Konfigurieren von Network Traffic Redirection

Die Richtlinie für Network Traffic Redirection integriert Funktionen von Symantec Web Security Service (WSS) in
Symantec Endpoint Protection
. Network Traffic Redirection (NTR) leitet automatisch den gesamten Internetdatenverkehr oder nur den Webdatenverkehr auf dem Client an den Symantec WSS um. Dort wird der Verkehr anhand der WSS-Richtlinien entweder zugelassen oder blockiert.
Um diese Funktion in
Symantec Endpoint Protection Manager
(SEPM) verwenden zu können, müssen Sie über ein gültiges Symantec Web Security Service-Abonnement verfügen. Wenden Sie sich an Ihren Kundenbetreuer, um ein Abonnement zu erhalten.
Hinweis
: In 14.3 RU1 wurde die WSS-Datenverkehrsumleitung in "Network Traffic Redirection" umbenannt. Die Integrationsrichtlinie wurde in "Richtlinie für Network Traffic Redirection" umbenannt.
Technische Anforderungen und Einschränkungen
Anforderung
Beschreibung
Unterstützte Browser
Windows:
  • Microsoft Internet Explorer 9-11
  • Mozilla Firefox
  • Google Chrome
  • Microsoft Edge
Mac:
  • Unter macOS werden Apple Safari, Google Chrome und Mozilla Firefox unterstützt.
  • Ab Version 14.2 RU1 wird Firefox-Version 65 und höher unterstützt.
Einschränkungen
  • Der Web Security Service wird gemäß IPv4 und nicht IPv6 bereitgestellt.
Für die Tunnelmethode gelten die folgenden Einschränkungen:
  • Wird nur unter Windows 10 64-Bit Version 1703 und höher (Semi-Annual Servicing Channel) ausgeführt. Diese Methode unterstützt keine anderen Windows-Betriebssysteme oder den Mac-Client.
  • Unterstützt keine HVCI-fähigen Geräte unter Windows 10 (64 Bit)
  • Der Client-Computer kontaktiert während der Installation ctc.symantec.com, um das Integrations-Token in Ihre Kunden-ID umzuwandeln. Wenn dieser Kontakt nicht hergestellt werden kann, schlägt die Installation fehl. Um diese Gefahr für alle Clients zu vermeiden, können Sie Ihre Kunden-ID anstelle des Integrations-Tokens verwenden, sodass die Umwandlung nicht erforderlich ist.
  • Ausgehender Datenverkehr vom
    Symantec Endpoint Protection
    -Client wird an WSS umgeleitet, bevor er entweder von der Firewall des Clients oder den URL-Reputationsregeln ausgewertet wird. Stattdessen wird der Datenverkehr anhand der WSS-Firewall und der URL-Regeln ausgewertet. Beispiel: Wenn eine SEP-Client-Firewall-Regel google.com blockiert und eine WSS-Regel google.com zulässt, ermöglicht der Client Benutzern den Zugriff auf google.com. Eingehender lokaler Datenverkehr zum Client wird weiterhin von der
    Symantec Endpoint Protection
    -Firewall verarbeitet.
  • Das WSS Captive Portal ist nicht für die Tunnel-Methode verfügbar, und der Client ignoriert die Abfrage der Zugangsdaten. In einer zukünftigen Version ersetzt die SAML-Authentifizierung im WSS-Agent das Captive Portal und ist im
    Symantec Endpoint Protection
    -Client verfügbar.
  • Wenn ein Clientcomputer mithilfe der Tunnel-Methode eine Verbindung zum WSS herstellt und virtuelle Computer hostet, muss jeder Gastbenutzer das im WSS-Portal bereitgestellte SSL-Zertifikat installieren.
  • Datenverkehr für ein lokales Netzwerk wie Ihr Startverzeichnis oder die Active Directory-Authentifizierung wird nicht umgeleitet.
  • Die Methode ist nicht mit dem Microsoft DirectAccess-VPN kompatibel.
Konfigurieren der Richtlinie für Network Traffic Redirection mit der PAC-Datei-Methode
Der WSS-Administrator stellt die PAC-Datei-URL (Proxy Auto Configuration) oder das Integrations-Token aus dem WSS-Portal bereit. Sie aktualisieren dann die Richtlinie für Network Traffic Redirection mit der PAC-Datei oder dem Integrations-Token und weisen die NTR-Richtlinie einer Gruppe zu.
Konfigurieren der Network Traffic Redirection mit der Tunnelmethode
Die Tunnelmethode gilt als Beta-Funktion. Sie sollten dafür gründliche Tests mit Ihren Anwendungen für Ihre WSS-Richtlinien durchführen. Broadcom bietet eine Beta-Website mit einem Testleitfaden und der Möglichkeit, Feedback zu hinterlassen. Melden Sie sich mit Ihren Broadcom-Zugangsdaten auf der folgenden Website an: Validate.broadcom.com
Konfigurieren der Tunnelmethode
Schritte
Beschreibung
Schritt 1: Abrufen eines Integrations-Tokens aus dem WSS-Portal
  1. Fügen Sie das Integrations-Token einer neuen oder standardmäßigen Richtlinie zur Network Traffic Redirection hinzu.
  2. Lassen Sie die Richtlinie entsperrt.
  3. Weisen Sie die NTR-Richtlinie der Testgruppe zu.
Schritt 2: Prüfen, ob die Network Traffic Redirection auf dem Client aktiviert ist
Stellen Sie beim Testen des Clients sicher, dass die Network Traffic Redirection aktiviert und mit dem WSS verbunden ist. Sie sollten auch dafür sorgen, dass der Client-Benutzer die Network Traffic Redirection deaktivieren kann, wenn eine falsch konfigurierte WSS-Richtlinie verhindert, dass der Benutzer auf eine Ressource zugreifen kann.
Schritt 3: Konfigurieren und Testen der WSS-Richtlinien
Um die Network Traffic Redirection zu testen, müssen Sie zuerst die WSS-Richtlinien in einer Laborumgebung einrichten oder anpassen. Anschließend führen Sie die verschiedenen Testszenarien für die WSS-Richtlinie aus, wobei häufig die Compliance eines Geräts mit einer WSS-Richtlinie verglichen wird.
Schritt 4: Sperren der Richtlinie zur Network Traffic Redirection
Nachdem Sie sich vergewissert haben, dass die WSS-Richtlinien auf dem
Symantec Endpoint Protection
-Client erwartungsgemäß funktionieren, sperren Sie die Richtlinie, damit der Client-Computer geschützt ist und der Benutzer die Verbindung des Clients zum WSS nicht trennen kann.
Sie sperren die NTR, indem Sie das Vorhängeschloss in der Richtlinie zur Network Traffic Redirection im SEPM schließen.
Berichterstellung
  • Konfigurationsänderungen an der Richtlinie zur Network Traffic Redirection werden im Audit-Protokoll des Symantec Endpoint Protection Manager angezeigt.
  • Ereignisse für die Tunnelmethode werden im Netzwerkverkehrsumleitungs-Protokoll des Clients angezeigt. Diese Ereignisse werden ins Systemprotokoll des Symantec Endpoint Protection Manager hochgeladen.
So zeigen Sie das NTR-Protokoll auf dem Client an:
  1. Klicken Sie auf dem Client-Computer auf der Seite
    Status
    neben
    Network Traffic Redirection
    auf
    Optionen
    >
    Protokolle anzeigen
    .
Versionsänderungen
  • In den Versionen 14.0.1 MP1 bis 14.2 RU1 gilt die WSS-Datenverkehrsumleitung nur für Windows-Computer.
  • In 14.2 RU2 wurde Unterstützung für Mac-Computer hinzugefügt.
  • Ab Version 14.2 können Sie die erweiterte Client-Authentifizierung für WSS und eine genauere Steuerung des Webdatenverkehrs nutzen, basierend auf dem Benutzer, der ihn sendet.
  • In 14.3 RU1 wurde die WSS-Datenverkehrsumleitung zu Network Traffic Redirection (NTR) umbenannt.
  • In 14.3 RU1 wurde eine neue Verbindungsmethode, die Tunnelmethode, hinzugefügt.