Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 1337 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

AWS HTTP/FTP Exceptions

Netzwanze
Ich bin gerade dabei einige Web Security Appliances anzusehen und dabei auch auf Astaro gestoßen.

Ich hatte schon mit einigen Web-/FTP-Proxies zu tun gehabt. Diese filtern jedoch global alles, was durchgeht. Ausnahmen für einzelne Rechner sind nicht möglich.

Im ASG finde ich den Reiter "Exceptions". Dort kann ich den Virusscan, das Extension-Blocking sowie die erlaubten Server für eine Liste von Clients ODER Server überspringen.

Dieses ODER verwirrt mich etwas.

Ich hätte gerne, dass ich für bestimmte Benutzergruppen (IPs, Netzmaske, ...) bestimmte Server erlauben möchte. Der Virusscan sowie das Extension-Blocking soll aber weiterhin laufen.

Dies erfordert aber ein UND.

Der Exception-Eintrag darf nur gelten, wenn einer der Clients auf einen der Server zugreifen möchte.

Gleiches gilt auch für HTTP/S. 

Ich möchte auch hier einzelnen Nutzern bestimmte Webseiten erlauben, anderen aber nicht.

Unter "HTTP/S"->"Exceptions" kann ich nur allgemein den URL-Filter abschalten.

Auch hier wäre ein UND statt das angegebene ODER ideal.



Der zweite Punkt ist "HTTP/S Profiles":

Hier können bestimmten Nutzern/Gruppen unterschiedlich gefiltert werden.
In welchem Zusammenhang stehen diese Filter mit "HTTP/S".

Was passiert, wenn in "HTTP/S" bestimmte URLs geblockt sind und in "HTTP/S Profiles" diese URLs wiederum freigegeben sind? Hat der Nutzer dieses Profils dann Zugriff auf die unter "HTTP/S" geblockten URLs?


This thread was automatically locked due to age.
  • 0
    Hallo,

    das wünsche ich mir auch schon lange.

    Eine wahlweise UND-Verknüpfung in den Exceptions würde zumindestens in meinem Fall (>4000 Anwender und dutzende von Ausnahmen) die Funktionalität deutlich steigern. Vieles, was man jetzt kompliziert über komplette Proxy-Profile mit zig doppelten und fast identischen Filter-Actions regeln muss, könnte man dann super elegant mit wenigen Exceptions lösen...

    MfG
    Manuel
  • 0
    wie bitte kann man vernünftig 4000 Clients über einen Astaro Proxy managen - kann mir kaum vorstellen hier die gewünschte Konfiguration auf einer Astaro abzubilden?!
  • 0 in reply to beth
    Ich verstehe die Frage nicht, wo sollte das Problem sein?

    Wir haben hier ca. 4.000 Mitarbeiter, die gleichzeitig surfen. Die eigentliche Anzahl der Mitarbeiter ist sogar noch _wesentlich_ höher, ebenso die Anzahl der PCs.

    Das ganze läuft problemlos auf zwei ASG 625 im Active/Active-Modus. Die Authentifizierung findet über SSO im AD statt, d. h. auf der Astaro gibt es keine hohe Anzahl von eingetragenen Usern.

    Das ganze läuft mit etwa 5 Proxy-Profilen, 10 Filter-Assignments und 10 Filter-Actions. "Ca." deshalb, weil wir jeden Tag neue Anforderungen bekommen, und die umsetzen. Manchmal kann man dann alte Konfigurationen zusammen fassen, manchmal muss man neue hinzufügen.

    HTTP-Exceptions sind etwa 30 eingetragen.

    Die ganze Konfiguration ist gerade wegen der Astaro eigentlich sehr übersichtlich, trotz der vielen Funktionen und Ausnahmen. Den Überblick darüber zu behalten ist kein Problem und leistungsmäßig schaffen das die ASG 625 locker.

    MfG
    Manuel

    PS: Ich betreibe auch eine Astaro Zuhause auf einem kleinen Lenovo-Rechner, auf dem ein ESXi-Server mit 5 virtuellen Maschinen läuft. Eine davon ist eine Astaro-Firewall. Auch hier habe ich 7 Proxy-Profile, 6 Filter-Assignments und 6 Filter-Actions (und zufällig auch 6 HTTP-Exceptions). Nicht alle sind immer gleichzeitig eingeschaltet bzw. in Benutzung. Natürlich arbeiten Zuhause wesentlich weniger Personen und PCs, aber ich nutze das immer mal wieder, um komplexere Konfigurationen zu testen bzw. um meine Rechner Zuhause abzusichern.
  • 0 in reply to m.fischer
    war nicht böse gemeint ;-) betreibe selber mehr als 60 Astaro Installationen. Bei der Useranzahl (und dementsprechend grossem Regelwerk) habe ich jedoch zweifel das es mit der Astarooberfläche möglich ist alle gewünschten Einstellungen auch nur halbwegs übersichtlich abzubilden (und verwende auch deshalb für grössere Installationen andere Produkte ;-)
  • 0 in reply to beth
    @Netzwanze

    das ist eigentlich ganz einfach.
    Wenn du unter HTTP's in Exceptions was einträgst dann ist es erstmal für alle erlaubt oder verboten. ist quasi die höchste instanz.

    Du willst aber verschiedene profile. Ich mach das so..

    Ich hab 4 profile. Mit Proxy anmeldung

    Normale web user ( viel Beschränkt + AV)
    Bessere web user (weniger Beschränkt +AV)
    Admin's ( Keine beschränkung + AV )
    Server ( Keine Beschränkung + kein AV + keine Proxy anmeldung ) 

    Sowas geht nur mit den HTTP'S Profile

    Dort kannst du extra Exceptions in das jeweilige Profil eintragen.

    Wenn etwas für alle 4 Profile oder besser gesagt für die 2 Beschränkten Profile freigeben oder verboten werden soll dann mach ich das bei HTTP'S das gilt dann für alle.

    Also in Kurz HTTP's steht über den HTTP's Profilen.
  • 0 in reply to resi
    Ich wünsche mir auch schon länger eine UND oder ODER Kombination in den Exceptions. Ich habe daher nicht schlecht gestaunt als ich in der Hilfe folgenden Satz gelesen habe:

    For All Requests: Select at least one condition for which the security checks are to be skipped. You can logically combine several conditions by selecting either And or Or from the drop-down list in front of a condition. The following conditions can be set:

    Hmm muss man das verstehen!? Eine Drop Down Auswahl sehe ich nicht wirklich!? [:S]

    Hab gerade jetzt erst gesehen das es sich um ein AWG Thema handelt! Bei meiner ASG steht es so in der Hilfe! AWG weiß ich nicht!
  • 0 in reply to Madde
    Ich wünsche mir auch schon länger eine UND oder ODER Kombination in den Exceptions. Ich habe daher nicht schlecht gestaunt als ich in der Hilfe folgenden Satz gelesen habe:

    For All Requests: Select at least one condition for which the security checks are to be skipped. You can logically combine several conditions by selecting either And or Or from the drop-down list in front of a condition. The following conditions can be set:

    Hmm muss man das verstehen!? Eine Drop Down Auswahl sehe ich nicht wirklich!? [:S]

    Hab gerade jetzt erst gesehen das es sich um ein AWG Thema handelt! Bei meiner ASG steht es so in der Hilfe! AWG weiß ich nicht!


    AWG oder ASG mit HTTP-Lizenz ist das gleiche.

    Und dieser Zusatz gilt für die Firmware 8.x, in 7.x ist und UND/ODER-Auswahl nicht vorhanden, dort gibt es nur ODER.

    MfG
    Manuel
  • 0
    Und da es nur mit v8 geht, geht es damit mit der AWG nicht, da auf der AWG keine v8 laufen wird.

    LG
    Christian