Im letzten Blog-Artikel >> Keine Fehlermeldung von HTTPS Proxy (deny message)<\/a> haben wir erkl\u00e4rt warum Benutzer bei gesperrten HTTPS Webseiten keine Blockbenachrichtigung angezeigt bekommen. In diesem Artikel zeigen wir Ihnen wie Sie die Content Inspection aktivieren und konfigurieren k\u00f6nnen, sodass entsprechende Deny Messages ausgegeben werden.<\/p>\n <\/p>\n 1) In der HTTPS Policy die Proxy Action bearbeiten:<\/p>\n Seit der Firmware Version 12.7 wird die vordefinierte Ausnahmeliste von WatchGuard auch automatisch aktualisiert und nicht wie vorher nur per Firmwareupgrade. Die vordefinierte Liste enth\u00e4lt Ausnahmen f\u00fcr Dom\u00e4nen und Services, bei denen bereits Kompatibilit\u00e4tsprobleme mit der WatchGuard Content Inspection bekannt sind. Zertifikats Pinning (ca-pinning) oder die Zertifikatsvalidierung (certificate validation) verursachen zum Beispiel diese Inkompatibilit\u00e4ten.<\/p>\n 3) Einen neuen WebBlocker in der HTTPS-Proxy Action “HTTPS-DPI.Out” erstellen und s\u00e4mtliche Kategorien auf Inspect stellen, au\u00dfer bei den Kategorien bei der man kein Inspect haben m\u00f6chte z. B. “Financial Data and Services”: 4) Zus\u00e4tzliche Aktivierung der Funktion “Inspect when a URL is uncategorized” sowie Auswahl der korrekten Proxy Action. Ansonsten wird auf HTTP Ebene nur die Default Action ohne die konfigurierten \u00c4nderungen herangezogen:<\/p>\n Um nicht zwei HTTP Proxy Actions zu pflegen, empfiehlt es sich hier dieselbe HTTP Action auszuw\u00e4hlen, die bereits f\u00fcr den HTTP Proxy eingerichtet wurde.<\/p>\n 5) S\u00e4mtliche Deny Kategorien werden innerhalb der Proxy Action “HTTP-Client.http_standard” (HTTPS-Proxy FW-Rule “HTTPS-Client.DPI) wie folgt konfiguriert: 6) Nun wird seitens der WatchGuard eine entsprechende Deny Message dargestellt: Bevor die Content Inspection aktiviert werden kann, wird ein Proxy Zertifikat f\u00fcr die WatchGuard Firebox ben\u00f6tigt, welchem Ihre Clients vertrauen. Um zu erfahren, wie ein Zertifikat importiert, ein Certificate Signing Request erstellt oder das selbstsignierte WatchGuard Zertifikat im AD bekannt gemacht wird, empfehlen wir folgende Blog-Artikel: Grundlagen: Verschl\u00fcsselung, SSL, Zertifikate und HTTPS-Deep-Inspection Ausrollen des WatchGuard Zertifikates per GPO Certificate Signing Request erstellen Im letzten Blog-Artikel … Weiterlesen HOWTO: HTTPS-DPI mit dem WebBlocker inkl. WatchGuard Deny Messages<\/span> ![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/09\/https-dpi-mit-dem-webblocker1.jpg\")
\n2) Die Action auf Allow belassen:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/09\/https-dpi-mit-dem-webblocker2.jpg\")
<\/p>\n
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/09\/https-dpi-mit-dem-webblocker3.jpg\")
<\/p>\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/10\/https-dpi-mit-dem-webblocker4.jpg\")
<\/p>\n
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/09\/https-dpi-mit-dem-webblocker5.jpg\")
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/09\/https-dpi-mit-dem-webblocker6.jpg\")
<\/p>\n
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/09\/https-dpi-mit-dem-webbocker7.jpg\")
<\/p>\n","protected":false},"excerpt":{"rendered":"