Ein L7-Zugriffsprofil kann mehrere Einträge mit unterschiedlichen Attributtypen enthalten. L7-Zugriffsprofile können sowohl in Firewallregeln des Tier-0- als auch in Tier-1-Gateways verwendet werden.

L7-Zugriffsprofile haben einen Standardeintrag, über dem Standardeintrag können zudem weitere Einträge hinzugefügt werden. Einträge im Profil werden in der Reihenfolge ihrer Auflistung ausgewertet, und bei der ersten Übereinstimmung wird eine Aktion ausgeführt.

Bevor Sie Firewallregeln der Anwendung auf der Tier-0-Gateway-Firewall erstellen, ist es wichtig, Gateway-Firewallregeln manuell hinzuzufügen, um Routing-Protokolle wie BGP, OSPF und das Fehlererkennungsprotokoll BFD zuzulassen. Diese Regeln sollten vor allen Anwendungsregeln hinzugefügt werden, um sicherzustellen, dass das Routing des Peering-Protokolls für die Fehlererkennung beim Ändern der Firewallregeln der Anwendung nicht beeinträchtigt wird.

Prozedur

  1. Wählen Sie Bestand > Profile aus.
  2. Klicken Sie auf die Registerkarte L7-Zugriffsprofil und dann auf L7-Zugriffsprofil hinzufügen.
  3. Geben Sie unter Profilname einen Namen und optional eine Beschreibung ein.
  4. Klicken Sie in der Spalte „Attributentitäten“ auf Festlegen.
  5. Klicken Sie auf Attributtyp hinzufügen und wählen Sie mindestens einen Attributtyp aus dem Dropdown-Menü. Für Firewallregeln des Tier-0-Gateways ist die App-ID der einzige unterstützte Attributtyp.
    Attributtyp Attributwert
    App-ID – über 750 Wenn Sie verfügbare App-IDs anzeigen möchten, führen Sie in der Liste einen Bildlauf nach unten aus oder wählen Sie App-IDs aus.
    URL-Kategorie – mehr als 80 Kategorien, einschließlich Soziale Medien, Banking, Phishing usw. Scrollen Sie in der Liste der URL-Kategorien nach unten und wählen Sie eine oder mehrere URL-Kategorien aus.
    Benutzerdefinierte URL – mit regulärem Ausdruck Weitere Einzelheiten finden Sie unter Benutzerdefinierte URLs.
    URL-Reputation Wählen Sie eine oder mehrere der folgenden Reputationen aus: Hohes Risiko, Verdächtig, Mittleres Risiko, Geringes Risiko, Vertrauenswürdig, Unbekannt.
  6. Wählen Sie die Regelaktion aus:
    • Zulassen – lässt übereinstimmenden Datenverkehr zu.
    • Ablehnen – lehnt übereinstimmenden Datenverkehr ab.
    • Mit Antwort ablehnen – lehnt ab und sendet dem Client die Antwortseite. Diese Option ist für den Attributtyp „App-ID“ nicht verfügbar. Navigieren Sie zu Sicherheit > Gateway-Firewall > Einstellungen > URL-Filterung, um die Meldung Mit Antwort ablehnen anzuzeigen und anzupassen.

      Die Seite Mit Antwort ablehnen wird nur für HTTP-Datenverkehr gesendet. Die Antwortseite enthält die URL (erste 10 Byte werden angezeigt), Kategorie, Quell-IP und Nachrichtentext. Geben Sie die Meldung für die Seite Mit Antwort ablehnen ein. Klicken Sie auf Seite „Vorschau“, um die Seite anzuzeigen, die gesendet wird, wenn der Zugriff auf eine URL durch eine Richtlinie blockiert wird.

  7. Standardmäßig ist die Option „Protokollierung“ ausgeschaltet. Klicken Sie auf den Schalter, um die Protokollierung zu aktivieren.
  8. Der neu hinzugefügte Eintrag ist standardmäßig eingeschaltet. Klicken Sie auf den Schalter, um die Option zu deaktivieren.
  9. Klicken Sie auf Hinzufügen.
  10. Um einen Eintrag zu bearbeiten oder zu löschen, klicken Sie auf das Menüsymbol () und wählen Sie Bearbeiten oder Löschen aus.
  11. Um die Einstellungen des Standardeintrags zu ändern, klicken Sie auf das Menüsymbol () und wählen Sie Bearbeiten aus. Beachten Sie, dass der Standardeintrag nicht ausgeschaltet werden kann. Standardmäßig ist die Protokollierung für den Standardeintrag deaktiviert. Nach der endgültigen Verarbeitung des Standardeintrags im L7-Zugriffsprofil wird der Testvorgang für die Gateway-Firewall angehalten.
  12. Klicken Sie auf Hinzufügen, um die geänderte Einstellung für den Standardeintrag zu aktivieren, oder klicken Sie auf Abbrechen.
  13. Klicken Sie auf Übernehmen.
  14. Klicken Sie auf Speichern.