FRAGE Wie kann ich WatchGuard-Produkte verwenden, um den Zugriff auf bestimmte Top-Level-Domains wie .zip und .mov zu blockieren?
ANTWORT Am 3. März 2023 kündigte Google die Einführung von acht neuen Top-Level-Domains an. Zwei dieser Top-Level-Domains, .zip und .mov, sind auch Dateierweiterungen und haben das Potenzial, Benutzer zu täuschen oder zu verwirren und sie versehentlich zu Phishing-Websites weiterzuleiten oder Viren herunterzuladen.
Administratoren, die den Web-/DNS-Zugriff auf eine vollständige Top-Level-Domain blockieren möchten, können dafür die folgenden WatchGuard-Produkte und Funktionen verwenden:
Firebox Wildcard-FQDN-Richtlinien und die Liste der blockierten Websites ermöglichen es Ihnen nicht, eine gesamte Top-Level-Domain zu blockieren. Es würde zu viele Ressourcen erfordern, um dies genau zu verwalten, und es wird vom FQDND-Prozess, der FQDNs für Richtlinien und blockierte Websites überwacht und auflöst, nicht unterstützt. Sie können jedoch die folgenden Funktionen verwenden, um Web- und DNS-Anfragen für eine vollständige Top-Level-Domain zu erkennen und zu blockieren:
Hinweis: Ersetzen Sie in den folgenden Beispielen “TLD” durch die Top-Level-Domain, die Sie blockieren möchten. Für Beispiele, die reguläre Ausdrücke verwenden, setzen Sie ” vor ‘.’ für mehrteilige Top-Level-Domains.
HTTP-Proxy: HTTP-Anfrage -> URL-Pfade URL-Pfad-Regel:
- Name: Block TLD
- Regulärer Ausdruck: ^[0-9a-zA-Z_-.]{1,256}.TLD/
- Aktion: Verweigern
HTTPS-Proxy: Inhaltsinspektion Regel für Domänennamen:
- Name: Block TLD
- Musterabgleich: *.TLD
- Aktion: Verweigern (Hinweis: Inhaltsinspektion ist nicht erforderlich. Die Funktion für Domänennamen-Regeln wird den Hostnamen im SNI-Parameter des TLS-Schlüsselaustauschs abgleichen.)
DNS-Proxy: Abfrage-Namen Regel für Abfragenamen:
- Name: Block TLD
- Musterabgleich: *.TLD
- Aktion: Verweigern
WebBlocker Für Konfigurationen mit aktiviertem WebBlocker und Verwendung von WebBlocker-Ausnahmen kann es einfacher sein, eine WebBlocker-Ausnahme zu verwenden, um die Top-Level-Domain zu blockieren. WebBlocker-Ausnahmen gelten für sowohl HTTP- als auch HTTPS-Proxykonfigurationen, die WebBlocker nutzen.
WebBlocker: Ausnahmen
- Name: Block TLD
- Aktion: Verweigern
- Übereinstimmungstyp: Regulärer Ausdruck
- Typ: URL
- Ausdruck: ^[0-9a-zA-Z_-.]{1,256}.TLD/
DNSWatch und DNSWatchGO Für DNSWatch- und DNSWatchGO-Kunden ist es möglich, eine vollständige Top-Level-Domain mit einer Eintragung in der Domain-Blockliste zu blockieren. Gehen Sie in der DNSWatch-Benutzeroberfläche zu Konfigurieren > Domain-Blockliste und klicken Sie auf “Eine Domain zur Blockliste hinzufügen”.
- Domänenname: TLD
- Kontrollkästchen “Unterdomänen einschließen”: Ausgewählt (Beachten Sie: Wenn Sie in DNSWatch Einträge für die Domain-Blockliste erstellen, ist es nicht erforderlich, ‘*’ oder einen führenden ‘.’ einzufügen.)
WatchGuard Endpoint Security (EPDR) Mit WatchGuard Endpoint Security können keine Top-Level-Domains blockiert werden. Die Funktion für die Webzugriffskontrolle unterstützt keine Platzhaltereinträge, die eine gesamte Top-Level-Domain abdecken.