SSL-Regel erstellen

Gehen Sie wie folgt vor, um eine SSL-Regel zu erstellen:

1. Wählen Sie in der Webschnittstelle des Programms den Abschnitt Einstellungen → Integrierter Proxyserver → SSL-Regeln aus.
2. Klicken Sie auf Regel hinzufügen.

   Es öffnet sich das Fenster Regel hinzufügen.

3. Wählen Sie in der Dropdown-Liste Aktion die Aktion aus, die das Programm auf die SSL-Verbindung anwenden soll:
   • Tunnel.

     Das Programm fängt CONNECT-Anfragen ab, die den angegebenen Bedingungen entspricht. Diese Anfragen werden in der Statistik zur Verarbeitung des Datenverkehrs im Abschnitt Monitoring nicht berücksichtigt.

     Dabei können keine Schutzregeln sowie folgende Filterkriterien in den Zugriffsregeln angewendet werden: MIME-Typ der HTTP-Nachricht, MIME-Typ eines Teils der HTTP-Nachricht, Dateigröße, HTTP-Methode.

   • Tunnel with SNI check.

     Das Programm fängt eine CONNECT-Anfrage nicht ab, die den angegebenen Bedingungen entspricht und für die eine Untersuchung von SNI durchgeführt wurde. Diese Anfragen werden in der Statistik zur Verarbeitung des Datenverkehrs im Abschnitt Monitoring nicht berücksichtigt.

     Erweiterung des TLS-Protokolls, das den Web-Namen überträgt, mit dem versucht wird, eine Verbindung herzustellen. SNI ist in Fällen erforderlich, in denen mehrere Dienste, die gemäß HTTPS-Protokoll ausgeführt werden, auf einem physischen Server gehostet sind, eine IP-Adresse verwenden, dabei aber jeder Dienst über ein eigenes Sicherheitszertifikat verfügt.

     Dabei können keine Schutzregeln sowie folgende Filterkriterien in den Zugriffsregeln angewendet werden: MIME-Typ der HTTP-Nachricht, MIME-Typ eines Teils der HTTP-Nachricht, Dateigröße, HTTP-Methode.

   • Bump.

     Das Programm fängt CONNECT-Anfragen ab, die den angegebenen Bedingungen entsprechen, und analysiert den Inhalt der verschlüsselten Verbindung.

   • Terminate.

     Das Programm blockiert CONNECT-Anfragen, die den angegebenen Bedingungen entsprechen.

   Für Dienste, in denen das Abfangen von CONNECT-Anfragen nicht unterstützt wird, wird empfohlen, die Aktion Tunnel zu wählen. Bei der Anwendung der Aktionen Bump und Tunnel with SNI check wird die SSL-Verbindung im Fall eines Fehlers beim Abfangen möglicherweise blockiert.

   Standardmäßig ist die Aktion Tunnel festgelegt.

4. Klicken Sie im Einstellungsblock Quelle auf die Schaltfläche Hinzufügen.
5. Wählen Sie in der Dropdown-Liste die Filterkriterien für die Quelle der Verbindung aus.
   • IP-Adresse.

     Wenn Sie als Filterkriterium IP-Adresse ausgewählt haben, gehen Sie wie folgt vor:

     1. Klicken Sie im Feld rechts neben der Dropdown-Liste in den Eingabebereich.

        Das Fenster IP-Adressen wird geöffnet.

     2. Geben Sie eine oder mehrere IP-Adressen ein.

        Sie können IP-Adressen in einem der folgenden Formate angeben:

        • IPv4-Adresse (z. B. 172.16.5.6).
        • IPv4-Subnetz mit Maske im CIDR-Notationsformat (z. B. 192.168.1.0/24).
        • IPv6-Adresse (z. B. 2001:0db8:85a3:0000:0000:8a2e:0370:7334).
        • IPv6-Subnetz mit Maske im CIDR-Notationsformat (z. B. fc00::/7).

        Verwenden Sie bei der Angabe mehrerer IP-Adressen einen Strichpunkt oder eine neue Zeile als Trennzeichen.

     3. Klicken Sie auf Hinzufügen.

        Die hinzugefügten IP-Adressen werden in der Tabelle unter dem Eingabefeld angezeigt. Wenn der eingegebene Wert ein ungültiges Format hat, wird links neben ihm das Symbol angezeigt. Sie können diese Adresse mithilfe der Schaltfläche im rechten Teil der Zeile ändern.

     4. Klicken Sie auf Speichern.
   • User Agent.

     Wenn Sie als Filterkriterium User Agent gewählt haben, geben Sie dessen Namen in das Feld rechts neben der Dropdown-Liste ein.

     Verwenden Sie bei der Angabe mehrerer werte einen Strichpunkt als Trennzeichen.

6. Klicken Sie im Einstellungsblock Ziel auf die Schaltfläche Hinzufügen.
7. Wählen Sie in der Dropdown-Liste die Filterkriterien für das Ziel der Verbindung aus.
   • IP-Adresse.

     Wenn Sie als Filterkriterium IP-Adresse ausgewählt haben, gehen Sie wie folgt vor:

     1. Klicken Sie im Feld rechts neben der Dropdown-Liste in den Eingabebereich.

        Das Fenster IP-Adressen wird geöffnet.

     2. Geben Sie eine oder mehrere IP-Adressen ein.

        Sie können IP-Adressen in einem der folgenden Formate angeben:

        • IPv4-Adresse (z. B. 172.16.5.6).
        • IPv4-Subnetz mit Maske im CIDR-Notationsformat (z. B. 192.168.1.0/24).
        • IPv6-Adresse (z. B. 2001:0db8:85a3:0000:0000:8a2e:0370:7334).
        • IPv6-Subnetz mit Maske im CIDR-Notationsformat (z. B. fc00::/7).

        Verwenden Sie bei der Angabe mehrerer IP-Adressen einen Strichpunkt oder eine neue Zeile als Trennzeichen.

     3. Klicken Sie auf Hinzufügen.

        Die hinzugefügten IP-Adressen werden in der Tabelle unter dem Eingabefeld angezeigt. Wenn der eingegebene Wert ein ungültiges Format hat, wird links neben ihm das Symbol angezeigt. Sie können diese Adresse mithilfe der Schaltfläche im rechten Teil der Zeile ändern.

     4. Klicken Sie auf Speichern.
   • Host-Name.

     Wenn Sie als Filterkriterium Host-Name ausgewählt haben, gehen Sie wie folgt vor:

     1. Klicken Sie im Feld rechts neben der Dropdown-Liste in den Eingabebereich.

        Es öffnet sich das Fenster Host-Namen.

     2. Geben Sie einen oder mehrere Hostnamen ein.

        Verwenden Sie bei der Angabe mehrerer Namen einen Strichpunkt oder eine neue Zeile als Trennzeichen.

        Verwenden Sie am Anfang des Wertes einen Punkt, um eine Unterdomäne zu aktivieren. In diesem Fall ist es nicht zulässig, Unterdomänen als separate Records anzugeben, da solche Records zu Fehlern in der Ausführung des Proxyservers führen können. Wenn Sie z. B. .example.org angegeben haben, dürfen Sie abc.example.org nicht als Record hinzufügen.

     3. Klicken Sie auf Hinzufügen.

        Die hinzugefügten Hostnamen werden in der Tabelle unter dem Eingabefeld angezeigt.

     4. Wenn Sie möchten, dass alle Unterdomänen des angegebenen Namens unter den Filter fallen, aktivieren Sie das Kontrollkästchen Subdomänen einschließen.

        Wenn Sie einen Hostnamen mit einem Punkt am Anfang des Namens eingegeben haben, wird das Kontrollkästchen Subdomänen einschließen automatisch aktiviert.

     5. Klicken Sie auf Speichern.
8. Geben Sie im Feld Ports einen oder mehrere Ports des Ziels an.

   Die Regel wird nur auf Verbindungen angewendet, die die angegebenen Ports verwenden.

9. Geben Sie im Feld Name den Namen der Regel ein.
10. Geben Sie erforderlichenfalls zusätzliche Informationen über die Regel in das Feld Kommentar ein.
11. Aktivieren oder deaktivieren Sie Regeln mithilfe des Schalters Status.
12. Klicken Sie auf Hinzufügen.

Die SSL-Regel wird erstellt und in der Tabelle auf der Registerkarte SSL-Regeln angezeigt.