Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral da filtragem de URL

Você pode usar a filtragem de URL para determinar qual conteúdo da Web não é acessível aos usuários.

Os componentes deste recurso incluem:

  • Arquivo de banco de dados de filtro de URL

  • Configuração de um ou mais modelos (até oito por perfil)

  • Plug-in de filtro de URL (jservices-urlf)

  • Daemon de filtragem de URL (filtrado por url)

O arquivo de banco de dados do filtro de URL é armazenado no Mecanismo de Roteamento e contém todos os URLs não permitidos. Modelos configurados definem qual tráfego monitorar, quais critérios combinar e quais ações tomar. Você configura os modelos e a localização do arquivo de banco de dados do filtro de URL em um perfil.

A partir do Junos OS Release 17.2R2 e 17.4R1, para Serviços Adaptativos, você pode desativar a filtragem de tráfego HTTP que contém um endereço IP incorporado (por exemplo, http:/10.1.1.1) pertencente a um nome de domínio não permitido no banco de dados do filtro URL. A partir do Junos OS Release 19.3R2, essa mesma funcionalidade é suportada para serviços de próxima geração no MX240, MX480 e MX960.

Para habilitar o recurso de filtragem de URL, você deve configurar jservices-urlf como o nível de package-name [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] hierarquia. Uma vez habilitado, o jservices-urlf mantém o perfil de filtragem de URL e recebe todo o tráfego a ser filtrado, os critérios de filtragem e a ação a ser tomada no tráfego filtrado.

Nota:

O MX-SPC3 não precisa jservices-urlf explicitamente como o nível de [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] package-name hierarquia. Ele é suportado por padrão.

O daemon de filtragem de URL (filtrado por url), que também reside no Mecanismo de Roteamento, resolve o nome de domínio de cada URL no banco de dados do filtro de URL para uma lista de endereços IPv4 e IPv6. Em seguida, ele baixa a lista de endereços IP para o serviço PIC, que executa jservices-urlf. Em seguida, o url-filterd interage com o processo de firewall dinâmico (dfwd) para instalar filtros no Mecanismo de Encaminhamento de Pacotes para punt o tráfego selecionado do Mecanismo de Encaminhamento de Pacotes para o PIC de serviço.

Conforme o novo tráfego HTTP e HTTPS chega ao roteador, uma decisão é tomada com base nas informações do arquivo de banco de dados do filtro de URL. As regras de filtragem são verificadas e o roteador aceita o tráfego e o passa ou bloqueia o tráfego. Se o tráfego for bloqueado, uma das seguintes ações configuradas será tomada:

  • Um redirecionamento HTTP é enviado ao usuário.

  • Uma página personalizada é enviada ao usuário.

  • Um código de status HTTP é enviado ao usuário.

  • Um reset de TCP é enviado.

Aceitar também é uma opção. Nesse caso, o tráfego não está bloqueado.

A Figura 1 ilustra a filtragem de URL para sessões DE HTTP.

Figura 1: Filtragem de fluxo de pacotes-URL para sessões Packet Flow-URL Filtering for HTTP Sessions HTTP

A Figura 2 ilustra a filtragem de URL para sessões DE HTTPS.

Figura 2: Filtragem de fluxo de pacote-URL para sessões HTTPS Packet Flow-URL Filtering for HTTPS Sessions

Para obter mais detalhes sobre o recurso de filtragem de URL, consulte as seguintes seções:

Arquivo de banco de dados do filtro de URL

O arquivo de banco de dados do filtro de URL contém entradas de URLs e endereços IP. Crie o arquivo de banco de dados do filtro de URL no formato indicado na Tabela 1 e localize-o no Mecanismo de Roteamento no diretório /var/db/filtrado por url .

Tabela 1: formato de arquivo de banco de dados de filtro de URL

Entrada

Descrição

Exemplo

FQDN

Nome de domínio totalmente qualificado.

www.badword.com/jjj/bad.jpg

URL

URL de string completo sem o protocolo de Camada 7.

www.srch.com/*badword*/

www.srch.com

www.srch.com/xyz

www.srch.com/xyz*

Endereço IPv4

Solicitação de HTTP em um endereço IPv4 específico.

10.1.1.199

Endereço IPv6

Solicitação de HTTP em um endereço IPv6 específico.

1::1

Você deve especificar um banco de dados de filtro de URL personalizado no perfil. Se necessário, você também pode atribuir um arquivo de banco de dados de filtro de URL personalizado com qualquer modelo, e esse banco de dados tem precedência sobre o banco de dados configurado no nível do perfil.

Se você alterar o conteúdo do arquivo de banco de dados do filtro de URL, use o request services (url-filter | web-filter) update comando. Outros comandos para ajudar a manter o arquivo de banco de dados do filtro de URL incluem o seguinte:

  • request services (url-filter | web-filter) delete

  • request services (url-filter | web-filter) force

  • request services (url-filter | web-filter) validate

Ressalvas do perfil do filtro de URL

O perfil do filtro de URL consiste de um a oito modelos. Cada modelo consiste em um conjunto de interfaces lógicas configuradas onde o tráfego é monitorado para filtragem de URL e um ou mais termos.

Um termo é um conjunto de critérios de correspondência com ações a serem tomadas se os critérios de correspondência forem atendidos. Você deve configurar pelo menos um termo para configurar a filtragem de URL. Cada termo consiste em uma from declaração e uma then declaração, na qual a from declaração define os prefixos IP de origem e as portas de destino monitoradas. A then declaração especifica as medidas a serem tomadas. Se você omitir a from declaração, qualquer prefixo IP de origem e qualquer porta de destino são considerados compatíveis. Mas você pode omitir apenas uma from declaração por modelo ou por perfil.

Configuração de exemplo de vários termos sem as declarações

Se você omitir mais de uma from declaração por modelo, você receberá a seguinte mensagem de erro no commit:

Tabela de histórico de lançamento
Lançamento
Descrição
19.3R2
A partir do Junos OS Release 19.3R2, essa mesma funcionalidade é suportada para serviços de próxima geração no MX240, MX480 e MX960.
17.2R2
A partir do Junos OS Release 17.2R2 e 17.4R1, para Serviços Adaptativos, você pode desativar a filtragem de tráfego HTTP que contém um endereço IP incorporado (por exemplo, http:/10.1.1.1) pertencente a um nome de domínio não permitido no banco de dados do filtro URL.