Filtragem local de web
A filtragem da Web permite que você gerencie o uso da Internet impedindo o acesso a conteúdo inapropriado da Web. Existem quatro tipos de soluções de filtragem web. Para obter mais informações, veja os seguintes tópicos:
Entendendo a filtragem local de web
A filtragem de web local permite que você defina categorias de URL personalizadas, que podem ser incluídas em blocklists e permitem listas que são avaliadas no firewall da Série SRX. Todas as URLs para cada categoria em um blocklist são negadas, enquanto todas as URLs para cada categoria em uma lista de permissão são permitidas.
Com a filtragem local da Web, um firewall intercepta todas as solicitações de HTTP e HTTPS em uma conexão TCP e extrai a URL. Uma decisão é tomada pelo dispositivo depois que ele analisa uma URL para determinar se ela está na lista de permitidos ou na lista de bloqueio com base em sua categoria definida pelo usuário. Uma URL é primeiramente comparada com as URLs blocklist. Se uma correspondência for encontrada, a solicitação será bloqueada. Se nenhuma correspondência for encontrada, a URL é comparada com a lista de permitidos. Se uma correspondência for encontrada, a solicitação é permitida. Se a URL não estiver em nenhuma das listas, a categoria personalizada será tomada (bloqueio, log-and-permit ou permissão). Se a URL não estiver na categoria personalizada, a ação padrão definida será tomada (bloqueio, log-and-permit ou permissão). Você pode permitir ou bloquear o acesso a um site solicitado vinculando um perfil de filtragem da Web a uma política de firewall. A filtragem de Web local oferece filtragem básica de Web sem exigir uma licença adicional ou servidor de categoria externa.
Este tópico contém as seguintes seções:
- Processo local de filtragem de web
- Categorias de URL personalizada definidas pelo usuário
- Perfis locais de filtragem de web
- Mensagens de usuário e redirecionamento de URLs para filtragem de Web
- Precedência de correspondência de perfil
Processo local de filtragem de web
A seção a seguir descreve como o tráfego da Web é interceptado e agido pelo módulo de filtragem da Web.
O dispositivo intercepta uma conexão TCP.
-
O dispositivo intercepta cada solicitação de HTTP e HTTPS na conexão TCP.
-
O dispositivo extrai cada URL na solicitação de HTTP e HTTPS e verifica sua URL em relação à lista de permitidores e bloqueio definidas pelo usuário.
-
Se a URL for encontrada na lista de bloqueio, a solicitação não será permitida e uma página de negação é enviada ao cliente http ou https. Se a URL for encontrada na lista de permissão, a solicitação será permitida.
Se a URL não for encontrada na lista de permitidos ou na lista de bloqueio, a ação de fallback padrão configurada será aplicada. Se nenhuma ação de recuo for definida, a solicitação será permitida.
Categorias de URL personalizada definidas pelo usuário
Para realizar a filtragem local da Web, você deve definir uma lista de bloqueio e permitir o conteúdo que pode ser aplicado ao perfil.
Ao definir suas próprias categorias de URL, você pode agrupar URLs e criar categorias específicas para suas necessidades. Cada categoria pode ter no máximo 20 URLs. Ao criar uma categoria, você pode adicionar a URL ou o endereço IP de um site. Quando você adiciona uma URL a uma categoria definida pelo usuário, o dispositivo realiza uma busca por DNS, resolve o nome de host em endereços IP e armazena essas informações. Quando um usuário tenta acessar um site com o endereço IP do site, o dispositivo verifica a lista em cache de endereços IP e tenta resolver o nome de host. Muitos sites têm endereços IP dinâmicos, o que significa que seus endereços IP mudam periodicamente. Um usuário que tenta acessar um site pode digitar um endereço IP que não está na lista em cache do dispositivo. Portanto, se você conhece os endereços IP de sites que está adicionando a uma categoria, insira tanto a URL quanto o(es) endereço IP (es) do site.
Você define suas próprias categorias usando a lista de padrões de URL e objetos personalizados da categoria URL. Uma vez definidas, você atribui suas categorias às categorias de url-blocklist (bloqueio) definidos pelo usuário global ou categorias de url-allowlist (permissão).
A filtragem da Web é realizada em todos os métodos definidos em HTTP 1.0 e HTTP 1.1.
Perfis locais de filtragem de web
Você configura perfis de filtragem da Web que permitem ou bloqueiam URLs de acordo com categorias personalizadas definidas. Um perfil de filtragem de Web consiste em um grupo de categorias de URL atribuídas a uma das seguintes ações:
Blocklist — O dispositivo sempre bloqueia o acesso aos sites desta lista. Apenas categorias definidas pelo usuário são usadas com a filtragem local da Web.
Lista de permite — o dispositivo sempre permite o acesso aos sites desta lista. Apenas categorias definidas pelo usuário são usadas com a filtragem local da Web.
Um perfil de filtragem de Web pode conter uma lista de bloqueio ou uma lista de permissão com várias categorias definidas pelo usuário cada uma com uma permissão ou ação de bloqueio. Você pode definir uma ação de fallback padrão quando a URL de entrada não pertence a nenhuma das categorias definidas no perfil. Se a ação para a categoria padrão for bloqueada, a URL de entrada será bloqueada se não corresponder a nenhuma das categorias explicitamente definidas no perfil. Se uma ação para a ação padrão não for especificada, a ação padrão de permissão é aplicada à URL de entrada sem corresponder a nenhuma categoria.
A partir do Junos OS Release 17.4R1, a configuração de categoria personalizada é suportada para filtragem de Web local. A opção custom-message
também é suportada em uma categoria para filtragem de Web local e perfis de redirecionamento do Websense. Os usuários podem criar várias listas de URL (categorias personalizadas) e aplicá-las a um perfil de filtragem de Web de segurança de conteúdo com ações como permissão, permissão e registro, bloqueio e quarentena. Para criar uma lista de permitidores ou blocos global, aplique um perfil local de filtragem de Web a uma política de segurança de conteúdo e conecte-o a uma regra global.
Mensagens de usuário e redirecionamento de URLs para filtragem de Web
A partir do Junos OS Release 17.4R1, uma nova opção, custom-message
é adicionado para a custom-objects
declaração que permite configurar mensagens de usuário e redirecionar URLs para notificar os usuários quando uma URL é bloqueada ou colocada em quarentena para cada categoria EWF. A opção custom-message
tem os seguintes atributos obrigatórios:
Nome: Nome da mensagem personalizada; o comprimento máximo é de 59 caracteres ASCII.
Tipo: Tipo de mensagem personalizada:
user-message
ouredirect-url
.Conteúdo: Conteúdo da mensagem personalizada; o comprimento máximo é de 1024 caracteres ASCII.
Você configura uma mensagem de usuário ou redireciona a URL como um objeto personalizado e atribui o objeto personalizado a uma categoria EWF.
Mensagens de usuário indicam que o acesso ao site foi bloqueado pela política de acesso de uma organização. Para configurar uma mensagem de usuário, inclua a
type user-message content message-text
declaração no nível de[edit security utm custom-objects custom-message message]
hierarquia.Redirecione AS URLs redirecione uma URL bloqueada ou em quarentena para uma URL definida pelo usuário. Para configurar uma URL de redirecionamento, inclua a
type redirect-url content redirect-url
declaração no nível de[edit security utm custom-objects custom-message message]
hierarquia.
A opção custom-message
oferece os seguintes benefícios:
Você pode configurar uma mensagem personalizada separada ou redirecionar a URL para cada categoria de EWF.
A opção
custom-message
permite ajustar mensagens para apoiar suas polícias para saber qual URL está bloqueada ou colocada em quarentena.
Precedência de correspondência de perfil
Quando um perfil emprega várias categorias para correspondência de URL, essas categorias são verificadas para partidas na ordem a seguir:
Se estiver presente, a lista de bloqueio global é verificada primeiro. Se uma correspondência for feita, a URL será bloqueada. Se não for encontrado fósforo...
A lista de permite globais é verificada a seguir. Se uma correspondência for feita, a URL é permitida. Se não for encontrado fósforo...
As categorias definidas pelo usuário são verificadas a seguir. Se uma correspondência for feita, a URL será bloqueada ou permitida conforme especificado.
Veja também
Exemplo: Configuração da filtragem local da Web
Este exemplo mostra como configurar a filtragem de Web local para gerenciar o acesso ao site.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
dispositivo SRX1500
Versão Junos OS 12.1X46-D10 ou posterior
Antes de começar, saiba mais sobre a filtragem de Web. Veja a visão geral da filtragem da Web.
Visão geral
Neste exemplo, você configura objetos personalizados de filtragem de Web local, perfis locais de recursos de filtragem de Web e políticas locais de segurança de conteúdo de filtragem de Web. Você também anexa políticas locais de segurança de conteúdo de filtragem de Web a políticas de segurança. A Tabela 1 mostra informações sobre o tipo de configuração, etapas e parâmetros de filtragem de Web locais usados neste exemplo.
Tipo de configuração |
Etapas de configuração |
Parâmetros de configuração |
---|---|---|
URL pattern and custom objects |
Configure uma lista de padrões de URL de URLs ou endereços que você deseja ignorar. Crie um objeto personalizado chamado urllis1 que contém o padrão [http://www.example1.net 192.0.2.0] Crie um objeto personalizado chamado urllist2 que contém o padrão [http://www.example2.net 192.0.2.3] Crie um objeto personalizado chamado urllist3 que contém o padrão [http://www.example3.net 192.0.2.9] Crie um objeto personalizado chamado urllist4 que contém o padrão [http://www.example4.net 192.0.2.8] |
|
Os objetos personalizados urllist1 e urllist2 são então adicionados às categorias de URL personalizadas cust-blocklist e cust-permit-list, respectivamente. |
|
|
Feature profiles |
Configure o perfil do recurso de filtragem da Web: |
|
|
|
|
|
|
|
|
|
|
Content Security policies |
Crie a política |
|
Configuração
- Configuração da filtragem local de objetos personalizados e padrões de URL
- Aplique objetos personalizados nos perfis de recursos
- Anexação de políticas de segurança de conteúdo de filtragem da Web a políticas de segurança
- Anexação de políticas locais de segurança de conteúdo de filtragem de web a políticas de segurança
Configuração da filtragem local de objetos personalizados e padrões de URL
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit]
commit
modo de configuração.
set security utm custom-objects url-pattern urllist1 value http://www.example1.net set security utm custom-objects url-pattern urllist1 value 192.0.2.0 set security utm custom-objects url-pattern urllist2 value http://www.example2.net set security utm custom-objects url-pattern urllist2 value 192.0.2.3 set security utm custom-objects url-pattern urllist3 value http://www.example3.net set security utm custom-objects url-pattern urllist3 value 192.0.2.9 set security utm custom-objects url-pattern urllist4 value http://www.example4.net set security utm custom-objects url-pattern urllist4 value 192.0.2.8 set security utm custom-objects custom-url-category cust-black-list value urllist1 set security utm custom-objects custom-url-category cust-permit-list value urllist2 set security utm custom-objects custom-url-category custurl3 value urllist3 set security utm custom-objects custom-url-category custurl4 value urllist4
A partir do Junos OS Release 15.1X49-D110, o "* em uma sintaxe curinga, usado para perfil de filtragem web de padrão de URL, corresponde a todos os subdomains. Por exemplo, *.example.net combina:
http://a.example.net
http://example.net
aaa.example.net
Procedimento passo a passo
Para configurar a filtragem de Web local usando o CLI:
Configure um objeto personalizado da lista de padrões de URL criando o nome da lista e adicionando valores a ele da seguinte forma:
Nota:Como você usa listas de padrões de URL para criar listas personalizadas de categoria de URL, você deve configurar objetos personalizados da lista de padrões de URL antes de configurar listas personalizadas de categoria de URL.
[edit] user@host# set security utm custom-objects url-pattern urllist1 value [http://www.example1.net 192.0.2.0] user@host# set security utm custom-objects url-pattern urllist2 value [http://www.example2.net 192.0.2.3] user@host# set security utm custom-objects url-pattern urllist3 value [http://www.example3.net 192.0.2.9] user@host# set security utm custom-objects url-pattern urllist4 value [http://www.example4.net 192.0.2.8]
Nota:A diretriz para usar um curinga de padrão de URL é a seguinte: Use a seguinte síntese: Use o mesmo e preceder todos os URLs curingas com http://. Você só pode usar "*" se estiver no início da URL e seguir ".". Você só pode usar "?" no final da URL.
As seguintes sintaxes curingas são suportadas: http://*. example.net, http://www.example.ne?, http://www.example.n?. As seguintes sintaxes curingas não são suportadas: *.example.???, http://*example.net, http://?.
Aplicando o padrão de URL a uma categoria de URL personalizada.
[edit] user@host# set security utm custom-objects custom-url-category cust-black-list value urllist1 user@host# set security utm custom-objects custom-url-category cust-permit-list value urllist2 user@host# set security utm custom-objects custom-url-category custurl3 value urllist3 user@host# set security utm custom-objects custom-url-category custurl4 value urllist4
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security utm custom-objects
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] userhost#show security utm custom-objects url-pattern { urllist1 { value [ http://www.example1.net 192.0.2.0 ]; } urllist2 { value [ http://www.example2.net 192.0.2.3 ]; } urllist3 { value [ http://www.example3.net 192.0.2.9 ]; } urllist4 { value [ http://www.example4.net 192.0.2.8 ]; } } custom-url-category { cust-black-list { value urllist1; } cust-permit-list { value urllist2; } custurl3 { value urllist3; } custurl4 { value urllist4; } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Aplique objetos personalizados nos perfis de recursos
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit]
commit
modo de configuração.
set security utm feature-profile web-filtering juniper-local profile localprofile1 category cust-black-list action block set security utm feature-profile web-filtering juniper-local profile localprofile1 category cust-permit-list action log-and-permit set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message type custom-redirect-url set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message url http://192.0.2.10 set security utm feature-profile web-filtering juniper-local profile localprofile1 custom-block-message "Access to this site is not permitted." set security utm feature-profile web-filtering juniper-local profile localprofile1 default log-and-permit set security utm feature-profile web-filtering juniper-local profile localprofile1 fallback-settings default block set security utm feature-profile web-filtering juniper-local profile localprofile1 fallback-settings too-many-requests block
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Crie um nome de perfil e selecione uma categoria das categorias de permissão e blocklist incluídas. A ação personalizada da categoria pode ser bloqueio, permissão, log-and-permit e quarentena.
[edit security utm feature-profile web-filtering] user@host# set juniper-local profile localprofile1 category cust-black-list action block user@host# set juniper-local profile localprofile1 category cust-permit-list action log-and-permit
Defina um servidor de URL de redirecionamento para que, em vez de o dispositivo enviar uma página de blocos com HTML de texto simples, o dispositivo envie um redirecionamento HTTP 302 para este servidor de redirecionamento com variáveis especiais incorporadas no campo de localização de redirecionamento HTTP. Essas variáveis especiais são analisadas pelo servidor de redirecionamento e servem como uma página de bloco especial para o cliente com imagens e um formato de texto claro.
[edit security utm feature-profile web-filtering] user@host# set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message type custom-redirect-url user@host# set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message url http://192.0.2.10
-
Digite uma mensagem personalizada a ser enviada quando as solicitações de HTTP ou HTTPS forem bloqueadas.
[edit security utm feature-profile web-filtering] user@host# set juniper-local profile localprofile1 custom-block-message “Access to this site is not permitted”
Especifique uma ação padrão (permitir, registrar e permitir, bloquear ou quarentena) para o perfil, quando nenhuma outra ação explicitamente configurada (blocklist, allowlist, categoria personalizada, ações de categoria predefinidas ou ações de reputação do site) for combinada.
[edit security utm feature-profile web-filtering] user@host# set juniper-local profile localprofile1 default log-and-permit
Configure configurações de fallback (bloquear ou registrar e permitir) para este perfil.
[edit security utm feature-profile web-filtering] user@host# set juniper–local profile localprofile1 fallback-settings default block user@host# set juniper–local profile localprofile1 fallback-settings too-many-requests block
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security utm feature-profile
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] userhost#show security utm feature-profile web-filtering { juniper-local { profile localprofile1 { default log-and-permit; category { cust-black-list { action block; } cust-permit-list { action log-and-permit; } } custom-block-message "Access to this site is not permitted."; block-message { type custom-redirect-url; url http://192.0.2.10; } fallback-settings { default block; too-many-requests block; } } } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Anexação de políticas de segurança de conteúdo de filtragem da Web a políticas de segurança
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit]
commit
modo de configuração.
set security utm utm-policy utmp5 web-filtering http-profile localprofile1
Procedimento passo a passo
Para configurar uma política de segurança de conteúdo:
-
Crie a política de segurança de conteúdo fazendo referência a um perfil. Aplique o perfil de filtragem da Web na política de segurança de conteúdo.
[edit] user@host# set security utm utm-policy utmp5 web-filtering http-profile localprofile1
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security utm
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
Para a brevidade, esta saída de comando show inclui apenas a configuração que é relevante para este exemplo. Qualquer outra configuração no sistema foi substituída por elipses (...).
[edit] userhost# show security utm utm-policy utmp5 { web-filtering { http-profile localprofile1; } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Anexação de políticas locais de segurança de conteúdo de filtragem de web a políticas de segurança
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit]
commit
modo de configuração.
set security policies from-zone trust to-zone untrust policy p5 match source-address any set security policies from-zone trust to-zone untrust policy p5 match destination-address any set security policies from-zone trust to-zone untrust policy p5 match application junos-http set security policies from-zone trust to-zone untrust policy p5 then permit application-services utm-policy utmp5
Procedimento passo a passo
Para anexar uma política de segurança de conteúdo a uma política de segurança:
Crie e configure a política de segurança.
[edit security policies from-zone trust to-zone untrust policy p5] user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-http
-
Aplique a política de segurança de conteúdo na política de segurança.
[edit security policies from-zone trust to-zone untrust policy p5] user@host# set then permit application-services utm-policy utmp5
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security policies
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] userhost# show security policies from-zone trust to-zone untrust { policy p5 { match { source-address any; destination-address any; application junos-http; } then { permit { application-services { utm-policy utmp5; } } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute a seguinte tarefa:
Verificando as estatísticas da filtragem da Web de segurança de conteúdo
Propósito
Verifique as estatísticas de filtragem da Web para conexões, incluindo hits de lista de permitidos e blocklist e acessos personalizados de categoria.
Ação
A partir do modo operacional, entre no show security utm web-filtering statistics
comando.
Saída de amostra
nome de comando
user@host>show security utm web-filtering statistics UTM web-filtering statistics: Total requests: 0 white list hit: 0 Black list hit: 0 Custom category permit: 0 Custom category block: 0 Custom category quarantine: 0 Custom category qurantine block: 0 Custom category quarantine permit: 0 Web-filtering sessions in total: 0 Web-filtering sessions in use: 0 Fallback: log-and-permit block Default 0 0 Timeout 0 0 Connectivity 0 0 Too-many-requests 0 0
custom-message
também é suportada em uma categoria para filtragem de Web local e perfis de redirecionamento do Websense. Os usuários podem criar várias listas de URL (categorias personalizadas) e aplicá-las a um perfil de filtragem de Web de segurança de conteúdo com ações como permissão, permissão e registro, bloqueio e quarentena. Para criar uma lista de permitidores ou blocos global, aplique um perfil local de filtragem de Web a uma política de segurança de conteúdo e conecte-o a uma regra global.
custom-message
é adicionado para a
custom-objects
declaração que permite configurar mensagens de usuário e redirecionar URLs para notificar os usuários quando uma URL é bloqueada ou colocada em quarentena para cada categoria EWF.