URL-Prüfung verweigern

Die Überprüfung URL verweigern untersucht und blockiert Verbindungen zu URLs, auf die Hacker und bösartigen Code häufig zugegriffen werden. Diese Prüfung enthält eine Liste von URLs, die gemeinsame Ziele von Hackern oder bösartigem Code sind und die selten, wenn überhaupt in legitimen Anfragen angezeigt werden. Sie können der Liste auch URLs oder URL-Muster hinzufügen. Die URL-Prüfung verweigern verhindert Angriffe gegen verschiedene Sicherheitslücken, die in Webserver-Software oder auf vielen Websites bekannt sind.

Die URL-Prüfung verweigert hat Vorrang vor der Start-URL-Prüfung und verweigert somit bösartige Verbindungsversuche, selbst wenn eine Start-URL-Lockerung normalerweise eine Anforderung fortfahren würde.

Im Dialogfeld URL-Überprüfung ändern können Sie auf der Registerkarte Allgemein die Aktionen Blockieren, Protokollieren und Statistiken aktivieren oder deaktivieren.

Wenn Sie die Befehlszeilenschnittstelle verwenden, können Sie den folgenden Befehl eingeben, um die URL-Prüfung zu verweigern:

  • set appfw profile <name> -denyURLAction [**block**] [**log**] [**stats**] [**none**]

Um eigene Deny-URLs zu erstellen und zu konfigurieren, müssen Sie die GUI verwenden. Klicken Sie auf der Registerkarte Überprüfungen des Dialogfelds URL-Überprüfung ändern auf Hinzufügen, um das Dialogfeld Ablehnen-URL hinzufügen zu öffnen, oder wählen Sie eine vorhandene benutzerdefinierte Ablehnungs-URL aus, und klicken Sie auf Öffnen, um das Dialogfeld URL ändern zu öffnen. Beide Dialogfelder bieten dieselben Optionen zum Erstellen und Konfigurieren einer Deny-URL.

Im Folgenden finden Sie Beispiele für URL-Ausdrücke ablehnen:

  • Erlauben Sie Benutzern nicht, direkt auf den Image-Server unter images.example.com zuzugreifen:

     ^http://images[.]example[.]com$
    
  • Benutzer dürfen nicht direkt auf CGI- (.cgi) - oder PERL- (.pl) -Skripte zugreifen:

     ^http://www[.]example[.]com/([0-9A-Za-z][0-9A-Za-z_-]\*/)\*
     [0-9A-Za-z][0-9A-Za-z_.-]*[.](cgi|pl)$
    
  • Hier ist die gleiche Deny-URL, die geändert wurde, um Nicht-ASCII-Zeichen zu unterstützen:

     ^http://www[.]example[.]com/(([0-9A-Za-z]|x[0-9A-Fa-f][0-9A-Fa-f])
     ([0-9A-Za-z_-]|x[0-9A-Fa-f][0-9A-Fa-f])\*/)\*([0-9A-Za-z]|x[0-9A-Fa-f][0-9A-Fa-f])
     ([0-9A-Za-z_-]|x[0-9A-Fa-f][0-9A-Fa-f])*[.](cgi|pl)$
    

Achtung:

Reguläre Ausdrücke sind leistungsstark. Vor allem, wenn Sie mit regulären Ausdrücken im PCRE-Format nicht vertraut sind, überprüfen Sie alle regulären Ausdrücke, die Sie schreiben. Stellen Sie sicher, dass sie genau die URL oder das Muster definieren, die Sie blockieren möchten, und nichts anderes. Die unvorsichtige Verwendung von Platzhaltern und insbesondere der Punkt-Sternchen (.*) -Metazeichen/Platzhalterkombination kann zu Ergebnissen führen, die Sie nicht möchten, z. B. zum Blockieren des Zugriffs auf Webinhalte, die Sie nicht blockieren wollten.

URL-Prüfung verweigern