Visão geral da filtragem da Web
A filtragem da Web permite que você gerencie o uso da Internet impedindo o acesso a conteúdo inapropriado da Web. Existem três tipos de soluções de filtragem web:
Redirecione a filtragem da Web — a solução de filtragem de Web intercepta solicitações de HTTP e HTTPS e as envia a um servidor de filtragem de URL externo, fornecido pelo Websense, para determinar se bloqueia as solicitações.
Redirecionar a filtragem da Web não requer uma licença.
Filtragem de Web local — a solução local de filtragem de Web intercepta todas as solicitações de HTTP e a solicitação de HTTPS em uma conexão TCP. Neste caso, a tomada de decisão é feita no dispositivo depois que ele analisa uma URL para determinar se ela está na lista de permitidos ou na lista de bloqueio com base em sua categoria definida pelo usuário.
A filtragem local de Web não requer uma licença ou um servidor de categoria remota.
Filtragem aprimorada de Web — a solução aprimorada de filtragem de Web intercepta as solicitações de HTTP e HTTPS e envia a URL HTTP ou o IP de origem HTTPS para o Websense ThreatSeeker Cloud (TSC). O TSC categoriza a URL em uma das 151 ou mais categorias predefinidas e também fornece informações de reputação do site. O TSC devolve ainda mais a categoria de URL e as informações de reputação do site ao dispositivo. O dispositivo determina se ele pode permitir ou bloquear a solicitação com base nas informações fornecidas pelo TSC.
A partir do Junos OS Release 17.4R1, o Websense redireciona o tráfego IPv6 de suporte.
A partir da versão 22.2R1 do Junos OS, a filtragem da Web usa o suporte do JDPI-Decoder para processar os dados do aplicativo. O JDPI-Decoder requer licença APPID. Para usar a filtragem local da Web sem licença APPID, você pode usar o set security utm default-configuration web-filtering performance-mode
comando, que desativa o JDPI-Decoder e permite o WF-Decoder. Este comando requer uma reinicialização do sistema.
Você pode vincular perfis de filtragem de Web ou perfis de antivírus, ou ambos, a uma política de firewall. Quando ambos estão vinculados a uma política de firewall, a filtragem de Web é aplicada primeiro e depois o antivírus é aplicado. Se uma URL for bloqueada pela filtragem da Web, a conexão TCP será fechada e nenhuma digitalização de antivírus é necessária. Se uma URL for permitida, o conteúdo da transação é então passado para o processo de digitalização de antivírus.
A filtragem da Web é aplicada pelo número da porta TCP.
A filtragem da Web oferece suporte ao protocolo HTTPS. A solução de filtragem de Web usa o endereço IP do pacote HTTPS para fazer bloqueios, permitir listas, permitir ou bloquear decisões.
Durante uma decisão de bloco, a solução de filtragem de Web não gera uma página de blocos porque o texto claro não está disponível para uma sessão de HTTPS. No entanto, a solução encerra a sessão e envia resets para o cliente e o servidor para as sessões DE HTTPS bloqueadas.
A configuração de filtragem de Web para HTTP também é aplicável para as sessões de HTTPS.
O comando CLI de limite de sessões por cliente , que impõe um acelerador de sessão para evitar que um usuário mal-intencionado gere grandes quantidades de tráfego simultaneamente, não oferece suporte à filtragem da Web.
Começando pelo Junos OS Release 15.1X49-D100, o tráfego de passagem IPv6 para http, HTTPS, FTP, SMTP, POP3, protocolos IMAP é suportado para filtragem de Web e recursos de segurança de filtragem de conteúdo da segurança de conteúdo.
Suporte para indicação de nome de servidor (SNI)
SNI é uma extensão do protocolo SSL/TLS para indicar qual nome de servidor o cliente está entrando em contato por uma conexão HTTPS. A SNI insere o nome de host real do servidor de destino na mensagem "Client Hello" em formato de texto claro antes que o processo de aperto de mão do SSL seja concluído. A filtragem da Web inclui informações de SNI na consulta. Nesta implementação, o SNI inclui apenas o nome do servidor, e não a URL completa do servidor. O suporte ao SNI melhora o recurso de filtragem da Web, pois usar apenas o endereço IP de destino na consulta pode levar a resultados imprecisos, porque vários servidores HTTP podem compartilhar o mesmo endereço IP do host.
Com suporte para SNI, a filtragem da Web analisa o primeiro pacote do tráfego HTTPS como uma mensagem "Client Hello" e extrai o nome do servidor da extensão SNI, e usa o nome do servidor junto com o endereço IP de destino para manter/executar a consulta. Se este pacote não tiver nenhuma extensão de SNI ou se um erro for encontrado durante a análise, a filtragem da Web reverterá para o uso apenas do endereço IP de destino.
Na filtragem da Web (EWF), se a sessão de HTTPS com o proxy SSL for habilitada, então a Indicação de nome do servidor (SNI) é obtida antes da filtragem da Web e usada para consulta pré-verificação, reputação do site e categoria em resposta. Se o cache estiver habilitado, essas respostas preencherão o cache sem qualquer ação. O EWF extrai o caminho completo e verifica se há um cache. Se o caminho completo no cache não for combinado, o EWF enviará uma consulta.
A funcionalidade SNI é habilitada por padrão para todos os tipos de filtragem de Web e, portanto, não é necessária nenhuma configuração adicional usando o CLI.
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.