11
Suche eine gute Firewall um diverse Dateitypen innerhalb von HTTPS zu blockieren
Hallo zusammen,
wir benutzen derzeit eine Sonicwall Firewatch. Eigentlich sind wir damit ganz zufrieden, jedoch funktioniert die Funktion HTTPs inspection nicht zu unserer Zufriedenheit. Der Webseitenaufbau ist dadurch sehr lahm und einige Websites funktionieren auch nicht richtig. Im Grunde möchten wir einfach gewissen Dateitypen wie .exe etc. innerhalb von einer HTTPS-Kommunikation verbieten. Vielleicht kann mir jmd. von euch eine vernünftige Firewall empfehlen, die das kann und noch mehr als ein WAN-Port bietet.
Danke und Grüße,
Matthias
wir benutzen derzeit eine Sonicwall Firewatch. Eigentlich sind wir damit ganz zufrieden, jedoch funktioniert die Funktion HTTPs inspection nicht zu unserer Zufriedenheit. Der Webseitenaufbau ist dadurch sehr lahm und einige Websites funktionieren auch nicht richtig. Im Grunde möchten wir einfach gewissen Dateitypen wie .exe etc. innerhalb von einer HTTPS-Kommunikation verbieten. Vielleicht kann mir jmd. von euch eine vernünftige Firewall empfehlen, die das kann und noch mehr als ein WAN-Port bietet.
Danke und Grüße,
Matthias
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1968339687
Url: https://administrator.de/contentid/1968339687
Printed on: April 24, 2024 at 09:04 o'clock
11 Comments
Latest comment
Hm,
Dateitypen sollte man genau wegen der Performance auch nicht auf der Firewall sondern lokal am Client durchs AV-Programm blockieren.
LG,
Dateitypen sollte man genau wegen der Performance auch nicht auf der Firewall sondern lokal am Client durchs AV-Programm blockieren.
LG,
Hi,
vielleicht ne Sophos XG, je nach dem wieviel User ihr hinten dran habt. Da kannst die Web Protection Subscription aktivieren und Dateifilter aktivieren plus HTTPS Inspection aktivieren.
Die virtuelle Sophos XG Home gibt es sogar für umsonst, ist aber eher für den Heimgebrauch geeignet.
Ansonsten ne virtuelle XG mit Web Protection Subscription oder eben ne physische.
vielleicht ne Sophos XG, je nach dem wieviel User ihr hinten dran habt. Da kannst die Web Protection Subscription aktivieren und Dateifilter aktivieren plus HTTPS Inspection aktivieren.
Die virtuelle Sophos XG Home gibt es sogar für umsonst, ist aber eher für den Heimgebrauch geeignet.
Ansonsten ne virtuelle XG mit Web Protection Subscription oder eben ne physische.
Hallo,
ich könnte mir für so etwas auch gut 'n Proxy vorstellen:
Squid Proxy – Blockieren von Bestimmten Dateitypen
Gruß,
Jörg
ich könnte mir für so etwas auch gut 'n Proxy vorstellen:
Squid Proxy – Blockieren von Bestimmten Dateitypen
Gruß,
Jörg
Moin,
wir fahren mit Watchguard UTMs recht gut.
Inspizieren von HTTPS Inhalten ist aber immer problemberhaftet, da der TLS Traffic von der FW neu verschlüsselt werden muss - das führt bei Seiten die z.B. Certificate Pinning verwenden zu Fehlermeldungen und/oder leeren Seiten.
lg,
Slainte
wir fahren mit Watchguard UTMs recht gut.
Inspizieren von HTTPS Inhalten ist aber immer problemberhaftet, da der TLS Traffic von der FW neu verschlüsselt werden muss - das führt bei Seiten die z.B. Certificate Pinning verwenden zu Fehlermeldungen und/oder leeren Seiten.
lg,
Slainte
Alternativ könntest du auch Cisco Umbrella mit einem SIG Tunnel verwenden.
Dann läuft alles per Site2Site über deren Tunnel. Dadurch bringst du auch die Last von der Firewall
Wie die Kollegen sagten musst du aber für manche Seite eine HTTPS Inspection Ausnahme machen.
Dann läuft alles per Site2Site über deren Tunnel. Dadurch bringst du auch die Last von der Firewall
Wie die Kollegen sagten musst du aber für manche Seite eine HTTPS Inspection Ausnahme machen.
Zitat von @SlainteMhath:
Moin,
wir fahren mit Watchguard UTMs recht gut.
Inspizieren von HTTPS Inhalten ist aber immer problemberhaftet, da der TLS Traffic von der FW neu verschlüsselt werden muss - das führt bei Seiten die z.B. Certificate Pinning verwenden zu Fehlermeldungen und/oder leeren Seiten.
lg,
Slainte
Moin,
wir fahren mit Watchguard UTMs recht gut.
Inspizieren von HTTPS Inhalten ist aber immer problemberhaftet, da der TLS Traffic von der FW neu verschlüsselt werden muss - das führt bei Seiten die z.B. Certificate Pinning verwenden zu Fehlermeldungen und/oder leeren Seiten.
lg,
Slainte
haben wir ja auch, aber der Websiteaufbau dauert im Schnitt 3-4 Sekunden mit HTTPS-Inspection. Das ist einfach etwas zu lange.
aber der Websiteaufbau dauert im Schnitt 3-4 Sekunden
Dann ist eure Sonicwall zu schwach auf der Brust. Mit einer entsprechend gesizten Kiste ist das mit Watchguards (und sicher auch mit anderen UTMs) kein Problem.
Zitat von @SlainteMhath:
aber der Websiteaufbau dauert im Schnitt 3-4 Sekunden
Dann ist eure Sonicwall zu schwach auf der Brust. Mit einer entsprechend gesizten Kiste ist das mit Watchguards (und sicher auch mit anderen UTMs) kein Problem.verzögert
Application Control und Webblocker (bei einem Watchguard HTTPs Proxy)
den Webseitenaufbau ebenfalls um 3-4 Sekunden?
Diese Applikations kann man übrigens blocken:
https://securityportal.watchguard.com/Applications
(auch über HTTPs soweit ich weiß)
Ich meine z.B. eine T55 oder M290
Bei unserer M500 gibt's beim Aufruf von HTTPS Seite keine Verzögerung
danke!
merken die lokalen Echtzeit-Trader-Leute einen Surf-Delay (die dürfen im Internet mehr)
wenn
die Aushelfspraktikaten via PC-IP Adresse und Watchguard
webblocker, application controll und https content inspection "fast nix im Internet dürfen"?
merken die lokalen Echtzeit-Trader-Leute einen Surf-Delay (die dürfen im Internet mehr)
wenn
die Aushelfspraktikaten via PC-IP Adresse und Watchguard
webblocker, application controll und https content inspection "fast nix im Internet dürfen"?
Danke für die Beiträge. Wir werden das Problem lösen, indem wir uns eine performantere Firewall zulegen.
