Visão geral da filtragem de URL
Você pode usar a filtragem de URL para determinar qual conteúdo da Web não é acessível aos usuários.
Os componentes deste recurso incluem:
-
Arquivo de banco de dados de filtro de URL
-
Configuração de um ou mais modelos (até oito por perfil)
-
Plug-in de filtro de URL (jservices-urlf)
-
Daemon de filtragem de URL (filtrado por url)
O arquivo de banco de dados do filtro de URL é armazenado no Mecanismo de Roteamento e contém todos os URLs não permitidos. Modelos configurados definem qual tráfego monitorar, quais critérios combinar e quais ações tomar. Você configura os modelos e a localização do arquivo de banco de dados do filtro de URL em um perfil.
A partir do Junos OS Release 17.2R2 e 17.4R1, para Serviços Adaptativos, você pode desativar a filtragem de tráfego HTTP que contém um endereço IP incorporado (por exemplo, http:/10.1.1.1) pertencente a um nome de domínio não permitido no banco de dados do filtro URL. A partir do Junos OS Release 19.3R2, essa mesma funcionalidade é suportada para serviços de próxima geração no MX240, MX480 e MX960.
Para habilitar o recurso de filtragem de URL, você deve configurar jservices-urlf
como o nível de package-name
[edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider]
hierarquia. Uma vez habilitado, o jservices-urlf mantém o perfil de filtragem de URL e recebe todo o tráfego a ser filtrado, os critérios de filtragem e a ação a ser tomada no tráfego filtrado.
O MX-SPC3 não precisa jservices-urlf
explicitamente como o nível de [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider]
package-name
hierarquia. Ele é suportado por padrão.
O daemon de filtragem de URL (filtrado por url), que também reside no Mecanismo de Roteamento, resolve o nome de domínio de cada URL no banco de dados do filtro de URL para uma lista de endereços IPv4 e IPv6. Em seguida, ele baixa a lista de endereços IP para o serviço PIC, que executa jservices-urlf. Em seguida, o url-filterd interage com o processo de firewall dinâmico (dfwd) para instalar filtros no Mecanismo de Encaminhamento de Pacotes para punt o tráfego selecionado do Mecanismo de Encaminhamento de Pacotes para o PIC de serviço.
Conforme o novo tráfego HTTP e HTTPS chega ao roteador, uma decisão é tomada com base nas informações do arquivo de banco de dados do filtro de URL. As regras de filtragem são verificadas e o roteador aceita o tráfego e o passa ou bloqueia o tráfego. Se o tráfego for bloqueado, uma das seguintes ações configuradas será tomada:
-
Um redirecionamento HTTP é enviado ao usuário.
-
Uma página personalizada é enviada ao usuário.
-
Um código de status HTTP é enviado ao usuário.
-
Um reset de TCP é enviado.
Aceitar também é uma opção. Nesse caso, o tráfego não está bloqueado.
A Figura 1 ilustra a filtragem de URL para sessões DE HTTP.
A Figura 2 ilustra a filtragem de URL para sessões DE HTTPS.
Para obter mais detalhes sobre o recurso de filtragem de URL, consulte as seguintes seções:
Arquivo de banco de dados do filtro de URL
O arquivo de banco de dados do filtro de URL contém entradas de URLs e endereços IP. Crie o arquivo de banco de dados do filtro de URL no formato indicado na Tabela 1 e localize-o no Mecanismo de Roteamento no diretório /var/db/filtrado por url .
Entrada |
Descrição |
Exemplo |
---|---|---|
FQDN |
Nome de domínio totalmente qualificado. |
www.badword.com/jjj/bad.jpg |
URL |
URL de string completo sem o protocolo de Camada 7. |
www.srch.com/*badword*/ www.srch.com www.srch.com/xyz www.srch.com/xyz* |
Endereço IPv4 |
Solicitação de HTTP em um endereço IPv4 específico. |
10.1.1.199 |
Endereço IPv6 |
Solicitação de HTTP em um endereço IPv6 específico. |
1::1 |
Você deve especificar um banco de dados de filtro de URL personalizado no perfil. Se necessário, você também pode atribuir um arquivo de banco de dados de filtro de URL personalizado com qualquer modelo, e esse banco de dados tem precedência sobre o banco de dados configurado no nível do perfil.
Se você alterar o conteúdo do arquivo de banco de dados do filtro de URL, use o request services (url-filter | web-filter) update
comando. Outros comandos para ajudar a manter o arquivo de banco de dados do filtro de URL incluem o seguinte:
-
request services (url-filter | web-filter) delete
-
request services (url-filter | web-filter) force
-
request services (url-filter | web-filter) validate
Ressalvas do perfil do filtro de URL
O perfil do filtro de URL consiste de um a oito modelos. Cada modelo consiste em um conjunto de interfaces lógicas configuradas onde o tráfego é monitorado para filtragem de URL e um ou mais termos.
Um termo é um conjunto de critérios de correspondência com ações a serem tomadas se os critérios de correspondência forem atendidos. Você deve configurar pelo menos um termo para configurar a filtragem de URL. Cada termo consiste em uma from
declaração e uma then
declaração, na qual a from
declaração define os prefixos IP de origem e as portas de destino monitoradas. A then
declaração especifica as medidas a serem tomadas. Se você omitir a from
declaração, qualquer prefixo IP de origem e qualquer porta de destino são considerados compatíveis. Mas você pode omitir apenas uma from
declaração por modelo ou por perfil.
Configuração de exemplo de vários termos sem as declarações
template1 { client-interfaces [ xe-4/0/3.35 xe-4/0/3.36 ]; server-interfaces xe-4/0/0.31; dns-source-interface xe-4/0/0.1; dns-routing-instance data_vr; routing-instance data_vr2; dns-server 50.0.0.3; dns-retries 3; url-filter-database url_database.txt; term term1 { then { tcp-reset; } } term term2 { then { redirect-url www.google.com; } } }
Se você omitir mais de uma from
declaração por modelo, você receberá a seguinte mensagem de erro no commit:
URLFD_CONFIG_FAILURE: Configuration not valid: Cannot have two wild card terms in template template1 error: configuration check-out failed