McAfee Web Gateway Cloud Service

Migrationshandbuch McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service Zur Verwendung mit McAfee ePolicy ...
0 downloads 2 Views 415KB Size
Migrationshandbuch

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service Zur Verwendung mit McAfee ePolicy Orchestrator Cloud

COPYRIGHT © 2017 Intel Corporation

MARKEN Intel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern. McAfee und das McAfee-Logo, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource und VirusScan sind eingetragene Marken oder Marken von McAfee, Inc. oder seinen Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.

LIZENZINFORMATIONEN LIZENZVEREINBARUNG HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWARE-PAKET ODER SEPARAT (ALS BROSCHÜRE, DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN McAFEE ODER IHREN HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK.

2

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

Inhaltsverzeichnis

Einleitung Informationen zu diesem Handbuch Zielgruppe . . . . . . . Konventionen . . . . . . Quellen für Produktinformationen .

1

2

5 . . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

Migrationsübersicht

7

Neuer Produktname . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorteile der Cloud-Dienstplattform . . . . . . . . . . . . . . . . . . . . . . . . . . . Unterschiede zwischen dem neuen Dienst und dem älteren Dienst . . . . . . . . . . . . . . Einrichten der Produkte in der empfohlenen Reihenfolge . . . . . . . . . . . . . . . . . . Allgemeine Migrations-Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7 7 8 9 9

Erste Schritte

11

Vor Aktivierung des neuen Dienstes . . . . . . . . . . . . . . . . . . . . . . . . . . Nach Aktivierung des neuen Dienstes . . . . . . . . . . . . . . . . . . . . . . . . . Melden Sie sich bei McAfee ePO Cloud an. . . . . . . . . . . . . . . . . . . . . . . . . Verwaltung von Client Proxy mit McAfee ePO oder McAfee ePO Cloud . . . . . . . . . . . . . Konfigurieren von Umleitungen mit Client Proxy . . . . . . . . . . . . . . . . . . . . . Themenbezogene Produktdokumentation und KB-Artikel . . . . . . . . . . . . . . . . . . Hilfreiche Links . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3

4

5 5 5 6

Richtlinienmigration

11 11 12 12 13 14 15

17

Benutzerschnittstelle zur Richtlinienverwaltung . . . . . . . . . . . . . . . . . . . . . Richtlinien-Browser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Richtlinienkonfigurationsbereiche . . . . . . . . . . . . . . . . . . . . . . . . Regelreihenfolge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . URL-Whitelists und -Blacklists . . . . . . . . . . . . . . . . . . . . . . . . . . Benutzergruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwendung der Standardrichtlinienoptionen . . . . . . . . . . . . . . . . . . . . . . . Migrieren von Richtlinienlisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . Formatierung von Richtlinienlisten für den neuen Dienst . . . . . . . . . . . . . . . Vorteile des Konvertierungstools . . . . . . . . . . . . . . . . . . . . . . . . Verwenden des Konvertierungstools bei der Migration von Richtlinienlisten . . . . . . . . Sortieren von Listen vertrauenswürdiger Sites . . . . . . . . . . . . . . . . . . . . . .

17 17 17 19 19 19 20 20 21 23 23 24

Migrieren der Einstellungen zum Zulassen und Verweigern . . . . . . . . . . . . . . . . .

24

Konfigurieren der Authentifizierung

27

Unterstützte Authentifizierungsmethoden . . . . . . . . . . . . . . . . . . . . . . . . Es hängt von der Authentifizierungsmethode ab, wann die neue Richtlinie anwendet wird . . . . . Einführen der neuen Richtlinie mit Client Proxy-Authentifizierung . . . . . . . . . . . . . . Einführung der neuen Richtlinie mit IP-Bereichsauthentifizierung . . . . . . . . . . . . . . Einführung der neuen Richtlinie mit SAML-Authentifizierung . . . . . . . . . . . . . . . . .

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

27 27 28 30 30

Migrationshandbuch

3

Inhaltsverzeichnis

5

Migration einer Hybridbereitstellung

33

Was ist eine Hybridbereitstellung? . . . . . . . . . . . . . . . . . . . . . . . . . . . Erste Schritte einer Hybridbereitstellung . . . . . . . . . . . . . . . . . . . . . . . . Migrations-Tasks für eine Hybridbereitstellung . . . . . . . . . . . . . . . . . . . . . . Erstellen einer Client Proxy-Richtlinie mithilfe von McAfee ePO Cloud . . . . . . . . . . Einrichten von Web Gateway in einer Vorproduktionsumgebung . . . . . . . . . . . . Erstellen Sie mithilfe von McAfee ePO eine Client Proxy-Richtlinie. . . . . . . . . . . . Test und Einführung der Hybridkonfiguration . . . . . . . . . . . . . . . . . . . .

Index

4

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

33 33 34 34 35 36 37

39

Migrationshandbuch

Einleitung

In diesem Handbuch finden Sie die erforderlichen Informationen für die Arbeit mit Ihrem McAfee-Produkt. Inhalt Informationen zu diesem Handbuch Quellen für Produktinformationen

Informationen zu diesem Handbuch In diesem Abschnitt werden die Zielgruppe des Handbuchs, die verwendeten typografischen Konventionen und Symbole sowie die Gliederung des Handbuchs beschrieben.

Zielgruppe Die Dokumentation wurde von McAfee nach eingehender Recherche mit Blick auf die Zielgruppe verfasst. Die Informationen in diesem Handbuch richten sich in erster Linie an: •

Administratoren: Personen, die für die Implementierung und Durchsetzung des Sicherheitsprogramms eines Unternehmens verantwortlich sind.

Konventionen In diesem Handbuch werden folgende typografische Konventionen und Symbole verwendet. Kursiv

Titel eines Buchs, Kapitels oder Themas; neuer Begriff; Hervorhebung

Fett

Hervorgehobener Text

Festbreite

Befehle und anderer Text, den der Benutzer eingibt; Code-Beispiel; angezeigte Nachricht

Narrow Bold

Wörter der Produktoberfläche wie Optionen, Menüs, Schaltflächen und Dialogfelder

Hypertext-blau Link zu einem Thema oder einer externen Website Hinweis: Zusätzliche Informationen, um einen Punkt hervorzuheben, den Leser an etwas zu erinnern oder eine alternative Methode aufzuzeigen Tipp: Best-Practice-Informationen Vorsicht: Wichtiger Hinweis zum Schutz von Computersystemen, Software-Installationen, Netzwerken, Unternehmen oder Daten Warnung: Wichtiger Hinweis, um Verletzungen bei der Verwendung des Hardware-Produkts zu vermeiden

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

5

Einleitung Quellen für Produktinformationen

Quellen für Produktinformationen Im ServicePortal finden Sie Informationen zu veröffentlichten Produkten, unter anderem die Produktdokumentation und technische Hilfsartikel. Vorgehensweise

6

1

Rufen Sie das ServicePortal unter https://support.mcafee.com auf, und klicken Sie auf die Registerkarte Knowledge Center.

2

Klicken Sie im Fenster Knowledge Base unter Inhaltsquelle auf Produktdokumentation.

3

Wählen Sie ein Produkt aus, und klicken Sie dann auf Suchen, um eine Liste der gewünschten Dokumente anzuzeigen.

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

1

Migrationsübersicht

®

®

Dieses Handbuch ist für Kunden mit McAfee Web Gateway Cloud Service (McAfee WGCS) vorgesehen, die von der Control Console-Benutzerschnittstelle in die McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud)-Verwaltungsplattform migrieren. Neue Kunden und Hybridkunden, die McAfee WGCS in einer integrierten Lösung zusammen mit McAfee Web Gateway verwenden, können dieses Handbuch ebenfalls als Referenz verwenden. ®

®

®



®

Inhalt Neuer Produktname Vorteile der Cloud-Dienstplattform Unterschiede zwischen dem neuen Dienst und dem älteren Dienst Einrichten der Produkte in der empfohlenen Reihenfolge Allgemeine Migrations-Tasks

Neuer Produktname Der Name von McAfee® SaaS Web Protection lautet ab sofort McAfee Web Gateway Cloud Service. In diesem Handbuch werden die folgenden Begriffe genutzt, um sich auf die Produkte zu beziehen. •

Älterer Dienst: Bezieht sich auf SaaS Web Protection.



Neuer Dienst: Bezieht sich auf McAfee WGCS.



Cloud-Dienst: Bezieht sich auf den älteren Dienst, den neueren Dienst oder beide.



Control Console: Bezieht sich auf die ältere Benutzerschnittstelle SaaS Web Protection.



Verwaltungskonsole: Bezieht sich auf die neue Benutzerschnittstelle McAfee WGCS.

Vorteile der Cloud-Dienstplattform Wenn Sie zum neuen Dienst migrieren, profitieren Sie von allen Funktionen und der vollständigen Flexibilität der Cloud-Dienstplattform. Der neue Dienst wird über die Cloud-Dienstplattform bereitgestellt, die aus global verteilten Knoten, den so genannten Points of Presence (PoP, Knotenpunkte) besteht. Der Global Routing Manager (GRM) ist ein DNS-Dienst, der für die intelligente Datenverkehrsweiterleitung, Lastverteilung und Failover zuständig ist. Der GRM leitet den Datenverkehr an den besten verfügbaren Knotenpunkt weiter. Besuchen Sie für eine Übersicht der Standorte des Cloud-Dienstes trust.mcafee.com. Dort erhalten Sie auch Informationen zum Status, Setup und Support.

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

7

1

Migrationsübersicht Unterschiede zwischen dem neuen Dienst und dem älteren Dienst

Unterschiede zwischen dem neuen Dienst und dem älteren Dienst Der neue Dienst bietet ein neues Richtlinienmodell, eine neue Verwaltungsplattform und eine neue Benutzerschnittstelle. Außerdem unterstützt er einen anderen Funktionssatz als der ältere Dienst.

Neues Richtlinienmodell Das neue Richtlinienmodell basiert auf einer Richtlinie, die global auf alle Benutzer und Gruppen in Ihrem Unternehmen angewendet wird. Wenn Sie die Richtlinie so anpassen möchten, dass sie nur auf bestimmte Benutzer oder Gruppen angewendet wird, konfigurieren Sie anschließend Ausnahmen für die Regeln, aus denen sich die Richtlinie zusammensetzt.

Neue Verwaltungsplattform und Benutzerschnittstelle Der neue Dienst wird über die McAfee ePO Cloud-Verwaltungsplattform und -konsole bereitgestellt. Die Verwaltungskonsole ersetzt die Control Console folgendermaßen: •

Der neue Dienst wird über die Verwaltungskonsole konfiguriert.



Cloud-basierte Instanzen von McAfee Client Proxy werden mithilfe der Verwaltungskonsole konfiguriert. ®

Unterstützte Funktionen In dieser Tabelle wird verglichen, welche Funktionen von der McAfee ePO Cloud-Verwaltungskonsole und welche von der Control Console unterstützt werden. Tabelle 1-1 Control Console im Vergleich zu McAfee ePO Cloud Funktionen

Control Console

McAfee ePO Cloud

URL-Filterung

Ja

Ja

Website-Reputation

Ja

Ja

Signaturbasierte Antiviren-Technologie

Ja

Ja

Verhaltensemulationstechnologie

Ja

Ja

Web-Kategorie

Ja

Ja

Web-Anwendung

Ja

Ja

Medientyp

Ja

Ja

McAfee Client Proxy

Ja

Ja

IP-Adressbereich

Ja

Ja

SAML 2.0

Nein

Ja

IPsec-VPN

Nein

Ja

Expliziter Benutzer

Ja

Nein

Integration in Active Directory

Ja

Ja

Erstellung lokaler Benutzergruppen

Ja

Ja

McAfee Global Threat Intelligence

Gateway Anti-Malware Engine

Web-Filterungskataloge

Authentifizierung ®

Kontoverwaltung

Berichterstellung

8

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

Migrationsübersicht Einrichten der Produkte in der empfohlenen Reihenfolge

1

Tabelle 1-1 Control Console im Vergleich zu McAfee ePO Cloud (Fortsetzung) Funktionen

Control Console

McAfee ePO Cloud

Berichte und forensische Analysen in der Control Console

Ja

Nein

Anfragen und Berichte in McAfee ePO Cloud

Nein

Ja

SSL-Scans

Ja

Ja

IPsec auf Mobilgeräten

Ja

Nein

Weitere Funktionen

Weitere Informationen zu Berichten finden Sie im Produkthandbuch für McAfee ePolicy Orchestrator Cloud.

Einrichten der Produkte in der empfohlenen Reihenfolge McAfee WGCS arbeitet mit McAfee ePO Cloud und McAfee Client Proxy. Sie sollten diese Produkte in der folgenden Reihenfolge einrichten. 1

McAfee ePO Cloud: Diese Cloud-Plattform beinhaltet eine Verwaltungskonsole, in der Sie McAfee WGCS- und Client Proxy-Richtlinien, -Authentifizierungen und -Berichte verwalten können. Nachdem Sie ein Konto in der McAfee ePO Cloud erstellt haben, können Sie die Verwaltungskonsole zur Einrichtung der anderen Produkte verwenden. Weitere Informationen hierzu finden Sie im McAfee ePolicy Orchestrator Cloud-Produkthandbuch. Sie können Client Proxy mithilfe von McAfee ePO auch lokal einrichten und verwalten. Weitere Informationen hierzu finden Sie im Produkthandbuch zu McAfee ePolicy Orchestrator.

2

McAfee WGCS: McAfee hostet und aktualisiert diesen Dienst in der Cloud. Da McAfee WGCS einen Cloud-Dienst darstellt, müssen Sie die Software nicht installieren oder ein Upgrade durchführen. Für den Zugriff auf die Verwaltungskonsole benötigen Sie die E-Mail-Adresse und das Kennwort, das Sie angegeben haben, als Sie Ihr McAfee-Konto erstellt haben.

3

McAfee Client Proxy: Die Einrichtung hängt davon ab, ob Sie McAfee ePO oder McAfee ePO Cloud verwenden. Für beide Verwaltungsplattformen beinhaltet die Einrichtung die Bereitstellung der Client-Software für die Endpunkt-Benutzer in Ihrem Unternehmen, die Konfiguration einer Client Proxy-Richtlinie und die Übertragung dieser Richtlinie an den Endpunkt via Push. Mehr Informationen finden Sie im McAfee Client Proxy Product Guide for use with McAfee ePolicy Orchestrator (McAfee Client Proxy-Produkthandbuch für McAfee ePolicy Orchestrator) oder im McAfee Client Proxy Product Guide for use with McAfee ePolicy Orchestrator Cloud (McAfee Client Proxy-Produkthandbuch für McAfee ePolicy Orchestrator Cloud). McAfee WGCS kann auch ohne Client Proxy bereitgestellt werden.

Allgemeine Migrations-Tasks Führen Sie diese allgemeinen Migrations-Tasks in der angegebenen Reihenfolge aus, um die neue Richtlinie zu testen und graduell einzuführen. 1

Abonnieren Sie den neuen Dienst, aktivieren Sie ihn, und melden Sie sich bei McAfee ePO Cloud an. Navigieren Sie zur Begrüßungsseite, und speichern Sie Ihre neue Kunden-ID und den Wert für Kundenspezifischer Proxy.

2

Richten Sie die Kommunikation mit dem Client Proxy ein.

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

9

1

Migrationsübersicht Allgemeine Migrations-Tasks

3

Konfigurieren Sie die neue Richtlinie.

4

Konfigurieren Sie die Authentifizierung.

5

Testen Sie die neue Richtlinie, und führen Sie sie graduell ein.

Bewährte Methode: Konfigurieren der neuen Richtlinie vor der Authentifizierung Konfigurieren Sie die neue Richtlinie in der Verwaltungskonsole, bevor Sie die Authentifizierung konfigurieren. Wenn der Endbenutzer mit der Methode authentifiziert wird, die Sie in der Verwaltungskonsole konfiguriert haben, wird die neue Richtlinie angewendet. Wenn die neue Richtlinie noch nicht konfiguriert wurde, werden die standardmäßigen Richtlinieneinstellungen des neuen Dienstes angewendet. Wir geben für jede Authentifizierungsmethode Schritte an, die Sie zum graduellen Rollout der neuen Richtlinie nachvollziehen können. Informationen über das Migrieren einer Hybridbereitstellung finden Sie im Kapitel Migration einer Hybridbereitstellung.

10

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

2

Erste Schritte

Die Begrüßungsseite von McAfee ePO Cloud gibt Ihnen die Informationen, die Sie brauchen, um McAfee WGCS mit anderen Produkten wie Client Proxy und Web Gateway zu integrieren. Inhalt Vor Aktivierung des neuen Dienstes Nach Aktivierung des neuen Dienstes Melden Sie sich bei McAfee ePO Cloud an. Verwaltung von Client Proxy mit McAfee ePO oder McAfee ePO Cloud Konfigurieren von Umleitungen mit Client Proxy Themenbezogene Produktdokumentation und KB-Artikel Hilfreiche Links

Vor Aktivierung des neuen Dienstes Sehen Sie sich die Informationen zum Zulassen von IP-Adressbereichen (Whitelist) in der Firewall und zum Verwenden eines Geolocation-Präfixes an.

Zulassen von IP-Adressbereichen (Whitelist) in der Firewall Wenn Sie eine Firewall zur Beschränkung des Internet-Zugriffs verwenden, müssen Sie in der Firewall-Konfiguration den Datenverkehr zu allen Knotenpunkten in Ihrer geografischen Region zulassen. Eine vollständige Liste der IP-Adressbereiche in den einzelnen Regionen finden Sie unter trust.mcafee.com.

Verwenden eines Geolocation-Präfixes Wenn Sie McAfee WGCS als Proxy-Server konfigurieren, können Sie ein Präfix festlegen, das den geografischen Standort angibt, den der Global Routing Manager zur Weiterleitung Ihres Datenverkehrs verwenden soll. Weitere Informationen und Anwendungsbeispiele finden Sie im KnowledgeBase-Artikel KB87631.

Nach Aktivierung des neuen Dienstes Nachdem Sie den neuen Dienst aktiviert haben, können Sie immer noch Ihre älteren Richtlinien und die Control Console nutzen. Sie können die Control Console aufrufen, während Sie eine neue Richtlinie in der McAfee ePO Cloud-Verwaltungskonsole konfigurieren. Als Kunde des neuen Dienstes profitieren Sie zudem von allen Funktionen und der vollständigen Flexibilität der Cloud-Dienstplattform.

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

11

2

Erste Schritte Melden Sie sich bei McAfee ePO Cloud an.

Melden Sie sich bei McAfee ePO Cloud an. Abonnieren Sie den neuen Dienst und aktivieren Sie ihn. Erstellen Sie ein Konto bei McAfee ePO Cloud, melden Sie sich an, und navigieren Sie zur Begrüßungsseite. Wenn Sie sich das erste Mal bei McAfee ePO Cloud anmelden, erstellen Sie ein Konto. Geben Sie als E-Mail-Adresse und Kennwort Ihre Anmeldeinformationen für McAfee ePO Cloud ein. Wenn Sie eine Hybridbereitstellung migrieren, benötigen Sie diese Werte bei der Aktualisierung der Hybridkonfiguration für den neuen Dienst in Web Gateway. Die Begrüßungsseite liefert folgende Informationen: •

Kunden-ID: Durch sie wird der Kunde im System eindeutig identifiziert.



Kundenspezifischer Proxy: Spezifiziert den Domänennamen, den andere Produkte nutzen, wenn sie sich mit Ihrer Instanz des neuen Dienstes verbinden. Der Domänenname weist folgendes Format auf: c.saasprotection.com. Beispiel: c12345678.saasprotection.com Heben Sie diese Werte auf. Client Proxy nutzt den kundenspezifischen Proxy zur Verbindungsherstellung mit Ihrer Instanz des neuen Dienstes. Hybridkunden benötigen für die Konfiguration der Richtliniensynchronisierung in der Benutzerschnittstelle von Web Gateway die Kunden-ID.

Vorgehensweise 1

Abonnieren Sie den neuen Dienst. Das System sendet Ihnen eine Begrüßungs-E-Mail.

2

Klicken Sie in der Begrüßungs-E-Mail auf den Link zum Aktivieren.

3

Geben Sie auf der Aktivierungsseite Ihre E-Mail-Adresse und ein Kennwort ein. Der Dienst ist jetzt aktiviert.

4

Klicken Sie auf manage.mcafee.com, um sich bei McAfee ePO Cloud anzumelden, und geben Sie dann die E-Mail-Adresse und das Kennwort ein, das Sie auf der Aktivierungsseite angegeben haben. Daraufhin öffnet sich die Verwaltungskonsole.

5

Klicken Sie auf das oben links befindliche Menüsymbol, und wählen Sie dann Web Protection | Erste Schritte aus. Daraufhin öffnet sich die Begrüßungsseite.

Verwaltung von Client Proxy mit McAfee ePO oder McAfee ePO Cloud Die Verwaltung von Client Proxy hängt davon ab, ob Sie die lokale Version oder die Cloud-Version von McAfee ePO verwenden.

Verwalten von Client Proxy mit McAfee ePO Wenn Sie Client Proxy weiterhin mithilfe von McAfee ePO verwalten möchten oder Sie Client Proxy zum ersten Mal mit McAfee ePO verwalten, synchronisieren Sie die Richtlinie folgendermaßen mit McAfee ePO Cloud:

12

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

Erste Schritte Konfigurieren von Umleitungen mit Client Proxy

2

1

Erstellen Sie mithilfe von McAfee ePO Cloud eine Client Proxy-Richtlinie für den neuen Dienst. Exportieren Sie die Anmeldeinformationen, die Sie für die Richtlinie konfiguriert haben, in eine XML-Datei.

2

Erstellen Sie mithilfe von McAfee ePO eine Client Proxy-Richtlinie für den neuen Dienst. Konfigurieren Sie die Anmeldeinformationen, indem Sie sie aus der XML-Datei importieren, die Sie zuvor erstellt haben. Weitere Informationen finden Sie im McAfee Client Proxy Product Guide for McAfee ePolicy Orchestrator (McAfee Client Proxy-Produkthandbuch für McAfee ePolicy Orchestrator).

Verwalten von Client Proxy mit McAfee ePO Cloud Wenn Sie die Verwaltung von Client Proxy mit McAfee ePO Cloud planen, installieren Sie zuerst eine neue Instanz von McAfee Agent: 1

2

Installieren Sie wie folgt eine neue Instanz von McAfee Agent auf den Computern der Endbenutzer in Ihrem Unternehmen. •

Erstellen Sie mithilfe von McAfee ePO Cloud eine Installations-URL.



Senden Sie die Installations-URL und die Schritte an die Endbenutzer, die dann auf die URL zugreifen und die Installationsschritte durchführen können.

Erstellen Sie mithilfe von McAfee ePO Cloud eine Client Proxy-Richtlinie für den neuen Dienst. Weitere Informationen finden Sie im McAfee Client Proxy-Produkthandbuch für die Verwendung mit McAfee ePolicy Orchestrator Cloud.

Konfigurieren von Umleitungen mit Client Proxy Konfigurieren Sie eine Client Proxy-Richtlinie, und weisen Sie sie den Endbenutzer-Computern in Ihrem Unternehmen zu. Wenn das freigegebene Kennwort mit McAfee WGCS synchronisiert ist, tritt die Richtlinie in Kraft, und der Client Proxy beginnt damit, Netzwerkverkehr an McAfee WGCS weiterzuleiten. Nehmen Sie in der Verwaltungskonsole von McAfee ePO oder McAfee ePO Cloud folgende Schritte vor: 1

Konfigurieren Sie eine Client Proxy-Richtlinie mit diesen Einstellungen. a

Proxy Server Address (Proxy-Serveradresse): Spezifizieren Sie den Kundenspezifischen Proxy von der Begrüßungsseite als die Proxy-Serveradresse, um McAfee WGCS als Proxy-Server zu konfigurieren.

b

Unique Customer ID (Eindeutige Kunden-ID): (Nur McAfee ePO) Spezifizieren Sie Ihre Kunden-ID.

c

Freigegebenes Kennwort: Spezifizieren Sie das freigegebene Kennwort, das von Client Proxy und McAfee WGCS zur Kommunikation genutzt wird.

d

Traffic Redirection (Datenverkehrsumleitung): Konfigurieren Sie diese Einstellung basierend darauf, ob McAfee WGCS nur in der Cloud oder als Hybridlösung bereitgestellt wird. Bei einer reinen Cloud-Bereitstellung leitet Client Proxy Netzwerkverkehr immer zur Filterung an McAfee WGCS weiter. Bei einer Hybridbereitstellung leitet Client Proxy Netzwerkverkehr nur dann an McAfee WGCS weiter, wen der Computer des Endbenutzers sich außerhalb des Netzwerks befindet und nicht durch VPN verbunden ist.

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

13

2

Erste Schritte Themenbezogene Produktdokumentation und KB-Artikel

2

Stellen Sie die Client Proxy-Software auf den Endbenutzer-Computern in Ihrem Unternehmen bereit.

3

Stellen Sie für die Endbenutzer-Computer die Client Proxy-Richtlinie bereit.

Ändern des freigegebenen Kennworts Gedulden Sie sich ein wenig, nachdem Sie die Client Proxy-Richtlinie den Endbenutzer-Computern in Ihrem Unternehmen zugewiesen haben, sodass die folgenden Schritte durchgeführt werden können und die Richtlinie in Kraft treten kann. 1

McAfee ePO oder McAfee ePO Cloud stellt die aktualisierte Client Proxy-Richtlinie für die Computer der Endbenutzer in Ihrem Unternehmen bereit. Wie viel Zeit dieser Schritt benötigt, hängt davon ab, welchen Wert Sie für das Richtlinienerzwingungsintervall in Ihrer McAfee Agent-Richtlinie festgelegt haben. ®

2

Die Client Proxy-Software gibt das Kennwort für McAfee WGCS frei. Dieser Schritt kann bis zu 20 Minuten in Anspruch nehmen. Das freigegebene Kennwort muss mit McAfee WGCS synchronisiert werden. Andernfalls schlägt die Authentifizierung fehl.

Themenbezogene Produktdokumentation und KB-Artikel Diese Produkthandbücher und KB-Artikel liefern Informationen zum neuen Dienst und den Produkten, die diesbezüglich integrierbar sind. Sie sind im ServicePortal verfügbar.

Produktdokumentation •

McAfee Client Proxy 2.3.0 Product Guide for ePolicy Orchestrator (McAfee Client Proxy 2.3.0-Produkthandbuch für ePolicy Orchestrator)



McAfee Client Proxy 2.3.0 Product Guide for ePolicy Orchestrator Cloud (McAfee Client Proxy 2.3.0-Produkthandbuch für ePolicy Orchestrator Cloud)



McAfee ePolicy Orchestrator 5.3.0 Product Guide (McAfee ePolicy Orchestrator 5.3.0 – Produkthandbuch)



McAfee ePolicy Orchestrator Cloud 5.9.0 Product Guide (McAfee ePolicy Orchestrator Cloud 5.9.0 – Produkthandbuch)



McAfee Web Gateway 7.7.0 – Produkthandbuch



McAfee Web Gateway Cloud Service – Produkthandbuch



McAfee Web Gateway Cloud Service Release Notes (McAfee Web Gateway Cloud Service – Versionsinformationen)

Bevor Sie anfangen: Hilfreiche KB-Artikel

14



KB87232 Web Gateway Cloud Service IP addresses/ranges to whitelist in your firewall (Web Gateway Cloud Service – IP-Adressen/Bereiche zum Hinzufügen zur Whitelist Ihrer Firewall)



KB87631 How to configure Web Gateway Cloud Service country-specific and region-specific prefixes (Anleitung zum Konfigurieren landes- und regionsspezifischer Präfixe für Web Gateway Cloud Service)

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

2

Erste Schritte Hilfreiche Links

KB-Artikel für Kunden, die erstmals mit McAfee ePO Cloud arbeiten •

KB78045 Häufig gestellte Fragen zu ePolicy Orchestrator Cloud



KB84630 Bereitstellung von Produkten mithilfe von ePO Cloud

Hilfreiche Links Verwenden Sie diese Links, um andere Produkte zu integrieren, die Anmeldeseiten von Control Console und McAfee ePO Cloud zu öffnen und das Tool zur Konvertierung von Richtlinienlisten zu öffnen. Dort gibt es auch eine Übersicht über die Cloud-Dienstplattform und themenbezogene Artikel aus der McAfee Community zu lesen.

Proxy-Dienst-Domänenname Der Cloud-Dienst ist ein Proxy-Dienst. Verwenden Sie den Proxy-Dienst-Domänennamen bei der Konfiguration anderer Produkte, die sich mit dem neuen Cloud-Dienst integrieren lassen. •

saasprotection.com: Spezifiziert den Domänennamen des neuen Cloud-Proxy-Dienstes.



c.saasprotection.com: Spezifiziert den kundenspezifischen Domänennamen des neuen Cloud-Proxy-Dienstes.

Hilfreiche Links •

Control Console-Anmeldeseite: portal.mcafeesaas.com



McAfee ePO Cloud-Anmeldeseite: manage.mcafee.com



Tool zur Konvertierung von Richtlinienlisten: contentsecurity.mcafee.com/migration-tools



Übersicht über die Cloud-Dienstplattform: trust.mcafee.com



Themenbezogene Artikel in der McAfee Community: community.mcafee.com/community/business/expertcenter/products/wgcs

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

15

2

Erste Schritte Hilfreiche Links

16

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

3

Richtlinienmigration

Zur Konfiguration einer neuen Richtlinie beginnen Sie mit den Standardrichtlinienoptionen und passen sie Schritt für Schritt für Ihr Unternehmen an. Sie können Ihre Listen vertrauenswürdiger Sites aus der Control Console exportieren, sie mithilfe eines Konvertierungstools organisieren und dann über die McAfee ePO Cloud-Verwaltungskonsole importieren. Inhalt Benutzerschnittstelle zur Richtlinienverwaltung Verwendung der Standardrichtlinienoptionen Migrieren von Richtlinienlisten Sortieren von Listen vertrauenswürdiger Sites Migrieren der Einstellungen zum Zulassen und Verweigern

Benutzerschnittstelle zur Richtlinienverwaltung In der neuesten Benutzerschnittstelle werden als Vorlagen für jeden Richtlinienkonfigurationsbereich Standardrichtlinienoptionen angegeben. Weitere Informationen finden Sie im Kapitel Richtlinienverwaltung im McAfee Web Gateway Cloud Service-Produkthandbuch.

Richtlinien-Browser Statt der Konfiguration vieler Richtlinien in einer Tabulator-Struktur wie in der Control Console konfigurieren Sie eine Richtlinie in einer integrierten Schnittstelle, dem Richtlinien-Browser. Im Richtlinien-Browser blenden Sie Richtlinienkonfigurationsbereiche wie Web-Reputation je nach Bedarf ein und aus, was Ihnen erlaubt, mehrere Bereiche zur gleichen Zeit anzuzeigen. In jedem Bereich können Sie eine Regel auswählen und das Fenster Regeldetails neben den anderen für diesen Bereich konfigurierten Regeln anzeigen lassen. Um den Browser zu öffnen, klicken Sie auf das Menüsymbol oben links in der McAfee ePO Cloud-Verwaltungskonsole. Wählen Sie dann Einheitliche Sicherheitsrichtlinie | Richtlinienverwaltung aus. Richtlinienkonfigurationsbereiche werden auch Funktionen genannt.

Richtlinienkonfigurationsbereiche Obwohl die Richtlinienkonfigurationsbereiche in der Control Console und im Richtlinien-Browser identisch sind, sind sie unterschiedlich organisiert. Im Richtlinien-Browser enthält jeder Konfigurationsbereich und jede Funktion eine oder mehr Standardrichtlinienoptionen, die Sie auswählen und bearbeiten können. Der Bereich Web-Kategoriefilter beinhaltet beispielsweise die folgenden Richtlinienoptionen:

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

17

3

Richtlinienmigration Benutzerschnittstelle zur Richtlinienverwaltung



Streng



Eingeschränkt



Großzügig



Sehr großzügig

Diese Namen entsprechen den Namen der Beispielrichtlinien, die von Anfang an in der Control Console enthalten sind. Die Standardrichtlinienoptionen wurden allerdings aktualisiert, sodass sie wiedergeben, wie Standardeinstellungen von Kunden bearbeitet werden. Tabelle 3-1 Richtlinienkonfigurationsbereiche Control Console (Registerkarten)

Richtlinien-Browser (Konfigurationsbereiche oder Funktionen)

Standardrichtlinienoptionen

Details

Richtlinienname: Eine Richtlinie ist global anwendbar und trägt keinen Namen.

N. zutr.

Besitzer: Sie können Regeln, die zulassen oder blockieren, Benutzergruppen hinzufügen. Bedrohung

Web-Reputation

Streng Großzügig

Kategorie

Anti-Malware-Filter

Einfacher Schutz

Web-Kategoriefilter

Streng Eingeschränkt Großzügig Sehr großzügig

Anwendungen

Web-Anwendungsfilter

Streng Eingeschränkt Großzügig

Medien

Medientypfilter

Streng Eingeschränkt Großzügig

SSL

SSL-Scanner

Einfacher Schutz

Blocked Sites (Blockierte Sites)

Globale Einstellungen setzt sich aus den folgenden globalen URL-Listen zusammen:

Einfache Regeln

• Globale URL-Whitelist • Globale URL-Blacklist Benachrichtigungen

Für jeden Konfigurationsbereich und jede Richtlinienoption können Sie eine Blockierungsseite konfigurieren.

N. zutr.

Sie können Ihre Blockierungsmeldungen von der Registerkarte Benachrichtigungen in der Control Console kopieren und in das Dialogfeld Neue Blockierungsseite im Richtlinien-Browser einfügen.

18

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

3

Richtlinienmigration Benutzerschnittstelle zur Richtlinienverwaltung

Regelreihenfolge Jede Standardrichtlinienoption besteht aus einer geordneten Liste von Regeln. Die Regeln in der Liste werden von oben nach unten angewendet. Wenn Sie einen Richtlinienbereich konfigurieren, platzieren Sie Regeln mit einer höheren Priorität über denen mit niedriger Priorität. Die erste Regel in jeder Liste ist eine URL-Whitelist, die Sie konfigurieren können. Die meisten Listen enthalten ganz unten eine Erfassungsregel. Unverarbeitete Web-Anfragen werden je nach Konfiguration der Erfassungsregel zugelassen oder blockiert. Im Allgemeinen erlaubt die Erfassungsregel für eine großzügige Richtlinie die verbleibenden Anfragen möglicherweise, während Sie durch eine Erfassungsregel für eine strenge Richtlinie eventuell blockiert werden.

URL-Whitelists und -Blacklists Im Richtlinien-Browser werden die Listen vertrauenswürdiger und blockierter Sites jeweils URL-Whitelists und URL-Blacklists genannt.

Lokalisierung von Listen im Richtlinien-Browser Diese Tabelle zeigt, wie die Listen, die Sie aus der Control Console in die Listen im Richtlinien-Browser exportieren, im Verhältnis zueinander stehen. Listenname in der Control Console

Listenname und Speicherort im Richtlinien-Browser

Liste für SSL Scan Bypass (SSL-Scan-Umgehung)

SSL-Scanner | SSL URL Whitelist (SSL-URL-Whitelist)

Liste für Category Filter Bypass (Kategoriefilter-Umgehung)

Web-Kategoriefilter | Web-Kategorie-URL-Whitelist (Web-Kategorie-URL-Whitelist)

Liste für Media Filter Bypass (Medienfilter-Umgehung)

Medientypfilter | Media Type URL Whitelist (Medientyp-URL-Whitelist)

Liste für Anti-Malware Bypass (Malware-Schutz-Umgehung)

Anti-Malware-Filter | Anti-Malware URL Whitelist (Anti-Malware-URL-Whitelist)

Liste für Blocked Sites (Blockierte Sites)

Globale Einstellungen | Globale URL-Blacklist

Neue Richtlinienlisten Der Richtlinien-Browser bietet diese zusätzlichen URL-Whitelists, die Sie konfigurieren können: •

Globale Einstellungen | Globale URL-Whitelist



Web-Reputation | Web Reputation URL Whitelist (Web-Reputation-URL-Whitelist)



Web-Anwendungsfilter | Web Application URL Whitelist (Web-Anwendungs-URL-Whitelist)

Benutzergruppen Wenn das Active Directory Ihres Unternehmens mit McAfee ePO Cloud synchronisiert ist, können Sie Ihre Active Directory-Gruppen hinzufügen, um Handlungen für jede Richtlinienregel zulassen und blockieren zu können. Beispielsweise können Sie der Aktion "Zulassen" für die Streaming-Regel im Bereich Web-Kategoriefilter eine Benutzergruppe namens "Führungskräfte" hinzufügen. Wenn Führungskräfte zugelassen werden sollen, aber niemand sonst, können Sie dies in einer Regel konfigurieren, anstatt eine weitere Richtlinie zu erstellen, wie es in der Control Console erforderlich wäre. Zu diesem Zweck können Sie die Aktion "Zulassen" für Führungskräfte verwenden und die Aktion "Blockieren" für alle anderen.

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

19

3

Richtlinienmigration Verwendung der Standardrichtlinienoptionen

Wenn ein Richtlinienkonfigurationsbereich erweitert wird, können Sie anzeigen lassen, welche Benutzergruppen für jede Regel in diesem Bereich zugelassen und blockiert werden sollen. Informationen zur Synchronisierung des Active Directory Ihres Unternehmens mit McAfee ePO Cloud finden Sie im McAfee ePO Orchestrator Cloud-Produkthandbuch.

Verwendung der Standardrichtlinienoptionen Sie können damit beginnen, die Standardrichtlinienoptionen zu verwenden, und sie dann graduell für Ihr Unternehmen anpassen. Wählen Sie in jedem Konfigurationsbereich die Standardrichtlinienoption aus, die am besten für die Bedürfnisse Ihres Unternehmens passt. Denken Sie daran: •

Pro Konfigurationsbereich ist stets nur eine Richtlinienoption gleichzeitig gültig.



Sie können die strenge Option für einen Konfigurationsbereich auswählen und die großzügige Option für einen anderen.

Migrieren von Richtlinienlisten Sie können Ihre Listen vertrauenswürdiger Sites und blockierter Sites aus der Control Console in CSV-Dateien exportieren und diese dann importieren, wenn Sie die neue Richtlinie in McAfee ePO Cloud konfigurieren. Richtlinienlisten beinhalten nicht die Liste von IP-Adressbereichen, die für die Konfiguration der IP-Bereichsauthentifizierung verwendet wird.

Die Migration von Richtlinienlisten erfordert diese allgemeinen Schritte. Eine erfolgreiche Migration beinhaltet das Formatieren der Richtlinienlisten für den neuen Dienst. Die Formatierung kann manuell in einem Text-Editor durchgeführt werden oder automatisch durch das Konvertierungstool von McAfee erfolgen. 1

Exportieren Sie diese Listen vertrauenswürdiger Sites in der Control Console in CSV-Dateien: •

Liste für Anti-Malware Bypass (Malware-Schutz-Umgehung)



Liste für Category Filter Bypass (Kategoriefilter-Umgehung)



Liste für Media Filter Bypass (Medienfilter-Umgehung)



Liste für SSL Scan Bypass (SSL-Scan-Umgehung)

2

Exportieren Sie die Liste Blocked Sites (Blockierte Sites) in der Control Console in eine CSV-Datei.

3

Formatieren Sie die CSV-Datei für den neuen Dienst.

4

Importieren Sie die CSV-Dateien über die McAfee ePO Cloud-Verwaltungskonsole. Eine Schrittanleitung finden Sie unter Importieren einer Liste von URLs im McAfee Web Gateway Cloud Service-Produkthandbuch.

Siehe auch Verwenden des Konvertierungstools bei der Migration von Richtlinienlisten auf Seite 23

20

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

Richtlinienmigration Migrieren von Richtlinienlisten

3

Formatierung von Richtlinienlisten für den neuen Dienst Bei der Migration von Richtlinienlisten von der Control Console in die McAfee ePO Cloud-Verwaltungskonsole müssen die Listen für den neuen Dienst formatiert werden. Vertrauenswürdige Sites und blockierte Sites werden von der Control Console in CSV-Dateien exportiert. Diese werden dann mithilfe der Verwaltungskonsole importiert. Bevor die Listen importiert werden können, müssen Sie so formatiert werden, dass sie den Anforderungen des neuen Dienstes entsprechen. Die Formatierung kann manuell in einem Text-Editor durchgeführt werden oder automatisch durch das Konvertierungstool von McAfee erfolgen. Richtlinienlisten bestehen aus Domänennamen und IP-Adressen. Das Konvertierungstool verifiziert, ob alle Listenelemente vollqualifizierten Domänennamen oder gültigen IPv4- oder IPv6-Adressen entsprechen.

Unterschiede zwischen älteren und neuen Richtlinienlisten In den CSV-Dateien sind ältere und neue Richtlinienlisten entsprechend der folgenden Aspekte unterschiedlich formatiert: •

Ältere Richtlinienlisten: Bestehen aus einer Spalte mit der Tabellenkopfzeile Host und Werten wie den nachfolgenden. "host" "adp.com" "216.58.194.142" "ebay.com" "etrade.com" "java.com" "2607:f8b0:4005:805::200e"



Neue Richtlinienlisten: Bestehen aus zwei Spalten mit der Tabellenkopfzeile URL,Subdomain(True/ False) und durch Kommas getrennten Werten wie den nachfolgenden. "URL","Subdomain(True/False)" "adp.com","True" "216.58.194.142","False" "ebay.com","True" "etrade.com","True" "java.com","True" "2607:f8b0:4005:805::200e","False" McAfee WGCS akzeptiert CSV-Dateien mit diesem zweispaltigen Format. Dabei ist es nicht entscheidend, ob die Werte in Anführungszeichen eingefasst sind oder nicht.

Formatierung einer neuen Richtlinienliste Beachten Sie bei der Formatierung einer neuen Richtlinienliste folgende Informationen: •

Tabellenkopfzeile: Die Tabellenkopfzeile ist optional. Wenn Sie eine Tabellenkopfzeile hinzufügen, aktivieren Sie das Kontrollkästchen Diese Datei enthält eine Kopfzeile im Dialogfeld Liste importieren.



URL-Spalte: Diese Spalte beinhaltet die Domänennamen oder IP-Adressen der vertrauenswürdigen oder blockierten Sites.

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

21

3

Richtlinienmigration Migrieren von Richtlinienlisten



Unterdomäne-Spalte: Diese True/False-Werte sind erforderlich und geben die nachfolgenden Spezifikationen an. Groß- und Kleinschreibung ist nicht von Bedeutung. •

True: Gibt an, dass alle Unterdomänen vom neuen Dienst als vertrauenswürdig eingestuft oder blockiert werden sollen. In der Control Console beinhalten Domänennamen immer die Unterdomänen. Wenn ältere Domänennamen-Einträge konvertiert werden, müssen Sie deshalb den Wert in der Spalte für Unterdomänen als "true" definieren.



False: Gibt an, dass nur der Domänenname vom neuen Dienst als vertrauenswürdig eingestuft oder blockiert werden soll. Wenn ältere IP-Adresseneinträge konvertiert werden, müssen Sie den Wert in der Spalte für Unterdomänen als "false" definieren.

Formatierung von Domänennamen für Richtlinienlisten Befolgen Sie diese Richtlinien bei der Formatierung von Domänennamen für URL-Whitelists und -Blacklists.

Formatierung von Domänennamen für URL-Listen McAfee WGCS unterstützt Domänennamen folgender Formate: •

host.domaene.tld/pfad



host.domaene.tld



domaene.tld/pfad



domaene.tld

host: Gibt den DNS-Namen des Hosts an. domaene: Gibt den Namen der Unterdomäne an. tld: Gibt die Top-Level-Domäne an. pfad: Gibt den Pfad zur Webressource an. McAfee WGCS zeigt automatisch den Pfad und sämtliche Unterpfade an. Ansonsten könnten Sie im Domänennamen auch einen Stern am Ende des Pfads hinzufügen: •

host.domaene.tld/pfad*



domaene.tld/pfad*

Da die Unterpfade stets mit angezeigt werden, ist das Hinzufügen eines Sterns überflüssig.

'Alle Unterdomänen'-Einstellung Mit dieser Einstellung wird festgelegt, ob McAfee WGCS Richtlinienregeln ausschließlich auf die Domäne oder auf die Domäne und sämtliche Unterdomänen anwendet. Sie können alle Unterdomänen wie folgt angeben: •

Wenn Sie einer URL-Liste eine URL hinzufügen möchten, wählen Sie in der Benutzeroberfläche Richtlinien-Browser das Kontrollkästchen Alle Unterdomänen aus.



Festlegen einer URL-Liste in einer CSV-Datei: Setzen Sie den Wert in der Spalte Subdomain(True/ False) [Unterdomäne (True/False)] auf True.

Das Angeben aller Unterdomänen hat denselben Effekt, wie "*." am Anfang eines jeden Domänennamens hinzuzufügen:

22



*.host.domaene.tld/pfad



*.host.domaene.tld

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

Richtlinienmigration Migrieren von Richtlinienlisten



*.domaene.tld/pfad



*.domaene.tld

3

Vorteile des Konvertierungstools Das Konvertierungstool vereinfacht die Migration Ihrer Richtlinienlisten von der Control Console in die McAfee ePO Cloud-Verwaltungskonsole. Anstatt die einzelnen Richtlinienlisten manuell in einem Text-Editor zu formatieren, können Sie mit dem Konvertierungstool von McAfee automatisch eine oder mehrere Listen für den neuen Dienst formatieren lassen. Das Konvertierungstool bietet folgende Vorteile: •

Formatierung: Das Konvertierungstool formatiert die exportierten CSV-Dateien, sodass die Richtlinienlisten den Formatanforderungen des neuen Dienstes entsprechen.



Zusammenführung mehrerer Listen: Mit dem Konvertierungstool können ganz leicht zwei oder mehr Listen zusammengeführt werden. Bei der Zusammenführung werden doppelte Einträge entfernt.



Validierung: Das Konvertierungstool verifiziert, ob alle Listenelemente vollqualifizierten Domänennamen oder gültigen IPv4- oder IPv6-Adressen entsprechen.

Zusammenführung von Richtlinienlisten: ein Beispiel Möglicherweise ist es Ihnen ein Anliegen, Ihre Richtlinienlisten zu konsolidieren, wenn Sie sie von der Control Console in die Verwaltungskonsole migrieren. Beispielsweise können Sie unter Einbeziehung all Ihrer Richtlinien die Liste vertrauenswürdiger Sites auf der Registerkarte Kategorie in der Control Console in einer URL-Whitelist konsolidieren. Dann können Sie die konsolidierte Liste in der Verwaltungskonsole als Web Category URL Whitelist (Web-Kategorie-URL-Whitelist) importieren.

Verwenden des Konvertierungstools bei der Migration von Richtlinienlisten Verwenden Sie das Konvertierungstool zum Formatieren, Validieren und optionalen Zusammenführen von Richtlinienlisten für den neuen Dienst. Bevor Sie beginnen Exportieren Sie in der Control Console alle Richtlinienlisten, die Sie importieren möchten, mit der McAfee ePO Cloud-Verwaltungskonsole in CSV-Dateien. Speichern Sie die CSV-Dateien in einem leicht zugänglichen Ordner.

Vorgehensweise 1

Klicken Sie auf den folgenden Link, um das Konvertierungstool zu öffnen: contentsecurity.mcafee.com/migration-tools

2

Scrollen Sie nach unten, klicken Sie auf Browse (Durchsuchen), und navigieren Sie zum Ordner mit den CSV-Dateien, deren Format Sie konvertieren möchten.

3

Wählen Sie eine oder mehrere Dateien aus, die konvertiert werden sollen, und klicken Sie auf Open (Öffnen). Haben Sie mehrere Dateien ausgewählt, werden diese vom Konvertierungstool zusammengeführt. Hierbei werden doppelte Einträge entfernt.

4

Klicken Sie im Konvertierungstool auf Convert Files (Dateien konvertieren).

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

23

3

Richtlinienmigration Sortieren von Listen vertrauenswürdiger Sites

5

Klicken Sie im Dialogfeld Opening migrated-list.csv (migrated-list.csv öffnen) auf Save File (Datei speichern).

6

Geben Sie einen aussagekräftigen Namen ein, und klicken Sie auf Save (Speichern). Die CSV-Datei wird mit einer neuen Tabellenkopfzeile in einem zweispaltigen Format gespeichert.

Sortieren von Listen vertrauenswürdiger Sites Sortieren Sie Ihre Listen vertrauenswürdiger Sites entsprechend der URL-Whitelists, die Sie im Richtlinien-Browser konfiguriert haben möchten. Erstellen Sie aus diesen Listen CSV-Dateien, und importieren Sie sie in den Richtlinien-Browser. Der Richtlinien-Browser ist auf die Konfiguration und Verwaltung einer geringeren Anzahl von URL-Whitelists ausgelegt. Man beginnt mit der Konfiguration einer URL-Whitelist für jeden Konfigurationsbereich und jede Richtlinienoption, die man verwenden möchte. Beispielsweise möchten Sie möglicherweise für den Bereich Web-Reputation eine URL-Whitelist für die strenge Richtlinienoption und eine weitere für die großzügige Option konfigurieren. Der Richtlinien-Browser ist von Haus aus mit URL-Whitelist-Regeln für die folgenden Konfigurationsbereiche und Richtlinienoptionen konfiguriert. Die Whitelists sind leer und bereit zur Konfiguration. Sie können so viele zusätzliche URL-Whitelist-Regeln erstellen und konfigurieren, wie Sie möchten. Eine Ausnahme bildet hier jedoch der Bereich Web-Reputation. •

Globale URL-Whitelist



Web-Anwendung, streng



Web-Reputation, streng



Web-Anwendung, eingeschränkt



Web-Reputation, großzügig



Web-Anwendung, großzügig



Malware-Schutz, standardmäßig



Medientyp, streng



Web-Kategorie, streng



Medientyp, eingeschränkt



Web-Kategorie, eingeschränkt



Medientyp, großzügig



Web-Kategorie, großzügig



SSL-Scanner, standardmäßig



Web-Kategorie, sehr großzügig

Das Organisieren vertrauenswürdiger Sites in Listen für den Richtlinien-Browser erfordert einen anderen Blickwinkel auf die Richtlinienlisten. Anders als beim Konfigurieren vertrauenswürdiger Sites für jede Benutzergruppe, stehen hier der Konfigurationsbereich und die Richtlinienoption im Mittelpunkt. Zum Beispiel: Welche URLs sollen den Web-Reputation-Filter umgehen, wenn: ... die strenge Richtlinienoption ausgewählt wurde? ... die großzügige Richtlinienoption ausgewählt wurde?

Migrieren der Einstellungen zum Zulassen und Verweigern Sie müssen für die Bereiche Web-Kategorie, Web-Anwendung und Medientyp nicht viele separate Regeln festlegen. Sie können einfach damit beginnen, eine Regel für jeden Bereich und jede Richtlinienoption festzulegen, den bzw. die Sie verwenden möchten. Später können Sie weitere Regeln hinzufügen und diese verfeinern. Im folgenden Beispiel werden die Einstellungen in der Control Console auf der Registerkarte Kategorie im Bereich Web-Kategoriefilter im Richtlinien-Browser konfiguriert.

24

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

Richtlinienmigration Migrieren der Einstellungen zum Zulassen und Verweigern

3

Sie können die Kategorien in der Control Console anzeigen lassen, indem Sie die Registerkarte Kategorie auswählen und dann auf Expand All (Alle einblenden) klicken. Die Kategorien, wie zum Beispiel Business/ Services (Business/Dienstleistungen) und Drogen, sind die Namen von Listen und Regeln im Richtlinien-Browser. Erstellen Sie im Richtlinien-Browser eine Liste und Regel für alle Kategorien, die Sie blockieren möchten. Konfigurieren Sie die Regel mit der Aktion Blockieren. Obwohl diese Regel auf Ihr ganzes Unternehmen angewendet ist, können Sie auch Ausnahmen hinzufügen. Führen Sie im Richtlinien-Browser folgende Schritte durch: 1

Blenden Sie den Bereich Web-Kategoriefilter ein, wählen Sie eine Richtlinienoption aus, und klicken Sie auf eine Regel.

2

Klicken Sie auf das Richtlinien-Browser-Menüsymbol.

3

Wählen Sie aus der Dropdown-Liste Neue Web-Kategorieregel aus.

4

Klicken Sie auf das Katalog-Menüsymbol und dann auf Neue Liste.

5

Geben Sie einen Namen für die Liste ein. Verwenden Sie dann das Feld Suchen, um die Kategorien zu lokalisieren, die Sie blockieren möchten, und fügen Sie sie hinzu.

6

Klicken Sie auf Speichern. Die neue Liste wird zur Liste der Web-Kategorien hinzugefügt.

7

Wählen Sie die neue Liste aus, und fügen Sie sie zum Fenster Regeldetails hinzu.

8

Klicken Sie im Fenster Regeldetails auf das Bearbeitungssymbol, legen Sie als die primäre Regelaktion Blockieren fest, und klicken Sie dann auf Speichern. Die neue Liste wird standardmäßig dem Bereich Web-Kategoriefilter hinzugefügt.

9

Optional können Sie eine oder mehrere Benutzergruppen hinzufügen, denen der Zugriff auf die blockierten Web-Kategorien gestattet ist.

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

25

3

Richtlinienmigration Migrieren der Einstellungen zum Zulassen und Verweigern

26

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

4

Konfigurieren der Authentifizierung

Wir geben für jede Authentifizierungsmethode ein Beispiel mit Konfigurationsschritten an, das Sie für die graduelle Einführung der neuen Richtlinie nachvollziehen können. Inhalt Unterstützte Authentifizierungsmethoden Es hängt von der Authentifizierungsmethode ab, wann die neue Richtlinie anwendet wird Einführen der neuen Richtlinie mit Client Proxy-Authentifizierung Einführung der neuen Richtlinie mit IP-Bereichsauthentifizierung Einführung der neuen Richtlinie mit SAML-Authentifizierung

Unterstützte Authentifizierungsmethoden Die folgende Tabelle zeigt, welche Authentifizierungsmethoden in der McAfee ePO Cloud-Verwaltungskonsole unterstützt werden und wo sie konfiguriert werden. Tabelle 4-1 Unterstützte Authentifizierungsmethoden Authentifizierungsmethode Unterstützt in Control Console

Unterstützt in McAfee ePO Cloud

Bei entsprechender Konfiguration in McAfee ePO Cloud

Client Proxy

Ja

Ja

Richtlinie | Richtlinienkatalog

IP-Adressbereich

Ja

Ja

SAML 2.0

Nein

Ja

Web Protection | Authentifizierungseinstellungen

Expliziter Benutzer

Ja

Nein

N. zutr.

Wenn Sie in der Control Console explizite Benutzerauthentifizierung verwenden, müssen Sie eine weitere Authentifizierungsmethode in McAfee ePO Cloud konfigurieren. Neben Client Proxy und der IP-Adressbereichsauthentifizierung haben Sie die Option, SAML 2.0-Authentifizierung zu konfigurieren.

Es hängt von der Authentifizierungsmethode ab, wann die neue Richtlinie anwendet wird Die neue Richtlinie wird angewendet, wenn das Authentifizierungsergebnis die neue Kunden-ID beinhaltet. Der Cloud-Back-End-Dienst verarbeitet Endbenutzer-Anfragen wie folgt:

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

27

4

Konfigurieren der Authentifizierung Einführen der neuen Richtlinie mit Client Proxy-Authentifizierung

1

Der Dienst authentifiziert den Benutzer und identifiziert den Kunden durch den Authentifizierungsprozess.

2

Wenn die Kunden-ID Ihrer alten ID entspricht, wendet der Dienst Ihre älteren Richtlinien an. Wenn die Kunden-ID Ihrer neuen ID entspricht, wendet der Dienst die neue Richtlinie an.

Es hängt von der Authentifizierungsmethode ab, wann die neue Richtlinie anwendet wird. Aus diesem Grund empfehlen wir einen anderen Migrationspfad für jede Methode. Authentifizierungsmethode Die neue Richtlinie wird angewendet, wenn... IP-Bereich

... einer oder mehrere IP-Adressbereiche in McAfee ePO Cloud konfiguriert wurden und ein Endbenutzer eine Web-Anfrage aus einem der konfigurierten Bereiche sendet.

SAML 2.0

... SAML-Authentifizierung konfiguriert wurde und ein Endbenutzer eine Web-Anfrage an den neuen SAML-Dienstport 8084 sendet.

Client Proxy

1 Das freigegebene Kennwort wird in McAfee ePO oder McAfee ePO Cloud zurückgesetzt. 2 Die neue Client Proxy-Richtlinie wird den Client-Computern in Ihrem Unternehmen bereitgestellt. 3 Ein Endbenutzer sendet eine Web-Anfrage von einem dieser Computer.

Einführen der neuen Richtlinie mit Client ProxyAuthentifizierung Sie können die neue Richtlinie graduell einführen, wenn Sie die Client Proxy-Authentifizierung konfigurieren. In diesem Kapitel wird die neue Richtlinie als die „neue Cloud-Richtlinie“ bezeichnet, um sie von der Client Proxy-Richtlinie abzusetzen.

Konfigurieren der Client Proxy-Authentifizierung Der neue Dienst unterstützt Client Proxy-Bereitstellung mithilfe von McAfee ePO (lokal) oder McAfee ePO Cloud.

28

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

4

Konfigurieren der Authentifizierung Einführen der neuen Richtlinie mit Client Proxy-Authentifizierung

Von Ihnen genutzte Authentifizierung

Ihre Möglichkeiten

Explizite Authentifizierung, konfiguriert in der Control Console

Erstellen einer komplett neuen Client Proxy-Richtlinie mithilfe von McAfee ePO oder McAfee ePO Cloud

Client Proxy-Authentifizierung, konfiguriert in der Control Console

Konfigurieren der Client Proxy-Richtlinie mithilfe von McAfee ePO oder McAfee ePO Cloud

Client Proxy-Authentifizierung, konfiguriert in McAfee ePO

Konfigurieren der Client Proxy-Richtlinie mithilfe von McAfee ePO oder McAfee ePO Cloud Wenn Sie McAfee ePO verwenden, ist es wichtig, dass Sie die folgenden Einstellungen in Ihrer vorhandenen Richtlinie aktualisieren:

• Proxy Servers (Proxy-Server): Fügen Sie Ihren kundenspezifischen Proxy an der Spitze der Liste hinzu. • Unique Customer ID (Eindeutige Kunden-ID): Geben Sie Ihre neue Kunden-ID an. • Freigegebenes Kennwort: Setzen Sie Ihr freigegebenes Kennwort zurück.

Anwendung der neuen Cloud-Richtlinie Wenn die Client Proxy-Software Web-Anfragen von Endbenutzern an den Cloud-Dienst sendet, enthalten diese Anfragen die Kunden-ID. Wenn die Kunden-ID der neuen ID entspricht, wendet der Cloud-Dienst die neue Cloud-Richtlinie an.

Bewährte Methode: Graduelles Einführen der neuen Cloud-Richtlinie 1

Öffnen Sie die Verwaltungskonsole von McAfee ePO oder McAfee ePO Cloud.

2

Wählen Sie im Hauptmenü Richtlinie | Richtlinienkatalog aus.

3

Konfigurieren und speichern Sie die Client Proxy-Richtlinie im Richtlinienkatalog.

4

Wählen Sie im Hauptmenü Systeme | Systemstruktur aus.

5

Wählen Sie in der Systemstruktur eine oder mehrere Gruppen in Ihrem Unternehmen aus, an denen die neue Cloud-Richtlinie getestet werden soll. Bei Bedarf können Sie eine Testgruppe für diesen Zweck erstellen.

6

Weisen Sie die Richtlinie auf der Registerkarte Zugewiesene Richtlinien den ausgewählten Gruppen zu.

7

Planen Sie auf der Registerkarte Zugewiesene Client-Tasks die Bereitstellung der Richtlinie. Es kann einige Zeit dauern, bis die Richtlinie bereitgestellt und das Kennwort für den Cloud-Dienst freigegeben wird. Informationen darüber, wie lange Sie warten sollten, finden Sie im Kapitel Erste Schritte unter Konfigurieren von Umleitungen mit Client Proxy.

8

Wenn die neue Cloud-Richtlinie wie von Ihnen gewünscht funktioniert, können Sie die Client Proxy-Richtlinie in Ihrem gesamten Unternehmen einführen.

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

29

4

Konfigurieren der Authentifizierung Einführung der neuen Richtlinie mit IP-Bereichsauthentifizierung

Einführung der neuen Richtlinie mit IPBereichsauthentifizierung Sie können die neue Richtlinie bei der Konfiguration der IP-Bereichsauthentifizierung graduell einführen. IP-Adressbereiche werden in einer Datenbank gespeichert und können nur von einem Kunden genutzt werden. Sowohl als existierender Kunde mit einer ID als auch als neuer Kunde mit einer anderen ID müssen Sie die IP-Bereiche, die Sie nutzen möchten, aus der Control Console in die Verwaltungskonsole migrieren. Bevor Sie der Konfiguration in der Verwaltungskonsole einen IP-Bereich hinzufügen können, müssen Sie ihn aus der Konfiguration in der Control Console entfernen. Wenn Sie der neuen Liste in der Verwaltungskonsole einen IP-Bereich hinzufügen, wendet der Cloud-Dienst die neue Richtlinie auf alle Anfragen an, die aus diesem IP-Bereich kommen. Da IP-Bereiche im Cache gespeichert werden, können anstatt der neuen Richtlinie für bis zu 24 Stunden nach der Umstellung noch Ihre älteren Richtlinien angewandt werden.

Bewährte Methode: Graduelles Einführen der neuen Richtlinie Führen Sie die neue Richtlinie graduell ein, wenn Sie die IP-Bereichsauthentifizierung in der Verwaltungskonsole konfigurieren. Die folgenden Schritte können Sie als Beispiel nehmen. 1

Bereiten Sie die Konfiguration der neuen Richtlinie vor: a

Exportieren Sie Ihre Richtlinienlisten in der Control Console in CSV-Dateien.

b

Importieren Sie Ihre Listen in der Verwaltungskonsole aus den CSV-Dateien. Importieren Sie Ihre Liste von IP-Adressbereichen zu diesem Zeitpunkt noch nicht.

2

Konfigurieren Sie die neue Richtlinie.

3

Bereiten Sie einen Test der neuen Richtlinie mit einem IP-Adressbereich vor: a

Entfernen Sie in der Control Console den IP-Adressbereich, den Sie testen möchten, aus der Liste konfigurierter Bereiche.

b

Fügen Sie diesen IP-Adressbereich in der Verwaltungskonsole der IP-Bereichsliste hinzu.

4

Testen Sie die neue Richtlinie mit einem IP-Adressbereich.

5

Migrieren Sie zum Testen der neuen Richtlinie mit zusätzlichen Standorten die entsprechenden IP-Adressbereiche aus der Control Console in die Verwaltungskonsole.

6

Wenn die neue Richtlinie so funktioniert wie vorgesehen, können Sie alle verbleibenden IP-Adressbereiche aus der Control Console in die Verwaltungskonsole migrieren. Die neue Richtlinie wird nun in Ihrem gesamten Unternehmen angewendet.

Einführung der neuen Richtlinie mit SAML-Authentifizierung Sie können die neue Richtlinie bei der Konfiguration der SAML-Authentifizierung graduell einführen.

Allgemeine SAML-Konfigurations-Tasks SAML-Authentifizierung erfordert die folgenden allgemeinen Konfigurations-Tasks:

30

1

Konfigurieren Sie die SAML-Authentifizierung in Ihrem Identitätsprovider

2

Konfigurieren Sie die SAML-Authentifizierung in McAfee ePO Cloud.

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

Konfigurieren der Authentifizierung Einführung der neuen Richtlinie mit SAML-Authentifizierung

3

Konfigurieren Sie SSL-Scans in McAfee ePO Cloud.

4

Konfigurieren Sie die Proxy-Server-Einstellung in den Browsern der Client-Computer in Ihrem Unternehmen wie folgt:

4

c.saasprotection.com:8084 Dabei gilt: Kunden_ID: Spezifiziert Ihre Kunden-ID. saasprotection.com: Spezifiziert den Domänennamen des neuen Cloud-Dienstes. 8084: Spezifiziert die Port-Nummer des Cloud-SAML-Dienstes. Aktualisieren Sie die Proxy-Server-Einstellung in den Client-Browsern nicht, bevor Sie bereit für einen Testlauf und die Einführung der neuen Richtlinie sind.

Anwendung der neuen Richtlinie Wenn Sie die SAML-Authentifizierung in der McAfee ePO Cloud-Verwaltungskonsole konfigurieren, spezifizieren Sie die Domänennamen, die Ihr Unternehmen identifizieren. Zur Identifizierung des Kunden extrahiert der SAML-Dienst den Domänennamen von der E-Mail-Adresse des Endbenutzers und vergleicht ihn mit den von Ihnen angegebenen Namen. Wenn eine Übereinstimmung besteht, wendet der Dienst die neue Richtlinie an.

Bewährte Methode: Graduelles Einführen der neuen Richtlinie Nach Fertigstellung der Konfigurations-Tasks 1–3 können Sie die neue Richtlinie testen und einführen. Aktualisieren Sie die Proxy-Server-Einstellung für den SAML-Dienst in einer begrenzten Anzahl von Client-Browsern, um die Richtlinie graduell einzuführen. Testen Sie die neue Richtlinie zunächst mit diesen Client-Computern. Aktualisieren Sie weiter die Proxy-Server-Einstellung in Ihren Client-Browsern, und testen Sie die neue Richtlinie, bis sie wie gewünscht funktioniert. Sobald die Proxy-Server-Einstellung in allen Client-Browsern aktualisiert wurde, ist die neue Richtlinie auf Ihr gesamtes Unternehmen angewendet.

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

31

4

Konfigurieren der Authentifizierung Einführung der neuen Richtlinie mit SAML-Authentifizierung

32

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

5

Migration einer Hybridbereitstellung

Beachten Sie bei der Migration einer Hybridbereitstellung folgende Informationen. Inhalt Was ist eine Hybridbereitstellung? Erste Schritte einer Hybridbereitstellung Migrations-Tasks für eine Hybridbereitstellung

Was ist eine Hybridbereitstellung? Bei einer Hybridbereitstellung werden Web Gateway und McAfee WGCS gleichzeitig bereitgestellt. Die Web-Schutzrichtlinie wird in der Web Gateway-Benutzerschnittstelle konfiguriert und in den von Ihnen festgelegten Synchronisierungsintervallen per Push an McAfee WGCS übertragen. Zusammen schützen die lokalen und Cloud-basierten Komponenten der Hybridlösung Ihr Unternehmen vor Gefahren, die auftreten können, wenn Benutzer von innerhalb oder außerhalb Ihres Netzwerks auf das Web zugreifen. Andere Komponenten einer Hybridbereitstellung sind unter anderem: •

Client Proxy: Diese Software erkennt – wenn Sie am Endpunkt installiert ist – den Standort des Endbenutzers. Nach folgenden Kriterien leitet sie den Netzwerkverkehr um oder lässt ihn passieren: •

Benutzer arbeiten innerhalb des Netzwerks oder sind via VPN mit dem Netzwerk verbunden: Client Proxy leitet den Netzwerkverkehr zur Filterung an Web Gateway.



Benutzer arbeiten außerhalb des Netzwerks: Client Proxy leitet den Netzwerkverkehr zur Filterung an McAfee WGCS.



McAfee ePO: Nutzen Sie diese Verwaltungsplattform zur Verwaltung von Client Proxy, wenn die Software auf Ihrem Netzwerk installiert ist.



McAfee ePO Cloud: Verwenden Sie diese Verwaltungsplattform zur Verwaltung von McAfee WGCS und Cloud-basierten Instanzen von Client Proxy.

Erste Schritte einer Hybridbereitstellung Zu Beginn der Hybridbereitstellung benötigen Sie Ihre McAfee ePO Cloud-Anmeldeinformationen und Ihre Kunden-ID. Die ersten Schritte sind hier dieselben wie für eine reine Cloud-Bereitstellung. Wenn Sie sich das erste Mal bei McAfee ePO Cloud anmelden, erstellen Sie ein Konto. Geben Sie als E-Mail-Adresse und Kennwort Ihre Anmeldeinformationen für McAfee ePO Cloud ein. Heben Sie diese zur späteren Verwendung auf.

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

33

5

Migration einer Hybridbereitstellung Migrations-Tasks für eine Hybridbereitstellung

Ihre Kunden-ID finden Sie auf der Web Protection-Begrüßungsseite. Heben Sie sie für spätere Verwendungszwecke auf. Weitere Informationen finden Sie im Kapitel Erste Schritte.

Migrations-Tasks für eine Hybridbereitstellung Erstellen Sie eine Client Proxy-Richtlinie für den neuen Dienst, konfigurieren Sie eine Hybridbereitstellung in einer Vorproduktionsumgebung, testen Sie die Hybridkonfiguration, und führen Sie sie dann in der Produktionsumgebung ein. Für diese Migrations-Tasks wird davon ausgegangen, dass Sie Client Proxy mit McAfee ePO verwalten. Informationen zur Verwaltung von Client Proxy ausschließlich mit McAfee ePO Cloud finden Sie im Kapitel Erste Schritte. Die folgenden Tasks bereiten die Synchronisierung der Hybridkomponenten vor: Web Gateway, McAfee WGCS, Client Proxy, McAfee ePO und McAfee ePO Cloud. 1

Mit der McAfee ePO Cloud-Verwaltungskonsole: Erstellen Sie eine Client Proxy-Richtlinie für den neuen Dienst. Exportieren Sie die Anmeldeinformationen in eine XML-Datei. Speichern Sie diese Datei für den Import bei der Erstellung der Client Proxy-Richtlinie mithilfe von McAfee ePO.

2

Richten Sie eine Instanz von Web Gateway in einer Vorproduktionsumgebung mit einer Produktionskonfiguration ein. Konfigurieren Sie die Hybrideinstellungen. Übertragen Sie die Web Gateway-Richtlinie dann manuell per Push an McAfee WGCS. Als Resultat wird Web Gateway mit McAfee WGCS synchronisiert.

3

Mit der McAfee ePO-Verwaltungskonsole: Erstellen Sie eine Client Proxy-Richtlinie für den neuen Dienst. Importieren Sie die Anmeldeinformationen aus der XML-Datei, die Sie zuvor gespeichert haben. Dieser Task erlaubt die Synchronisierung von auf Ihrem System installierter Client Proxy-Software mit McAfee WGCS und McAfee ePO Cloud.

4

Testen Sie die Hybridkonfiguration in Ihrer Vorproduktionsumgebung, und führen Sie sie dann in der Produktionsumgebung ein.

Erstellen einer Client Proxy-Richtlinie mithilfe von McAfee ePO Cloud Erstellen Sie in der McAfee ePO Cloud-Verwaltungskonsole eine Client Proxy-Richtlinie für den neuen Dienst. Erstellen Sie die Richtlinie mit einem neuen freigegebenen Kennwort, und exportieren Sie Ihre Client Proxy-Anmeldeinformationen in eine XML-Datei. Diese Datei enthält das freigegebene Kennwort und Ihre Kunden-ID. Wenn Sie später die Richtlinie mithilfe von McAfee ePO konfigurieren, können Sie Ihre Anmeldeinformationen aus der Datei importieren. Weitere Informationen finden Sie im McAfee Client Proxy Product Guide for McAfee ePolicy Orchestrator Cloud (McAfee Client Proxy-Produkthandbuch für McAfee ePolicy Orchestrator Cloud). Vorgehensweise

34

1

Wählen Sie im Menü McAfee ePO Cloud die Optionen Richtlinie | Richtlinienkatalog aus.

2

Wählen Sie aus der Dropdown-Liste Produkt die aktuelle Version von McAfee Client Proxy aus.

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

5

Migration einer Hybridbereitstellung Migrations-Tasks für eine Hybridbereitstellung

3

Wenn Sie eine Richtlinie erstellen möchten, duplizieren Sie die McAfee Default-Richtlinie, geben Sie einen Namen für die neue Richtlinie ein, und klicken Sie dann auf OK. Die Richtlinie wird nun der Richtlinienliste hinzugefügt.

4

Klicken Sie auf den Namen der Richtlinie in der Richtlinienliste, um sie für den neuen Dienst zu konfigurieren. Die Client Proxy-Einstellungen werden angezeigt.

5

Geben Sie im Fenster Proxy Servers (Proxy-Server) als Proxy Server Address (Proxy-Serveradresse) den kundenspezifischen Proxy von der Web Protection-Begrüßungsseite an.

6

Geben Sie im Fenster Client Configuration (Client-Konfiguration) für Freigegebenes Kennwort einen neuen Wert an.

7

Exportieren Sie Ihre Kunden-Anmeldeinformationen in eine XML-Datei, und speichern Sie die Datei für den späteren Gebrauch.

8

Konfigurieren Sie andere Einstellungen nach Bedarf, und speichern Sie die Richtlinie.

Einrichten von Web Gateway in einer Vorproduktionsumgebung Konfigurieren Sie nach dem Einrichten einer Web Gateway-Instanz in einer Vorproduktionsumgebung mit Produktionskonfiguration die Hybrideinstellungen. Übertragen Sie die Web Gateway-Richtlinie dann manuell per Push an McAfee WGCS. Bevor Sie beginnen Nutzen Sie die Sicherungs- und Wiederherstellungsfunktion von Web Gateway, sichern Sie die Produktionskonfiguration in eine Datei, und stellen Sie sie in der Vorproduktionsinstanz wieder her. Stellen Sie bei der Wiederherstellung der Konfiguration lediglich die Richtlinie wieder her. Sie finden diese Funktion unter Fehlerbehebung, Sichern/Wiederherstellen unter dem Namen der Appliance. Wenn Web Gateway und McAfee WGCS mithilfe einer Hybridkonfiguration bereitgestellt werden, wird die Web-Schutzrichtlinie mithilfe von Web Gateway konfiguriert. Die Richtlinie wird dann in den angegebenen Synchronisierungsintervallen per Push in die Cloud übertragen. Zu Test- und Validierungszwecken wird die Richtlinie manuell per Push in die Cloud übertragen. Weitere Informationen finden Sie im Kapitel Hybridlösung im McAfee Web Gateway-Produkthandbuch. Vorgehensweise 1

Öffnen Sie in der Vorproduktionsumgebung die Web Gateway-Benutzerschnittstelle, und wählen Sie dann Konfiguration | Cluster | Web Hybrid aus. Das Fenster Web Hybrid-Konfiguration öffnet sich.

2

Aktivieren Sie Hybridsynchronisierung, und konfigurieren Sie die Hybrideinstellungen, indem Sie das Kontrollkästchen Richtlinie mit SaaS synchronisieren auswählen.

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

35

5

Migration einer Hybridbereitstellung Migrations-Tasks für eine Hybridbereitstellung

3

Konfigurieren Sie diese Hybrideinstellungen mit Ihren McAfee ePO Cloud-Anmeldeinformationen und Ihrer McAfee WGCS-Kunden-ID. •

SaaS-Adresse: Legt die Adresse fest, die Web Gateway zur Kommunikation mit McAfee WGCS verwendet. Wert: https://msg.mcafeesaas.com:443

4



SaaS-Administratorkonto-Name: Spezifiziert Ihren McAfee ePO Cloud-Benutzernamen.



SaaS-Administratorkonto-Kennwort: Spezifiziert Ihr McAfee ePO Cloud-Kennwort.



SaaS-Kunden-ID Gibt Ihre McAfee WGCS-Kunden-ID an.

Aktualisieren Sie bei Bedarf die für die Cloud aktivierten Regelsätze. Wählen Sie zum Aufrufen dieser Einstellungen Richtlinie | Regelsätze aus.

5

Konfigurieren Sie andere Einstellungen nach Bedarf, und speichern Sie die Richtlinie.

6

Übertragen Sie die Richtlinie manuell per Push an McAfee WGCS. Sie finden diese Funktion unter Fehlerbehebung, SaaS Synchronization (SaaS-Synchronisierung) unter dem Namen der Appliance. Klicken Sie im Fenster SaaS Synchronization (SaaS-Synchronisierung) auf Synchronisieren. Sie können die Synchronisation von McAfee WGCS mit Web Gateway verifizieren. Wählen Sie im Menü McAfee ePO Cloud die Optionen Einheitliche Sicherheitsrichtlinie | Richtlinienverwaltung aus. Der Richtlinien-Browser öffnet sich mit der Nachricht Richtlinie nicht verfügbar, die Informationen zur Hybridsynchronisierung anzeigt.

Erstellen Sie mithilfe von McAfee ePO eine Client ProxyRichtlinie. Erstellen Sie in der McAfee ePO-Verwaltungskonsole eine Client Proxy-Richtlinie für den neuen Dienst. Zur Konfiguration der Optionen Unique Customer ID (Eindeutige Kunden-ID) und Freigegebenes Kennwort importieren Sie die XML-Datei mit den Anmeldeinformationen, die Sie aus McAfee ePO Cloud exportiert haben. Weitere Informationen finden Sie im McAfee Client Proxy Product Guide for McAfee ePolicy Orchestrator (McAfee Client Proxy-Produkthandbuch für McAfee ePolicy Orchestrator). Vorgehensweise 1

Wählen Sie im Menü McAfee ePO die Optionen Richtlinie | Richtlinienkatalog aus.

2

Wählen Sie aus der Dropdown-Liste Produkt die aktuelle Version von McAfee Client Proxy aus.

3

Wenn Sie eine Richtlinie erstellen möchten, duplizieren Sie die McAfee Default-Richtlinie, geben Sie einen Namen für die neue Richtlinie ein, und klicken Sie dann auf OK. Die Richtlinie wird nun der Richtlinienliste hinzugefügt.

4

Klicken Sie auf den Namen der Richtlinie in der Richtlinienliste, um sie für den neuen Dienst zu konfigurieren. Die Client Proxy-Einstellungen werden angezeigt.

5

36

Geben Sie im Fenster Proxy Servers (Proxy-Server) als Proxy Server Address (Proxy-Serveradresse) den kundenspezifischen Proxy von der Begrüßungsseite an.

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

Migration einer Hybridbereitstellung Migrations-Tasks für eine Hybridbereitstellung

6

Importieren Sie im Fenster Client Configuration (Client-Konfiguration) die XML-Datei, die Sie aus McAfee ePO Cloud exportiert haben. Diese Datei enthält Ihre Kunden-ID und Ihr freigegebenes Kennwort.

7

Konfigurieren Sie andere Einstellungen nach Bedarf, und speichern Sie die Richtlinie.

5

Test und Einführung der Hybridkonfiguration Nachdem Sie die Hybridkonfiguration in einer Vorproduktionsumgebung getestet haben, können Sie sie in Ihrer Produktionsumgebung einführen. Nachdem Sie eine Hybridkonfiguration eingerichtet haben, stellen Sie sie bereit, indem Sie die neue Client Proxy-Richtlinie dem Endpunkt zuweisen. Der Endpunkt kann aus einigen Endbenutzer-Computern in einer Vorproduktionsumgebung bestehen oder aus allen Endbenutzer-Computern Ihres Unternehmens in einer Produktionsumgebung. Planen Sie genug Zeit für die Aktualisierung der Richtlinie am Endpunkt und die Freigabe des Kennworts an McAfee WGCS ein. Nachdem diese Schritte abgeschlossen wurden, ist die neue Cloud-Richtlinie angewendet. Das freigegebene Kennwort muss mit McAfee WGCS synchronisiert werden. Andernfalls schlägt die Authentifizierung fehl. Weitere Informationen finden Sie im Kapitel Erste Schritte unter Konfigurieren von Umleitungen mit Client Proxy.

Testen der Hybridkonfiguration in einer Vorproduktionsumgebung Stellen Sie die Hybridkonfiguration in einer Vorproduktionsumgebung bereit. 1

Weisen Sie die neue Client Proxy-Richtlinie mithilfe von McAfee ePO den Endpunkt-Computern zu, die Sie für das Testen der Hybridkonfiguration verwenden.

2

Wenn ein Endbenutzer eine Web-Anfrage von einem dieser Computer versendet, wird die neue Client Proxy-Richtlinie angewendet.

3

Wenn die Web-Anfrage von einem Computer außerhalb des Netzwerks kommt, leitet Client Proxy die Anfrage an McAfee WGCS weiter.

4

Da die Anfrage Ihre neue Kunden-ID mit einschließt, wendet der Cloud-Dienst die neue Cloud-Richtlinie an.

Einführen der Hybridkonfiguration in der Produktionsumgebung Nach Abschluss der Testphase führen Sie die Hybridkonfiguration in der Produktionsumgebung ein. 1

Deaktivieren Sie die Hybridsynchronisierung in der Vorproduktionsumgebung. Diese Einstellung befindet sich in der Web Gateway-Benutzerschnittstelle.

2

Aktivieren Sie in der Produktionsumgebung die Hybridsynchronisierung, und konfigurieren Sie die Hybrideinstellungen. Diese Einstellungen befinden sich in der Web Gateway-Benutzerschnittstelle.

3

Weisen Sie die neue Client Proxy-Richtlinie mithilfe von McAfee ePO den Endpunkt-Computern in Ihrem Unternehmen zu.

Die neuen Client Proxy- und Cloud-Richtlinien werden in Ihrem ganzen Unternehmen angewendet.

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

37

5

Migration einer Hybridbereitstellung Migrations-Tasks für eine Hybridbereitstellung

38

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

Index

E

-Benutzergruppen, zu Regelaktionen hinzufügen 19 'Alle Unterdomänen'-Einstellung 22

Einstellungen zum Zulassen und Verweigern, migrieren 24

A

F

Active Directory 19 Authentifizierungsmethoden Client Proxy 28 IP-Bereich 30 SAML 30 Unterstützte 27

Freigegebenes Kennwort Ändern 13

G Geolocation-Präfix, Verwenden 11

H

B Begrüßungsseite 12 Benutzerschnittstelle zur Richtlinienverwaltung 17 Benutzerschnittstelle, neu 8 Berichte 8 Bewährte Methoden Graduelles Einführen der neuen Richtlinie 28, 30 Konfigurieren der neuen Richtlinie 9

C Client Proxy -Verwaltung mit McAfee ePO und McAfee ePO Cloud 12 Erstellen einer Richtlinie mit McAfee ePO 36 Erstellen einer Richtlinie mit McAfee ePO Cloud 34 Konfigurieren von Umleitungen 13 Client Proxy-Authentifizierung 27, 28 Cloud-Dienst Älter und neu 7 Unterschiede zwischen alt und neu 8 Cloud-Dienstplattform Link zum Status 15 Vorteile 7 Control Console 7 Link zur Anmeldeseite 15 Unterstützte Funktionen 8

D Dokumentation Produktspezifisch, suchen 6 Typografische Konventionen und Symbole 5 Zielgruppe dieses Handbuchs 5

Handbuch, Informationen 5 Hybridbereitstellung 12, 33, 34 Hybridkonfiguration Test und Einführung 37 Web Gateway 35

I IP-Adressbereiche, Zulassen in der Firewall (Whitelist) 11 IP-Bereichsauthentifizierung 27, 30

K KB-Artikel, themenbezogen 14 Konventionen und Symbole in diesem Handbuch 5 Kunden-ID 12, 33 Kundenspezifischer Proxy 12, 13

L Listen vertrauenswürdiger Sites, sortieren 24 Listen, globale URL- 17

M McAfee Community Link zu den Artikeln 15 McAfee ePO Cloud Anmeldeinformationen 12, 33 Link zur Anmeldeseite 15 Verwaltungsplattform und -konsole 8 McAfee ServicePortal, Zugriff 6 McAfee-Produkte Einrichten in entsprechender Reihenfolge 9

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

39

Index

Migrations-Tasks Allgemeine 9 Hybridbereitstellung 34

N Neue Richtlinie Graduelles Einführen 28, 30 Wann angewendet 27 Wann anwenden 9 Neuer Dienst Aktivieren 12 Nach Aktivierung 11

Richtlinienlisten (Fortsetzung) Vorteile des Konvertierungstools 23 Richtlinienmodell, neu 8 Richtlinienoptionen, Standard- 20

S SaaS-Synchronisierung 35 SAML-Authentifizierung 27, 30 Seiten blockieren 17 ServicePortal, Quellen für Produktinformationen 6

T Technischer Support, Produktdokumentation finden 6

P Produktdokumentation, themenbezogen 14 Produktname, neu 7 Proxy-Dienst-Domänenname 15

R Regeldetails 17 Regeln, Erfassungs- 19 Regelreihenfolge 19 Richtlinien-Browser, Funktionen 17 Richtlinienkonfigurationsbereiche und -optionen 17 Richtlinienlisten Formatierung für den neuen Dienst 21 Link zum Konvertierungstool 15 Migrieren 20 mit dem Konvertierungstool 23

40

U Unterstützte Funktionen, Unterschiede 8 URL-Blacklists 19 URL-Listen Formatierung von Domänennamen 22 URL-Whitelists 19

V Verwaltungskonsole 7

W Web Gateway 35

Z Zusammenführen von Richtlinienlisten 23

McAfee Web Gateway Cloud Service McAfee SaaS Web Protection to McAfee Web Gateway Cloud Service

Migrationshandbuch

2017-03-15