Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filtragem local de web

A filtragem da Web permite que você gerencie o uso da Internet impedindo o acesso a conteúdo inapropriado da Web. Existem quatro tipos de soluções de filtragem web. Para obter mais informações, veja os seguintes tópicos:

Entendendo a filtragem local de web

A filtragem de web local permite que você defina categorias de URL personalizadas, que podem ser incluídas em blocklists e permitem listas que são avaliadas no firewall da Série SRX. Todas as URLs para cada categoria em um blocklist são negadas, enquanto todas as URLs para cada categoria em uma lista de permissão são permitidas.

Com a filtragem local da Web, um firewall intercepta todas as solicitações de HTTP e HTTPS em uma conexão TCP e extrai a URL. Uma decisão é tomada pelo dispositivo depois que ele analisa uma URL para determinar se ela está na lista de permitidos ou na lista de bloqueio com base em sua categoria definida pelo usuário. Uma URL é primeiramente comparada com as URLs blocklist. Se uma correspondência for encontrada, a solicitação será bloqueada. Se nenhuma correspondência for encontrada, a URL é comparada com a lista de permitidos. Se uma correspondência for encontrada, a solicitação é permitida. Se a URL não estiver em nenhuma das listas, a categoria personalizada será tomada (bloqueio, log-and-permit ou permissão). Se a URL não estiver na categoria personalizada, a ação padrão definida será tomada (bloqueio, log-and-permit ou permissão). Você pode permitir ou bloquear o acesso a um site solicitado vinculando um perfil de filtragem da Web a uma política de firewall. A filtragem de Web local oferece filtragem básica de Web sem exigir uma licença adicional ou servidor de categoria externa.

Este tópico contém as seguintes seções:

Processo local de filtragem de web

A seção a seguir descreve como o tráfego da Web é interceptado e agido pelo módulo de filtragem da Web.

  1. O dispositivo intercepta uma conexão TCP.

  2. O dispositivo intercepta cada solicitação de HTTP e HTTPS na conexão TCP.

  3. O dispositivo extrai cada URL na solicitação de HTTP e HTTPS e verifica sua URL em relação à lista de permitidores e bloqueio definidas pelo usuário.

  4. Se a URL for encontrada na lista de bloqueio, a solicitação não será permitida e uma página de negação é enviada ao cliente http ou https. Se a URL for encontrada na lista de permissão, a solicitação será permitida.

  5. Se a URL não for encontrada na lista de permitidos ou na lista de bloqueio, a ação de fallback padrão configurada será aplicada. Se nenhuma ação de recuo for definida, a solicitação será permitida.

Categorias de URL personalizada definidas pelo usuário

Para realizar a filtragem local da Web, você deve definir uma lista de bloqueio e permitir o conteúdo que pode ser aplicado ao perfil.

Ao definir suas próprias categorias de URL, você pode agrupar URLs e criar categorias específicas para suas necessidades. Cada categoria pode ter no máximo 20 URLs. Ao criar uma categoria, você pode adicionar a URL ou o endereço IP de um site. Quando você adiciona uma URL a uma categoria definida pelo usuário, o dispositivo realiza uma busca por DNS, resolve o nome de host em endereços IP e armazena essas informações. Quando um usuário tenta acessar um site com o endereço IP do site, o dispositivo verifica a lista em cache de endereços IP e tenta resolver o nome de host. Muitos sites têm endereços IP dinâmicos, o que significa que seus endereços IP mudam periodicamente. Um usuário que tenta acessar um site pode digitar um endereço IP que não está na lista em cache do dispositivo. Portanto, se você conhece os endereços IP de sites que está adicionando a uma categoria, insira tanto a URL quanto o(es) endereço IP (es) do site.

Você define suas próprias categorias usando a lista de padrões de URL e objetos personalizados da categoria URL. Uma vez definidas, você atribui suas categorias às categorias de url-blocklist (bloqueio) definidos pelo usuário global ou categorias de url-allowlist (permissão).

A filtragem da Web é realizada em todos os métodos definidos em HTTP 1.0 e HTTP 1.1.

Perfis locais de filtragem de web

Você configura perfis de filtragem da Web que permitem ou bloqueiam URLs de acordo com categorias personalizadas definidas. Um perfil de filtragem de Web consiste em um grupo de categorias de URL atribuídas a uma das seguintes ações:

  • Blocklist — O dispositivo sempre bloqueia o acesso aos sites desta lista. Apenas categorias definidas pelo usuário são usadas com a filtragem local da Web.

  • Lista de permite — o dispositivo sempre permite o acesso aos sites desta lista. Apenas categorias definidas pelo usuário são usadas com a filtragem local da Web.

Um perfil de filtragem de Web pode conter uma lista de bloqueio ou uma lista de permissão com várias categorias definidas pelo usuário cada uma com uma permissão ou ação de bloqueio. Você pode definir uma ação de fallback padrão quando a URL de entrada não pertence a nenhuma das categorias definidas no perfil. Se a ação para a categoria padrão for bloqueada, a URL de entrada será bloqueada se não corresponder a nenhuma das categorias explicitamente definidas no perfil. Se uma ação para a ação padrão não for especificada, a ação padrão de permissão é aplicada à URL de entrada sem corresponder a nenhuma categoria.

A partir do Junos OS Release 17.4R1, a configuração de categoria personalizada é suportada para filtragem de Web local. A opção custom-message também é suportada em uma categoria para filtragem de Web local e perfis de redirecionamento do Websense. Os usuários podem criar várias listas de URL (categorias personalizadas) e aplicá-las a um perfil de filtragem de Web de segurança de conteúdo com ações como permissão, permissão e registro, bloqueio e quarentena. Para criar uma lista de permitidores ou blocos global, aplique um perfil local de filtragem de Web a uma política de segurança de conteúdo e conecte-o a uma regra global.

Mensagens de usuário e redirecionamento de URLs para filtragem de Web

A partir do Junos OS Release 17.4R1, uma nova opção, custom-messageé adicionado para a custom-objects declaração que permite configurar mensagens de usuário e redirecionar URLs para notificar os usuários quando uma URL é bloqueada ou colocada em quarentena para cada categoria EWF. A opção custom-message tem os seguintes atributos obrigatórios:

  • Nome: Nome da mensagem personalizada; o comprimento máximo é de 59 caracteres ASCII.

  • Tipo: Tipo de mensagem personalizada: user-message ou redirect-url.

  • Conteúdo: Conteúdo da mensagem personalizada; o comprimento máximo é de 1024 caracteres ASCII.

Você configura uma mensagem de usuário ou redireciona a URL como um objeto personalizado e atribui o objeto personalizado a uma categoria EWF.

  • Mensagens de usuário indicam que o acesso ao site foi bloqueado pela política de acesso de uma organização. Para configurar uma mensagem de usuário, inclua a type user-message content message-text declaração no nível de [edit security utm custom-objects custom-message message] hierarquia.

  • Redirecione AS URLs redirecione uma URL bloqueada ou em quarentena para uma URL definida pelo usuário. Para configurar uma URL de redirecionamento, inclua a type redirect-url content redirect-url declaração no nível de [edit security utm custom-objects custom-message message] hierarquia.

A opção custom-message oferece os seguintes benefícios:

  • Você pode configurar uma mensagem personalizada separada ou redirecionar a URL para cada categoria de EWF.

  • A opção custom-message permite ajustar mensagens para apoiar suas polícias para saber qual URL está bloqueada ou colocada em quarentena.

Precedência de correspondência de perfil

Quando um perfil emprega várias categorias para correspondência de URL, essas categorias são verificadas para partidas na ordem a seguir:

  1. Se estiver presente, a lista de bloqueio global é verificada primeiro. Se uma correspondência for feita, a URL será bloqueada. Se não for encontrado fósforo...

  2. A lista de permite globais é verificada a seguir. Se uma correspondência for feita, a URL é permitida. Se não for encontrado fósforo...

  3. As categorias definidas pelo usuário são verificadas a seguir. Se uma correspondência for feita, a URL será bloqueada ou permitida conforme especificado.

Exemplo: Configuração da filtragem local da Web

Este exemplo mostra como configurar a filtragem de Web local para gerenciar o acesso ao site.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • dispositivo SRX1500

  • Versão Junos OS 12.1X46-D10 ou posterior

Antes de começar, saiba mais sobre a filtragem de Web. Veja a visão geral da filtragem da Web.

Visão geral

Neste exemplo, você configura objetos personalizados de filtragem de Web local, perfis locais de recursos de filtragem de Web e políticas locais de segurança de conteúdo de filtragem de Web. Você também anexa políticas locais de segurança de conteúdo de filtragem de Web a políticas de segurança. A Tabela 1 mostra informações sobre o tipo de configuração, etapas e parâmetros de filtragem de Web locais usados neste exemplo.

Tabela 1: Tipo de configuração, etapas e parâmetros de filtragem de Web local

Tipo de configuração

Etapas de configuração

Parâmetros de configuração

URL pattern and custom objects

Configure uma lista de padrões de URL de URLs ou endereços que você deseja ignorar.

Crie um objeto personalizado chamado urllis1 que contém o padrão [http://www.example1.net 192.0.2.0]

Crie um objeto personalizado chamado urllist2 que contém o padrão [http://www.example2.net 192.0.2.3]

Crie um objeto personalizado chamado urllist3 que contém o padrão [http://www.example3.net 192.0.2.9]

Crie um objeto personalizado chamado urllist4 que contém o padrão [http://www.example4.net 192.0.2.8]

  • [http://www.example1.net 192.0.2.0]

  • [http://www.example2.net 192.0.2.3]

  • [http://www.example3.net 192.0.2.9]

  • [http://www.example4.net 192.0.2.8]

  • value urllist3

  • value urllist4

Os objetos personalizados urllist1 e urllist2 são então adicionados às categorias de URL personalizadas cust-blocklist e cust-permit-list, respectivamente.

  • value urllist1

  • value urllist2

Feature profiles

Configure o perfil do recurso de filtragem da Web:

 
  • Defina a categoria de filtragem de blocos de URL para custurl4 e a categoria de filtragem de lista de URL para custurl3. Definir o tipo de mecanismo de filtragem web para juniper-local.

  • custurl3

  • custurl4

  • type juniper-local

  • Crie um nome de perfil local da Juniper chamado localprofile1. Selecione uma ação padrão (permissão, log-and-permit, block) para este perfil para obter solicitações que experimentem erros. Este exemplo define a ação padrão para permitir. Adicione a lista de permissões de categoria com ação de log-and-permit e cus-blocklist com ação em blocos.

  • localprofile1

  • Action: block

  • Action: log-and-permit

  • cust-black-list

  • cust-permit-list

  • Defina o url de redirecionamento. Digite uma mensagem personalizada a ser enviada quando as solicitações de HTTP e HTTPS forem bloqueadas.

  • Selecione as configurações de fallback (bloqueio ou log-and-permit) para este perfil, caso ocorram erros em cada categoria configurada. Este exemplo define as configurações de fallback para bloquear.

  • block-message type custom-redirect-url

  • block-message url 192.0.2.10

  • custom-block-message “**Access to this site is not permitted**”.

  • fallback-settings:

    • block

    • log-and-permit

Content Security policies

Crie a política utmp5 de segurança de conteúdo e conecte-a ao perfil localprofile1. No exemplo de configuração final, anexe a política utmp5 de segurança de conteúdo à política de p5segurança.

  • utm policy utmp5

  • policy p5

Configuração

Configuração da filtragem local de objetos personalizados e padrões de URL

Configuração rápida da CLI

Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit] commit modo de configuração.

A partir do Junos OS Release 15.1X49-D110, o "* em uma sintaxe curinga, usado para perfil de filtragem web de padrão de URL, corresponde a todos os subdomains. Por exemplo, *.example.net combina:

  • http://a.example.net

  • http://example.net

  • aaa.example.net

Procedimento passo a passo

Para configurar a filtragem de Web local usando o CLI:

  1. Configure um objeto personalizado da lista de padrões de URL criando o nome da lista e adicionando valores a ele da seguinte forma:

    Nota:

    Como você usa listas de padrões de URL para criar listas personalizadas de categoria de URL, você deve configurar objetos personalizados da lista de padrões de URL antes de configurar listas personalizadas de categoria de URL.

    Nota:
    • A diretriz para usar um curinga de padrão de URL é a seguinte: Use a seguinte síntese: Use o mesmo e preceder todos os URLs curingas com http://. Você só pode usar "*" se estiver no início da URL e seguir ".". Você só pode usar "?" no final da URL.

    • As seguintes sintaxes curingas são suportadas: http://*. example.net, http://www.example.ne?, http://www.example.n?. As seguintes sintaxes curingas não são suportadas: *.example.???, http://*example.net, http://?.

  2. Aplicando o padrão de URL a uma categoria de URL personalizada.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security utm custom-objects comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Aplique objetos personalizados nos perfis de recursos

Configuração rápida da CLI

Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit] commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar perfis locais de recursos de filtragem de Web:
  1. Crie um nome de perfil e selecione uma categoria das categorias de permissão e blocklist incluídas. A ação personalizada da categoria pode ser bloqueio, permissão, log-and-permit e quarentena.

  2. Defina um servidor de URL de redirecionamento para que, em vez de o dispositivo enviar uma página de blocos com HTML de texto simples, o dispositivo envie um redirecionamento HTTP 302 para este servidor de redirecionamento com variáveis especiais incorporadas no campo de localização de redirecionamento HTTP. Essas variáveis especiais são analisadas pelo servidor de redirecionamento e servem como uma página de bloco especial para o cliente com imagens e um formato de texto claro.

  3. Digite uma mensagem personalizada a ser enviada quando as solicitações de HTTP ou HTTPS forem bloqueadas.

  4. Especifique uma ação padrão (permitir, registrar e permitir, bloquear ou quarentena) para o perfil, quando nenhuma outra ação explicitamente configurada (blocklist, allowlist, categoria personalizada, ações de categoria predefinidas ou ações de reputação do site) for combinada.

  5. Configure configurações de fallback (bloquear ou registrar e permitir) para este perfil.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security utm feature-profile comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Anexação de políticas de segurança de conteúdo de filtragem da Web a políticas de segurança

Configuração rápida da CLI

Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit] commit modo de configuração.

Procedimento passo a passo

Para configurar uma política de segurança de conteúdo:

  1. Crie a política de segurança de conteúdo fazendo referência a um perfil. Aplique o perfil de filtragem da Web na política de segurança de conteúdo.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security utm comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Para a brevidade, esta saída de comando show inclui apenas a configuração que é relevante para este exemplo. Qualquer outra configuração no sistema foi substituída por elipses (...).

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Anexação de políticas locais de segurança de conteúdo de filtragem de web a políticas de segurança

Configuração rápida da CLI

Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit] commit modo de configuração.

Procedimento passo a passo

Para anexar uma política de segurança de conteúdo a uma política de segurança:

  1. Crie e configure a política de segurança.

  2. Aplique a política de segurança de conteúdo na política de segurança.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute a seguinte tarefa:

Verificando as estatísticas da filtragem da Web de segurança de conteúdo

Propósito

Verifique as estatísticas de filtragem da Web para conexões, incluindo hits de lista de permitidos e blocklist e acessos personalizados de categoria.

Ação

A partir do modo operacional, entre no show security utm web-filtering statistics comando.

Saída de amostra
nome de comando
Tabela de histórico de lançamentos
Lançamento
Descrição
17.4R1
A partir do Junos OS Release 17.4R1, a configuração de categoria personalizada é suportada para filtragem de Web local. A opção custom-message também é suportada em uma categoria para filtragem de Web local e perfis de redirecionamento do Websense. Os usuários podem criar várias listas de URL (categorias personalizadas) e aplicá-las a um perfil de filtragem de Web de segurança de conteúdo com ações como permissão, permissão e registro, bloqueio e quarentena. Para criar uma lista de permitidores ou blocos global, aplique um perfil local de filtragem de Web a uma política de segurança de conteúdo e conecte-o a uma regra global.
17.4R1
A partir do Junos OS Release 17.4R1, uma nova opção, custom-messageé adicionado para a custom-objects declaração que permite configurar mensagens de usuário e redirecionar URLs para notificar os usuários quando uma URL é bloqueada ou colocada em quarentena para cada categoria EWF.
15,1X49-D110
A partir do Junos OS Release 15.1X49-D110, a " * " em uma sintaxe curinga, usada para perfil de filtragem de Web padrão de URL, corresponde a todas as subdomains.