen Sie die folgenden Informationen: 46 McAfee Web Gateway Cloud Service Produkthandbuch

47 Authentifizierung SAML-Authentifizierung 3 Namen von mindestens einer Domäne, die das Unternehmen identifiziert URL Ihres Identitätshändlers ID der Einheit, die McAfee WGCS von Ihrem Unternehmen zugewiesen wurde ID der Einheit, die dem Identitätshändler von Ihrem Unternehmen zugewiesen wurde Name des Attributs, das Endbenutzer eindeutig identifiziert Name des Attributs, das Gruppenmitgliedschaften aufführt Namen der in Ihrem Unternehmen vorhandenen Gruppen Zertifikat zum Überprüfen signierter SAML-Antworten und -Assertionen Mehrere SAML-Einstellungen werden in der Verwaltungskonsole und in Ihrem Identitätshändler konfiguriert. Für eine erfolgreiche SAML-Authentifizierung müssen diese Einstellungen genau übereinstimmen. 1 Wählen Sie im Menü McAfee epo Cloud Web-Schutz Authentifizierungseinstellungen aus. 2 Wählen Sie in der Dropdown-Liste Authentifizierungseinstellungen die Option SAML aus. Daraufhin öffnet sich rechts im Bildschirm der Bereich Details. 3 Klicken Sie zum Aktivieren der Bearbeitung auf das Bleistiftsymbol, und konfigurieren Sie dann die Domänen sowie die Felder und Einstellungen für SAML-Anfragen und -Antworten. 4 Klicken Sie zum Bereitstellen eines Zertifikats auf das Bleistiftsymbol. Daraufhin öffnet sich das Dialogfeld Zertifikat bearbeiten. 5 Laden Sie die Zertifikatsdatei von Ihrem Identitätshändlerdienst herunter und öffnen Sie die Datei in einem Texteditor. Kopieren Sie den Inhalt der Datei einschließlich -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----, fügen Sie den Inhalt in das Dialogfeld ein und klicken Sie dann auf Speichern. Das Fenster wird nun geschlossen, und das Zertifikat wird gespeichert. 6 Klicken Sie auf Speichern. Die SAML-Authentifizierung wird nun konfiguriert und dann gespeichert. McAfee Web Gateway Cloud Service Produkthandbuch 47

48 3 Authentifizierung SAML-Authentifizierung Einstellungen für die SAML-Authentifizierung Zum Konfigurieren der SAML-Authentifizierung müssen Sie Werte für die folgenden Einstellungen angeben. Tabelle 3-1 Einstellungen für die SAML-Authentifizierung Option SAML-Authentifizierung aktivieren Domäne(n) Definition Wenn Sie diese Option auswählen, wird die SAML-Authentifizierung aktiviert. Gibt eine Liste mit Domänennamen an (eine Domäne pro Zeile). Diese Werte werden von McAfee WGCS zum Identifizieren Ihres Unternehmens verwendet. McAfee WGCS gleicht den Teil der Endbenutzer- -Adresse, der den Domänennamen darstellt, mit der Liste der konfigurierten Domänen ab. Wenn der Domänenname bereits vorhanden ist, veranlasst der Cloud-Dienst die SAML-Authentifizierung durch Umleitung der SAML-Anfrage in einem Cookie über den Browser des Benutzers an den Identitätshändler, der für diese Domäne konfiguriert ist. Anfrage McAfee WGCS verwendet diese Einstellungen beim Versand von SAML-Anfragen an den Identitätshändler. ID der Einheit Bezeichnet den Dienstanbieter eindeutig, der die SAML-Anfrage stellt. Beispiel: McAfeeWGCS Der Identitätshändler nutzt die ID der Einheit zum Identifizieren der SAML-Anfragen, die von McAfee WGCS gesendet werden. Sie geben diese Einstellung auch bei der Konfiguration der SAML-Authentifizierung im Identitätshändlerdienst an. Der Wert, den Sie im Identitätshändler angeben, muss genau mit dem in der Verwaltungskonsole angegebenen Wert übereinstimmen. Identitätshändler Gibt die URL des SAML-Dienstes an, der von Ihrem Identitätshändler bereitgestellt wird. McAfee WGCS leitet SAML-Anfragen an diese URL um, die über Ihren Identitätshändler bereitgestellt wird. Reaktion McAfee WGCS verwendet diese Einstellungen beim Erhalt von SAML-Anfragen vom Identitätshändler. Response must be signed (Antwort muss signiert sein) Assertion must be signed (Assertion muss signiert sein) ID der Einheit Aktivieren Sie dieses Kontrollkästchen, wenn Ihr Identitätshändler die SAML-Antwort signiert. Bei Aktivierung dieses Kontrollkästchens überprüft McAfee WGCS, ob die SAML-Antwort vom Identitätshändler signiert worden ist. Aktivieren Sie dieses Kontrollkästchen, wenn Ihr Identitätshändler die SAML-Assertion in der SAML-Antwort signiert. Bei Aktivierung dieses Kontrollkästchens überprüft McAfee WGCS, ob die SAML-Assertion vom Identitätshändler signiert worden ist. Bezeichnet den Identitätshändler eindeutig, der die SAML-Antwort ausstellt. Konfigurieren Sie diese Einstellung, wenn Ihr Identitätshändler eine Einheits-ID verwendet. Bei Konfiguration nutzt McAfee WGCS diesen Wert, um SAML-Antworten, die vom Identitätshändler gesendet werden, zu identifizieren. Der Wert, den Sie in der Verwaltungskonsole angeben, muss genau mit dem Wert des Identitätshändlers übereinstimmen. 48 McAfee Web Gateway Cloud Service Produkthandbuch

49 Authentifizierung IPsec-Site-to-Site-Authentifizierung 3 Tabelle 3-1 Einstellungen für die SAML-Authentifizierung (Fortsetzung) Option Benutzer-ID-Attribut Gruppen-ID-Attribut Zertifikat Gruppen Definition Gibt den Namen des Attributs an, das Endbenutzer eindeutig identifiziert. McAfee WGCS verwendet diese Einstellung beim Extrahieren der Benutzer-ID aus der SAML-Assertion. Sie geben diese Einstellung auch bei der Konfiguration der SAML-Authentifizierung im Identitätshändlerdienst an. Der Wert, den Sie im Identitätshändler angeben, muss genau mit dem in der Verwaltungskonsole angegebenen Wert übereinstimmen. Gibt den Namen des Attributs an, dessen Wert eine Auflistung von Gruppennamen darstellt. McAfee WGCS verwendet diese Einstellung beim Extrahieren der Gruppenmitgliedschaft aus der SAML-Assertion. Der Cloud-Dienst setzt diese Informationen bei der Anwendung von Gruppenrichtlinien ein. Sie geben diese Einstellung auch bei der Konfiguration der SAML-Authentifizierung im Identitätshändlerdienst an. Der Wert, den Sie im Identitätshändler angeben, muss genau mit dem in der Verwaltungskonsole angegebenen Wert übereinstimmen. Öffnet ein Dialogfeld, in das Sie den Inhalt des Zertifikats, das von Ihrem Identitätshändler bereitgestellt wird, einfügen und anschließend dort speichern können. McAfee WGCS nutzt dieses Zertifikat zur Überprüfung der Signaturen von SAML-Antworten und der vom Identitätshändler signierten Assertionen. Gibt eine Liste mit Gruppennamen an, die McAfee WGCS zum Filtern von Gruppen aus der SAML-Antwort verwendet. Konfigurieren Sie diese Einstellung, wenn das Verzeichnis Ihres Unternehmens Hunderte Gruppen enthält. Das Format der Gruppennamen muss genau mit dem Format übereinstimmen, das vom Identitätshändler gesendet wird. Beispiele: Administratoren, Benutzer, interne Anwender IPsec-Site-to-Site-Authentifizierung Wenn Ihr Unternehmen eines der folgenden Geräte zur Sicherung Ihres Netzwerks einsetzt, können Sie das IPsec-Protokoll zur Sicherung der Kommunikationen zwischen Ihrem Netzwerk und McAfee WGCS einsetzen. FortiGate 60D SonicWALL TZ400 Die IPsec-Site-to-Site-Authentifizierung wird auch als IPsec-Site-to-Cloud-Authentifizierung bezeichnet. Konfigurieren der IPsec-Site-to-Site-Authentifizierung Wenn Sie Ihr Netzwerk und McAfee WGCS für die Verwendung von IPsec konfigurieren, erstellen Sie einen IPsec-VPN-Tunnel zwischen Ihrem Netzwerk und dem Cloud-Dienst. Innerhalb des VPN-Tunnels ist das gesamte IP-Paket verschlüsselt, authentifiziert und eingeschlossen. McAfee WGCS setzt die Quell-IP-Adresse der empfangenen IPsec-Kommunikationen und einen vorinstallierten Schlüssel zur Kundenidentifizierung ein. Dann wendet der Cloud-Dienst die Richtlinien basierend auf der Kunden-ID auf Anfragen von Endbenutzern an. Um einen IPsec-VPN-Tunnel zwischen Ihrem Netzwerk und McAfee WGCS einzurichten, müssen Sie Folgendes konfigurieren: McAfee Web Gateway Cloud Service Produkthandbuch 49

50 3 Authentifizierung IPsec-Site-to-Site-Authentifizierung IPsec-Authentifizierung in der McAfee epo Cloud-Verwaltungskonsole Schnittstellen für IPsec-VPN-Tunnel auf Geräten, die Ihr Netzwerk schützen Hinweise zur Konfiguration von IPsec-Site-to-Site Lesen Sie sich vor der Konfiguration der IPsec-Site-to-Site-Authentifizierung folgende Hinweise durch: Ausschließliches Routen von HTTP- und HTTPS-Datenverkehr: McAfee WGCS verarbeitet nur den IPsec-Datenverkehr, der im VPN-Tunnel an die Ports 80 und 443 weitergeleitet wird (jeweils HTTP- und HTTPS-Datenverkehr). Konfigurieren Sie Ihr Gerät so, dass nur HTTP- und HTTPS-Datenverkehr über den VPN-Tunnel geroutet wird. Konfigurieren von zwei IPsec-VPN-Tunneln: Die bewährte Methode besteht darin, einen primären und einen sekundären VPN-Tunnel zu konfigurieren. Der primäre Tunnel wird mit dem besten verfügbaren Knotenpunkt (Point of Presence, PoP) verbunden, während der sekundäre Tunnel mit dem zweitbesten Knotenpunkt verbunden wird. Auf diese Weise wird die kontinuierliche Unterstützung von IPsec gewährleistet, falls einer der beiden Knotenpunkt nicht verfügbar sein sollte. Verwenden eines IPsec-VPN-Tunnels zum Verbinden von Remote-Standorten: Falls Sie über mehrere Remote-Standorte verfügen, die über eine VPN-Verbindung mit dem Netzwerk verbunden sind, können Sie den Datenverkehr schützen und die Netzwerklatenz verbessern, indem Sie einen VPN-Tunnel zwischen allen Standorten und McAfee WGCS erstellen. Hinzufügen einer Client Proxy-Authentifizierung: Sie können IPsec-Site-to-Site eine Client Proxy-Authentifizierung hinzufügen. Konfigurieren Sie dazu Client Proxy, damit dieser zur Weiterleitung von Datenverkehr an McAfee WGCS Port 80 nutzt. Hinzufügen einer SAML-Authentifizierung: Sie können einem IPsec-Speicherort eine SAML-Konfiguration hinzufügen. McAfee WGCS verwendet SAML, um vom Speicherort über den IPsec-Tunnel empfangene Anfragen zu authentifizieren. Verwenden eines NAT-Geräts: Wenn sich das IPsec-Gerät hinter einem NAT-Gerät befindet und die ausgehende Schnittstelle über eine private IP-Adresse verfügt, legen Sie das "Local ID"-Attribut auf Ihre öffentliche IP-Adresse fest. Ermitteln der am besten verfügbaren Knotenpunkte Fragen Sie den globalen Routing-Manager (GRM) ab, um den Knotenpunkt zu finden, der dem Gerät am nächsten ist, das Sie für die IPsec-Authentifizierung konfigurieren. Der GRM ist ein DNS-Dienst, der den Datenverkehr an den besten verfügbaren Knotenpunkt weiterleitet. Führen Sie wie folgt das Befehlszeilen-Tool nslookup in dem Netzwerk aus, in dem Ihr Gerät installiert ist: nslookup 1.network.c<Kunden-ID>.saasprotection.com nslookup 2.network.c<Kunden-ID>.saasprotection.com Als Reaktion auf diese Befehle gibt der GRM die IP-Adressen der zwei am besten verfügbaren Knotenpunkte zurück, die er auf Basis des Netzwerkspeicherorts des Geräts ermittelt hat. Sie benötigen diese Werte zur Konfiguration des primären und sekundären IPsec-VPN-Tunnels auf Ihrem Gerät und in McAfee WGCS. 50 McAfee Web Gateway Cloud Service Produkthandbuch

51 Authentifizierung IPsec-Site-to-Site-Authentifizierung 3 Aktivieren oder Deaktivieren der IPsec-Site-to-Site-Authentifizierung Nachdem Sie einen IPsec-VPN-Tunnel zwischen einem Netzwerkspeicherort und McAfee WGCS konfiguriert haben, können Sie den Tunnel aktivieren oder deaktivieren. 1 Wählen Sie im Menü McAfee epo Cloud Web-Schutz Authentifizierungseinstellungen aus. 2 Wählen Sie in der Dropdown-Liste IPsec-Site-to-Site-Einstellungen einen Speicherort aus. Im Fenster Details werden die Werte angezeigt, die für den ausgewählten Speicherort konfiguriert sind. 3 Klicken Sie auf das Menüsymbol Details, und wählen Sie dann eine Option aus: Zur Aktivierung eines deaktivierten IPsec-Tunnels: Klicken Sie auf Aktivieren und dann auf Speichern. Zur Deaktivierung eines aktivierten IPsec-Tunnels: Klicken Sie auf Deaktivieren und dann auf Speichern. Hinzufügen eines IPsec-Speicherorts Um einen IPsec-VPN-Tunnel zwischen Ihrem Netzwerk und McAfee WGCS zu erstellen, fügen Sie den Netzwerkspeicherort zur IPsec-Konfiguration hinzu und konfigurieren Sie die Einstellungen für diesen Standort. 1 Wählen Sie im Menü McAfee epo Cloud Web-Schutz Authentifizierungseinstellungen aus. 2 Wählen Sie in der Dropdown-Liste IPsec-Site-to-Site-Einstellungen einen Speicherort aus. Wenn keine Speicherorte konfiguriert sind, wählen Sie den Platzhalter aus. Im Fenster Details werden die Werte angezeigt, die für den ausgewählten Speicherort konfiguriert sind. 3 Klicken Sie zunächst auf das Menüsymbol Authentifizierungseinstellungen und dann auf Neuer Speicherort. Über dem ausgewählten Speicherort wird eine Zeile hinzugefügt und die entsprechenden Felder im Bereich Details können bearbeitet werden. 4 Geben Sie im Bereich Details einen Namen für den neuen Speicherort ein. 5 Geben Sie Werte für die Einstellungen an, und klicken Sie dann auf Speichern. Löschen eines IPsec-Speicherorts Sie können einen Netzwerkspeicherort aus der IPsec-Konfiguration löschen. 1 Wählen Sie im Menü McAfee epo Cloud Web-Schutz Authentifizierungseinstellungen aus. 2 Wählen Sie in der Dropdown-Liste IPsec-Site-to-Site-Einstellungen den zu löschenden Speicherort aus. 3 Klicken Sie zunächst auf das Menüsymbol Authentifizierungseinstellungen und dann auf Speicherort löschen. 4 Klicken Sie als Reaktion auf die Eingabeaufforderung auf Löschen, um diesen Vorgang zu bestätigen. McAfee Web Gateway Cloud Service Produkthandbuch 51

52 3 Authentifizierung IPsec-Site-to-Site-Authentifizierung Bearbeiten der IPsec-Site-to-Site-Einstellungen Sie können die IPsec-Site-to-Site-Einstellungen bearbeiten, die für einen Netzwerkspeicherort konfiguriert sind. 1 Wählen Sie im Menü McAfee epo Cloud Web-Schutz Authentifizierungseinstellungen aus. 2 Wählen Sie in der Dropdown-Liste IPsec-Site-to-Site-Einstellungen den Speicherort aus, dessen Einstellungen Sie bearbeiten möchten. Im Fenster Details werden die Werte angezeigt, die für den ausgewählten Speicherort konfiguriert sind. 3 Klicken Sie im Fenster Details auf das Bleistiftsymbol. 4 Bearbeiten Sie die Werte in gewünschter Weise in den Feldern, und klicken Sie dann auf Speichern. IPsec-Site-to-Site-Einstellungen Um die IPsec-Site-to-Site-Authentifizierung in der Verwaltungskonsole zu konfigurieren, benötigen Sie die folgenden IP-Adressen und einen vorinstallierten Schlüssel. Option Name des Speicherorts Externe IP Lokales Netzwerk Vorinstallierter Schlüssel Definition Gibt den Namen an, den Sie dem Netzwerkspeicherort zuweisen. Gibt die externe IP-Adresse Ihres Netzwerks im IPv4-Format an. IPsec-Kommunikationen werden von dieser Adresse an McAfee WGCS gesendet. McAfee WGCS verwendet diesen Wert, um das IPsec-Gerät zu identifizieren. Gibt die interne IP-Adresse Ihres Netzwerks im IPv4-Format mithilfe der CIDR-Notation mit einer Netzwerkgröße zwischen 16 und 32 Bit an. McAfee WGCS verwendet diesen Wert neben der Identifizierung des Kunden auch zur Einrichtung des IPsec-VPN-Tunnels zwischen dem lokalen Netzwerk und dem Cloud-Dienst. Gibt den Schlüsselwert an, den Sie definieren und für McAfee WGCS freigeben. Höchstlänge: 64 Zeichen McAfee WGCS verwendet diesen Wert, um das IPsec-Gerät zu authentifizieren. Hinzufügen einer SAML-Authentifizierung zu IPsec-Site-to-Site Wenn Sie einen IPsec-VPN-Tunnel für einen Remote-Standort oder einen Speicherort in Ihrem Netzwerk konfiguriert haben, können Sie die SAML-Authentifizierung zur IPsec-Konfiguration hinzufügen. McAfee WGCS verwendet SAML, um über den IPsec-Tunnel empfangene Anfragen zu authentifizieren. Eine SAML-Konfiguration wird mit dem gesamten Netzwerk und allen Remote-Standorten geteilt. Wenn Sie die Konfiguration für einen IPsec-Speicherort bearbeiten, wird die Konfiguration für alle IPsec-Standorte aktualisiert. Hinzufügen einer SAML-Authentifizierung zu einem IPsec-Speicherort Sie können eine SAML-Konfiguration zu einer IPsec-Site-to-Site-Konfiguration hinzufügen. 1 Wählen Sie im Menü McAfee epo Cloud Web-Schutz Authentifizierungseinstellungen aus. 2 Wählen Sie in der Dropdown-Liste IPsec-Site-to-Site-Einstellungen einen Speicherort aus. Im Fenster Details werden die Werte angezeigt, die für den ausgewählten Speicherort konfiguriert sind. 52 McAfee Web Gateway Cloud Service Produkthandbuch

53 Authentifizierung IPsec-Site-to-Site-Authentifizierung 3 3 Klicken Sie im Bereich Details auf das Bleistiftsymbol. 4 Klicken Sie im Bereich Authentifizierung auf das Symbol "Hinzufügen". Der Bereich Katalog öffnet sich. Darin ist die SAML-Authentifizierung bereits ausgewählt. 5 Klicken Sie auf das Symbol "Hinzufügen". Die SAML-Authentifizierung wird zum Bereich Authentifizierung im Bereich Details hinzugefügt. 6 Klicken Sie auf Speichern. Der Bereich Katalog wird geschlossen und die IPsec-Site-to-Site-Konfiguration mit der SAML-Konfiguration gespeichert. Entfernen einer SAML-Authentifizierung aus einem IPsec-Speicherort Sie können eine SAML-Konfiguration aus einer IPsec-Site-to-Site-Konfiguration entfernen. 1 Wählen Sie im Menü McAfee epo Cloud Web-Schutz Authentifizierungseinstellungen aus. 2 Wählen Sie in der Dropdown-Liste IPsec-Site-to-Site-Einstellungen einen Speicherort aus. Im Fenster Details werden die Werte angezeigt, die für den ausgewählten Speicherort konfiguriert sind. 3 Klicken Sie im Bereich Details auf das Bleistiftsymbol. 4 Klicken Sie im Bereich Authentifizierung neben SAML-Authentifizierung auf das Löschen-Symbol. 5 Klicken Sie auf Speichern. Bearbeiten der mit einem IPsec-Speicherort verknüpften SAML-Konfiguration Sie können die mit einer IPsec-Site-to-Site-Konfiguration verknüpften SAML-Konfiguration bearbeiten. Eine SAML-Konfiguration wird mit dem gesamten Netzwerk und allen Remote-Standorten geteilt. Wenn Sie die Konfiguration für einen IPsec-Speicherort bearbeiten, wird die Konfiguration für alle IPsec-Standorte aktualisiert. 1 Wählen Sie im Menü McAfee epo Cloud Web-Schutz Authentifizierungseinstellungen aus. 2 Wählen Sie in der Dropdown-Liste IPsec-Site-to-Site-Einstellungen einen Speicherort aus. Im Fenster Details werden die Werte angezeigt, die für den ausgewählten Speicherort konfiguriert sind. 3 Klicken Sie im Bereich Details auf das Bleistiftsymbol. 4 Klicken Sie im Bereich Authentifizierung auf das Symbol "Hinzufügen". Der Bereich Katalog öffnet sich. Darin ist die SAML-Authentifizierung bereits ausgewählt. 5 Klicken Sie im Bereich SAML-Authentifizierung auf das Bleistiftsymbol. 6 Bearbeiten Sie die SAML-Einstellungen nach Bedarf, und klicken Sie dann auf Speichern. McAfee Web Gateway Cloud Service Produkthandbuch 53

54 3 Authentifizierung IPsec-Site-to-Site-Authentifizierung Konfiguration von Richtlinienregeln für IPsec-VPN-Datenverkehr Sie können Richtlinienregeln speziell für den Datenverkehr konfigurieren, der über einen IPsec-VPN-Tunnel empfangen wird. Wenn McAfee WGCS über einen IPsec-Tunnel eine Anfrage erhält, fügt der Dienst den Namen des Site-to-Cloud-VPN zur Liste der Gruppenmitgliedschaften hinzu. Das sind die Gruppen, denen der Endbenutzer angehört. Diese Funktion ermöglicht Ihnen alle über einen IPsec-Tunnel erhaltenen Anfragen als eine Benutzergruppe zu behandeln und die Richtlinienregeln entsprechend zu konfigurieren. Wenn Sie beispielsweise wissen, dass ein IPsec-Tunnel Datenverkehr schützt, können Sie Richtlinienregeln konfigurieren, die weniger streng als für Nicht-IPsec-Datenverkehr konfigurierte Richtlinienregeln sind. Im Richtlinienbrowser können Sie die Mitgliedschaft zu dieser Benutzergruppe überprüfen. Erstellen Sie dazu eine lokale Benutzergruppe mit dem Namen Site-to-Cloud-VPN. Fügen Sie anschließend die lokale Benutzergruppe zu den Richtlinienregelaktionen hinzu. Diese Gruppennamenfunktion steht nur zur Verfügung, wenn Anfragen von Endbenutzern über den IPsec-Tunnel empfangen wurden, und die Benutzer nicht über Client Proxy oder SAML-Authentifizierung authentifiziert werden. Beispiel: Hinzufügen von Site-to-Cloud-VPN zur Aktion 'Zulassen' Wenn die Richtlinie Streng für den Web-Kategoriefilter ausgewählt wird, und die Kategorie Personal Use (private Nutzung) blockiert ist, können Sie diese Regel konfigurieren, um IPsec-Datenverkehr zuzulassen. Das Konfigurieren der Regel Personal Use (private Nutzung) zum Zulassen des IPsec-Datenverkehrs umfasst die folgenden Schritte: 1 Wählen Sie im Richtlinienbrowser Web-Kategoriefilter Personal Use (private Nutzung). 2 Klicken Sie im Bereich Regeldetails auf das Bleistiftsymbol Zulassen. 3 Klicken Sie im Bereich Katalog auf das Menüsymbol und anschließend auf Neue Benutzergruppe. 4 Geben Sie den Gruppennamen Site-to-Cloud-VPN ein. Klicken Sie dann auf Speichern. 5 Klicken Sie im Bereich Katalog neben der Benutzergruppe Site-to-Cloud-VPN auf das Symbol 'Hinzufügen'. 6 Klicken Sie anschließend auf Speichern. Die Benutzergruppe Site-to-Cloud-VPN wird der Aktion Zulassen im Bereich Regeldetails hinzugefügt. Über den IPsec-Tunnel in der Kategorie Personal Use (private Nutzung) empfangene Zugriffsanfragen auf Websites werden zugelassen. Alle anderen Zugriffsanfragen auf Websites in dieser Kategorie werden blockiert. Weitere Informationen finden Sie im Kapitel Richtlinienverwaltung. 54 McAfee Web Gateway Cloud Service Produkthandbuch

55 Index A Active Directory Synchronisierung 7, 18 Aktionen Entfernen aus Regeln 25 Hinzufügen zu Regeln 25 Primäre Regel 25 Anfragen und Antworten, SAML 42, 43, 48 Anti-Malware-Filterung 6 Assertion Consumer Service (ACL) 45 Assertionen, SAML 48 Attribute Benutzer-ID und Gruppen-ID 48 Gruppen-ID 37 Audit-Protokolle Anzeigen von Richtlinienänderungen 33 Exportieren 34 Ausnahmen erstellen 22 verwenden 22 Authentifizierung IP-Bereich 39 IPsecs-Site-to-Site 49 Optionen 37 SAML 42 Authentifizierungsmethoden 6 Authentifizierungsoptionen Implementierung 38 Authentifizierungsprozess 38 B bearbeiten URL-Liste 29 Bedrohungserkennung Prozess 6 Benutzergruppen, lokal 17 Bearbeiten 18 Funktion 7 Hinzufügen 18 Blockierungsseiten Erstellen 31 C CIDR-Notation 40 Client Proxy Bereitstellungsoptionen 5 Client-Browser Konfigurieren der SAML-Authentifizierung 45 Cloud-Dienstplattform 5 D Datenfehler 34 Details-Bereich Regeln 14 Richtlinie 11 Dienstanbieter, SAML 42, 43 Domänen SAML-Authentifizierung 43, 48 E Erfassungsregeln 16 exportieren URL-Liste 30 F Fehlerzustände 34 G Gateway Anti-Malware Engine 6, 7 Global Threat Intelligence 6, 7 H Hinzufügen URL-Liste 28 I ID der Einheit, SAML 43, 48 Identitätshändler-URL Whitelisting 45 Identitätshändler, SAML 42, 43, 45 importieren URL-Listen 30 McAfee Web Gateway Cloud Service Produkthandbuch 55

56 Index IP-Bereichsauthentifizierung Aktivieren oder Deaktivieren 39 Ändern eines IP-Bereichs 41 CIDR-Notation 40 Exportieren einer Liste von IP-Bereichen 42 Hinzufügen eines IP-Bereichs 40 Importieren einer Liste von IP-Bereichen 41 Info 39 Löschen eines IP-Bereichs 41 IPsec-Site-to-Site Hinzufügen einer Client Proxy- oder SAML-Authentifizierung 38 Hinzufügen einer SAML-Authentifizierung 52 IPsec-Site-to-Site-Authentifizierung Aktivieren oder Deaktivieren 51 Bearbeiten der Einstellungen 52 Einstellungen 52 Hinweise zur Konfiguration 50 Hinzufügen eines Speicherorts 51 Knotenpunkten die am besten verfügbaren ermitteln 50 Konfigurieren 49 Löschen eines Speicherorts 51 Unterstützte Geräte 49 IPsec-Speicherort Bearbeiten der SAML-Konfiguration 53 Entfernen einer SAML-Authentifizierung 53 Hinzufügen einer SAML-Authentifizierung 52 IPsec-VPN-Datenverkehr Konfiguration von Richtlinienregeln 54 K Katalog-Bereich 17 Kontoverwaltung 7 Kunden-ID 37, 49 L Listen Hinzufügen von URLs 28 Liste kopieren 26 neue Liste 26 URL bearbeiten 29 URL exportieren 30 URL importieren 30 M McAfee epo Lokal und in der Cloud 5 McAfee WGCS Bedrohungserkennung 6 Info 5 Kernfunktionen 6 Medientyp Erstellen von Listen 26 Liste löschen 27 Medientypfilter 6, 7 N Netzwerkverbindungsfehler 34 O Objektdetails 16 P Port-Nummern Authentifizierungsprozess 38 R Regelaktionen Entfernen 25 Hinzufügen 25 Primär 25 Regeldetails 14 Ändern 24 Regeln Erfassung 16 Richtlinien-Browser 10 Richtlinienbereiche Anzeigen 10 Regeln 19 Zuweisen von Richtlinien zu 33 Richtliniendetails 11 Bearbeiten 32 Richtlinienliste Erstellen 26 löschen 27 Richtlinienmodell 9 Richtlinienregeln Aktivieren oder Deaktivieren 23 Ändern 23 Ändern der Reihenfolge 26 Anzeigen 12 Erstellen durch Importieren einer URL-Liste 21 Hinzufügen 20 Konfiguration für IPsec-VPN-Datenverkehr 54 Löschen 26 S SAML-Authentifizierung Aktivieren oder Deaktivieren 46 Allgemeine Schritte 43 Einstellungen 48 Hinweise 45 Info 42 Konfigurieren 45, 46 Vorteile 43 Speicherfehler McAfee Web Gateway Cloud Service Produkthandbuch

57 Index SSL-Scans 6 Konfigurieren der SAML-Authentifizierung 45 SSL-Zertifikate 17 Synchronisierung Active Directory 7 U URL-Filterung 6 URL-Listen Bearbeiten 29 Erstellen 26 Exportieren 30 Hinzufügen 28 Importieren 21, 30 löschen 27 Verwalten von URLs 28 V Verwaltungskonsole Konfigurieren der SAML-Authentifizierung 45, 46 Vorinstallierter Schlüssel IPsec 37, 49, 52 W Web-Anwendung Erstellen von Listen 26 Liste löschen 27 Web-Kategorie Erstellen von Listen 26 Liste löschen 27 Web-Kategoriefilter 6, 7 Web-Sicherheit McAfee-Komponenten und -Technologien 7 Z Zertifikate SAML-Authentifizierung 48 SSL 17 Zugriffsschutz 6, 7 McAfee Web Gateway Cloud Service Produkthandbuch 57

58