NESTA PÁGINA
Filtragem aprimorada de Web
A filtragem da Web oferece recursos de filtragem de URL usando um servidor Websense local ou um servidor SurfControl baseado na Internet. Para obter mais informações, veja os seguintes tópicos:
Visão geral aprimorada da filtragem da Web
A filtragem aprimorada de Web (EWF) com Websense é uma solução integrada de filtragem de URL. Quando você habilita a solução no dispositivo, ele intercepta as solicitações de HTTP e HTTPS e envia a URL HTTP ou o IP de origem HTTPS para o Websense ThreatSeeker Cloud (TSC). O TSC categoriza a URL em uma ou mais categorias predefinidas e também fornece informações de reputação do site. O TSC devolve ainda mais a categoria de URL e as informações de reputação do site ao dispositivo. O dispositivo determina se ele pode permitir ou bloquear a solicitação com base nas informações fornecidas pelo TSC.
Começando pelo Junos OS Release 15.1X49-D40 e Junos OS Release 17.3R1, a EWF oferece suporte ao tráfego HTTPS interceptando o tráfego HTTPS que passa pelo firewall da Série SRX. O canal de segurança do dispositivo é dividido como um canal SSL entre o cliente e o dispositivo e outro canal SSL entre o dispositivo e o servidor HTTPS. O proxy de encaminhamento SSL atua como terminal para ambos os canais e encaminha o tráfego cleartext para a segurança de conteúdo. A segurança de conteúdo extrai a URL da mensagem de solicitação de HTTP.
Você pode considerar a solução EWF como a solução de filtragem de URL de próxima geração, com base na solução surf-control existente.
A filtragem aprimorada de Web oferece suporte aos seguintes métodos HTTP:
OBTER
POSTAR
OPÇÕES
CABEÇA
PÔR
EXCLUIR
TRAÇO
LIGAR
Mensagens de usuário e URLs de redirecionamento para filtragem aprimorada de web (EWF)
A partir do Junos OS Release 15.1X49-D110, uma nova opção, custom-message
é adicionada para o custom-objects
comando que permite configurar mensagens de usuário e redirecionar URLs para notificar os usuários quando uma URL é bloqueada ou colocada em quarentena para cada categoria EWF. A opção custom-message
tem os seguintes atributos obrigatórios:
Nome: Nome da mensagem personalizada; o comprimento máximo é de 59 bytes.
Tipo: Tipo de mensagem personalizada:
user-message
ouredirect-url
.Conteúdo: Conteúdo da mensagem personalizada; o comprimento máximo é de 1024 bytes.
Você configura uma mensagem de usuário ou redireciona a URL como um objeto personalizado e atribui o objeto personalizado a uma categoria EWF.
Mensagens de usuário indicam que o acesso ao site foi bloqueado pela política de acesso de uma organização. Para configurar uma mensagem de usuário, inclua a
type user-message content message-text
declaração no nível de[edit security utm custom-objects custom-message message]
hierarquia.Redirecione AS URLs redirecione uma URL bloqueada ou em quarentena para uma URL definida pelo usuário. Para configurar uma URL de redirecionamento, inclua a
type redirect-url content redirect-url
declaração no nível de[edit security utm custom-objects custom-message message]
hierarquia.
A opção custom-message
oferece os seguintes benefícios:
Você pode configurar uma mensagem personalizada separada ou redirecionar a URL para cada categoria de EWF.
A opção
custom-message
permite ajustar mensagens para apoiar suas polícias para saber qual URL está bloqueada ou colocada em quarentena.Apenas uma
custom-message
opção de configuração é aplicada para cada categoria. Acustom-message
configuração é suportada apenas na Filtragem aprimorada de Web (EWF). Portanto, apenas o tipo de mecanismo EWF da Juniper é suportado.
A partir do Junos OS Release 17.4R1, o suporte para configuração de categoria personalizada está disponível para perfis de redirecionamento local e Websense.
Veja também
Entendendo o processo aprimorado de filtragem de Web
A filtragem da Web permite que você gerencie o acesso à Internet, impedindo o acesso a conteúdo inapropriado da Web. O recurso de filtragem aprimorada de Web (EWF) intercepta, verifica e age no tráfego HTTP ou HTTPS da seguinte maneira:
O dispositivo cria conexões de tomada TCP para o Websense ThreatSeeker Cloud (TSC).
O dispositivo intercepta uma conexão HTTP ou HTTPS e extrai URL, nome de host ou endereço IP para realizar a filtragem da Web. Para uma conexão HTTPS, o EWF é suportado por meio de proxy de encaminhamento SSL.
Começando pelo Junos OS Release 12.3X48-D25 e Junos OS Release 17.3R1, Enhanced Web Filtering (EWF) em suportes de proxy SSL para o tráfego HTTPS.
O dispositivo procura a URL na lista de bloqueio ou na lista de permitidos configurada pelo usuário.
Uma lista de bloqueios ou um tipo de ação de permissão é uma categoria definida pelo usuário na qual todos os URLs ou endereços IP são sempre bloqueados ou permitidos e registrados opcionalmente.
Se a URL estiver na lista de bloqueio configurada pelo usuário, o dispositivo bloqueará a URL.
Se a URL estiver na lista de permissão configurada pelo usuário, o dispositivo permitirá a URL.
O dispositivo verifica as categorias e bloqueios definidos pelo usuário ou permite a URL com base na ação especificada pelo usuário para a categoria.
O dispositivo procura categoria de pré-requisito em cache local ou de serviço de nuvem.
Se a URL não estiver disponível no cache de filtragem de URL, o dispositivo envia a URL no formato HTTP para o TSC com uma solicitação de categorização. O dispositivo usa uma das conexões disponibilizadas ao TSC para enviar a solicitação.
O TSC responde ao dispositivo com a categorização e uma pontuação de reputação.
O dispositivo realiza as seguintes ações com base na categoria identificada:
Se a URL for permitida, o dispositivo encaminha a solicitação de HTTP para o servidor HTTP.
Se a URL estiver bloqueada, o dispositivo envia uma página de negação para o cliente HTTP e também envia uma mensagem de reset para o servidor HTTP para fechar a conexão
Se a URL estiver colocada em quarentena, o dispositivo envia uma página de quarentena com cookies de configuração para o cliente HTTP. Se o cliente decidiu continuar, o dispositivo permite uma nova solicitação com cookie.
Se a categoria estiver configurada e a ação da categoria estiver disponível, o dispositivo permite ou bloqueia a URL com base na ação da categoria.
Se a categoria não estiver configurada, o dispositivo permite ou bloqueia a URL com base na ação global de reputação.
Se a reputação global não estiver configurada, o dispositivo permite ou bloqueia a URL com base na ação padrão configurada no perfil de filtragem da Web.
Por padrão, a EWF processa uma URL na ordem de blocklist, lista de permite, categoria personalizada e, em seguida, categoria predefinida.
- Requisitos funcionais para filtragem aprimorada de web
- Pré-carga de cache para filtragem aprimorada de Web
- Mensagens de usuário e URLs de redirecionamento para filtragem aprimorada de web (EWF)
- Seleção inteligente de perfil de filtragem de Web
Requisitos funcionais para filtragem aprimorada de web
Os itens a seguir são necessários para usar a filtragem aprimorada de Web (EWF):
License key— Você precisa instalar uma nova licença para atualizar para a solução EWF.
Você pode ignorar a mensagem de aviso "requer licença 'wf_key_websense_ewf'" porque ela é gerada pela verificação de validação de licença EWF de rotina.
Um período de carência de 30 dias, consistente com outros recursos de segurança de conteúdo, é fornecido para o recurso EWF após a expiração da chave de licença.
Esse recurso requer uma licença. Consulte o Guia de licenciamento para obter informações gerais sobre o gerenciamento de licenças. Consulte as folhas de dados do produto nos firewalls da Série SRX para obter detalhes ou entrar em contato com sua equipe de conta da Juniper ou com o parceiro Juniper.
Quando o período de carência do recurso EWF tiver passado (ou se o recurso não tiver sido instalado), a filtragem da Web é desativada, todas as solicitações de HTTP ignoram a filtragem da Web e quaisquer conexões com o TSC são desabilitadas. Quando você instala uma licença válida, as conexões com o servidor são estabelecidas novamente.
O
debug
comando fornece as seguintes informações para cada conexão TCP disponível no dispositivo:Número de solicitações processadas
Número de solicitações pendentes
Número de erros (solicitações perdidas ou cronometradas)
TCP connection between a Web client and a webserver— Um módulo de identificação de aplicativos (APPID) é usado para identificar uma conexão HTTP. A solução EWF identifica uma conexão HTTP após o dispositivo receber o primeiro pacote SYN. Se uma solicitação de HTTP precisar ser bloqueada, a EWF envia uma mensagem em bloco do dispositivo para o cliente Web. A EWF envia ainda uma solicitação de TCP FIN ao cliente e um TCP reset (RST) ao servidor para desativar a conexão. O dispositivo envia todas as mensagens pela sessão de fluxo. As mensagens seguem toda a cadeia de serviços.
HTTP request interception— A EWF intercepta a primeira solicitação de HTTP no dispositivo e realiza a filtragem de URL em todos os métodos definidos em HTTP 1.0 e HTTP 1.1. O dispositivo detém a solicitação original enquanto aguarda uma resposta do TSC. Se o primeiro pacote na URL HTTP estiver fragmentado ou se o dispositivo não puder extrair a URL por algum motivo, então o endereço IP de destino é usado para a categorização. Se você ativar
http-reassemble
, a EWF pode recuperar toda a solicitação do fragmento e obter URL.Para conexões persistentes de HTTP 1.1, as solicitações subsequentes nessa sessão são ignoradas pelo módulo EWF.
Se o dispositivo mantiver a solicitação original por um longo tempo, o cliente retransmitirá a solicitação. O código de filtragem de URL detectará os pacotes retransmitidos. Se a solicitação de HTTP original já tiver sido encaminhada, a EWF encaminha o pacote retransmitido para o servidor. No entanto, se o EWF estiver no meio do processamento do primeiro pacote ou fizer o cálculo para bloquear a sessão, então a solução derruba o pacote retransmitido. Um contador rastreia o número de pacotes retransmitidos recebidos pelo dispositivo.
Se o TSC não responder a tempo da solicitação de categorização do dispositivo, a solicitação original do cliente será bloqueada ou permitida de acordo com a configuração de fallback timeout.
HTTPS request interception— Começando pelo Junos OS 15.1X49-D40 e o Junos OS Release 17.3R1, a EWF intercepta o tráfego HTTPS que passa pelo firewall da Série SRX. O canal de segurança do dispositivo é dividido como um canal SSL entre o cliente e o dispositivo e outro canal SSL entre o dispositivo e o servidor HTTPS. O proxy de encaminhamento SSL atua como terminal para ambos os canais e encaminha o tráfego cleartext para a segurança de conteúdo. A segurança de conteúdo extrai a URL da mensagem de solicitação de HTTP.
Blocking message— A mensagem de bloqueio enviada ao cliente da Web é configurável pelo usuário e é dos seguintes tipos:
A mensagem de bloqueio da Juniper Networks é a mensagem padrão definida no dispositivo que pode ser modificada pelo usuário. A mensagem de bloqueio padrão contém a razão pela qual a solicitação é bloqueada e o nome da categoria (se ela for bloqueada por causa de uma categoria).
Mensagem do Syslog.
Por exemplo, se você tiver definido a ação para Enhanced_Search_Engines_and_Portals bloquear e tentar acessar www.example.com, a mensagem de bloqueio é do seguinte formulário: Juniper Web Filtering:Juniper Web Filtering has been set to block this site. CATEGORY: Enhanced_Search_Engines_and_Portals REASON: BY_PRE_DEFINED . No entanto, a mensagem de syslog correspondente no dispositivo em teste (DUT) é: WEBFILTER_URL_BLOCKED: WebFilter: ACTION="URL Blocked" 56.56.56.2(59418)->74.125.224.48(80) CATEGORY="Enhanced_Search_Engines_and_Portals" REASON="by predefined category" PROFILE="web-ewf" URL=www.example.com OBJ=/ . .
Monitoring the Websense server— O módulo de filtragem de URL usa dois métodos para determinar se o TSC está ativo: conexões de tomada e pulsação. A EWF mantém os soquetes TCP persistentes no TSC. O servidor responde com um TCP ACK se estiver habilitado. A EWF envia um NOOP de camada de aplicativo para o TSC. Se o dispositivo não receber respostas a três keepalives NOOP consecutivos em um período específico, ele determina que o soquete esteja inativo. O módulo EWF tenta abrir uma nova conexão com o TSC. Se todos os sockets estiverem inativos, o TSC é considerado inativo. Portanto, ocorre um erro. O erro é exibido e logado. Solicitações subsequentes e solicitações pendentes são bloqueadas ou aprovadas de acordo com a configuração de retorno da conectividade do servidor até que novas conexões ao TSC sejam abertas novamente.
HTTP protocol communication with the TSC— A EWF usa o protocolo HTTP 1.1 para se comunicar com o TSC. Isso garante uma conexão e transmissão persistentes de várias solicitações de HTTP pela mesma conexão. Uma única solicitação ou resposta DE HTTP é usada para comunicação de clientes ou servidores. O TSC pode lidar com solicitações de fila; para um desempenho ideal, é usado um mecanismo de solicitação ou resposta assíncronos. As solicitações são enviadas pelo TCP para que a retransmissão de TCP seja usada para garantir a solicitação ou a entrega de respostas. O TCP também garante que dados de fluxo DE HTTP válidos e não retransmitidos sejam enviados ao cliente HTTP do dispositivo.
Responses— As respostas aderem às convenções básicas de HTTP. Respostas bem-sucedidas incluem um código de resposta 20x (tipicamente 200). Uma resposta de erro inclui um código 4x ou 5xx. As respostas de erro na série 4x indicam problemas no código personalizado. Respostas de erro na série 5x indicam problemas com o serviço.
Os códigos e significados de erro são os seguintes:
400– Solicitação ruim
403- Proibido
404 - Não foi encontrado
408 – Solicitação de resposta cancelada ou nula
500– Erro no servidor interno
Erros na série 400 indicam problemas com a solicitação. Erros na série 500 indicam problemas com o serviço TSC. O Websense é notificado desses erros automaticamente e responde de acordo.
Você pode configurar a configuração de fallback padrão para determinar se aprova ou bloqueia a solicitação:
set security utm feature-profile web-filtering juniper-enhanced profile juniper-enhanced fallback-settings default ?
A resposta também contém a categorização do site e informações de reputação do site.
Categories— Uma lista de categorias está disponível no dispositivo. Esta lista consiste em categorias, cada uma contendo um código de categoria, um nome e um ID pai. As categorias também podem ser definidas pelo usuário. Cada categoria consiste em uma lista de URLs ou endereços IP. As categorias não são atualizadas dinamicamente e estão vinculadas à versão do Junos OS porque precisam ser compiladas na imagem do Junos OS. Qualquer atualização em categorias precisa ser sincronizada com o ciclo de versão do Junos OS.
Começando pelo Junos OS Release 17.4R1, você pode baixar e carregar dinamicamente novas categorias de EWF. O download e o carregamento dinâmico das novas categorias de EWF não exigem um upgrade de software. O Websense ocasionalmente lança novas categorias de EWF. A EWF classifica sites em categorias de acordo com o host, URL ou endereço IP e realiza filtragem com base nas categorias.
Se a transferência de arquivo da categoria falhar entre os dispositivos primários e secundários, então a transferência de arquivos resulta em um erro de atualização e um log de erro é gerado.
Durante a instalação de arquivos de nova categoria, se o nome de arquivo da categoria for alterado, então o novo arquivo de categoria substitui o arquivo de categoria antigo no sistema interno e todas as informações de saída relacionadas serão substituídas pelo nome da nova categoria.
A partir do Junos OS Release 17.4R1, os filtros base predefinidos, definidos em um arquivo de categoria, são suportados para categorias EWF individuais. Cada categoria de EWF tem uma ação padrão em um filtro base, que é anexado ao perfil do usuário para agir como um filtro de backup. Se as categorias não estiverem configuradas no perfil do usuário, o filtro base agirá.
Um filtro base é um objeto que contém um par de ação de categoria para todas as categorias definidas no arquivo da categoria. Um filtro base é um objeto estruturado e é definido com a ajuda de um nome de filtro e um conjunto de pares de ação de categoria.
O seguinte é um exemplo de um filtro base com uma variedade de pares de ação de categoria. Para a categoria Enhanced_Adult_Material, a ação é um bloqueio; para a categoria Enhanced_Blog_Posting, a ação é permissão; e assim por diante.
{ "predefined-filter": [ { "filter-name": "ewf-default-filter", "cat-action-table": [ {"name":"Enhanced_Adult_Material","action":"block"}, {"name":"Enhanced_Blog_Posting","action":"permit"}, {"name":"Enhanced_Blog_Commenting","action":"permit"} ] } ] }
O EWF oferece suporte a até 16 filtros base. O Junos OS Release 17.4R1 também oferece suporte à gradação on-line de filtros de base.
Se o perfil do usuário tiver o mesmo nome do filtro base, o filtro da Web usará o perfil errado.
Caching— Respostas categorizadas com sucesso são armazenadas em cache no dispositivo. URLs não categorizadas não são armazenadas em cache. O tamanho do cache pode ser configurado pelo usuário.
Safe search (HTTP support only, not HTTPS)— Uma solução de busca segura é usada para garantir que os objetos incorporados, como imagens nas URLs recebidas dos mecanismos de busca, sejam seguros e que nenhum conteúdo indesejável seja devolvido ao cliente.
Uma URL é fornecida ao TSC para fornecer informações de categorização. Se for uma URL de pesquisa, o TSC também retorna uma cadeia de pesquisa segura. Por exemplo, a corda de busca segura é safe=active. Essa cadeia de pesquisa segura é anexada à URL, e uma resposta de redirecionamento para redirecionar a consulta do cliente com uma busca segura é ativada. Isso garante que nenhum conteúdo inseguro seja devolvido ao cliente. Se o TSC indicar que precisa ser revistado com segurança, então você pode realizar o redirecionamento de busca segura.
Por exemplo, o cliente faz uma solicitação à URL https://www.google.com/search?q=test, que é permitida pelo perfil EWF. No modo pacote, o EWF no DUT gerará uma resposta HTTP 302, com a URL de redirecionamento: https://www.google.com/search?q=test&safe=active. Essa resposta retorna ao cliente. O cliente agora envia uma solicitação de redirecionamento seguro para esta URL. No modo stream, o EWF no DUT reescreve a URL para https://www.google.com/search?q=test&safe=active e encaminhá-la.
Nota:O redirecionamento seguro de pesquisa oferece suporte apenas a HTTP. Você não pode extrair a URL para HTTPS. Portanto, não é possível gerar uma resposta de redirecionamento para URLs de pesquisa de HTTPS. Os redirecionamentos de busca segura podem ser desativados usando a opção
no-safe-search
CLI.Site reputation— O TSC fornece informações de reputação do site. Com base nessas reputação, você pode escolher um bloco ou uma ação de permissão. Se a URL não for tratada por uma lista de permitidos ou um blocklist e não cair em uma categoria de usuário ou predefinida, a reputação pode ser usada para executar uma decisão de filtragem de URL.
A partir do Junos OS Release 17.4R1, as pontuações base de reputação são configuráveis. Os usuários podem aplicar valores de reputação globais, fornecidos pelo Websense ThreatSeeker Cloud (TSC). Para URLs não-categoria, o valor de reputação global é usado para realizar filtragem,
Os resultados de reputação são os seguintes:
O local 100-90 é considerado muito seguro.
80-89- O local é considerado moderadamente seguro.
70-79- O local é considerado bastante seguro.
60-69– O local é considerado suspeito.
0-59- O local é considerado prejudicial.
O dispositivo mantém um log para URLs bloqueados ou permitidos com base nas pontuações de reputação do site.
Profiles— Um perfil de filtragem de URL é definido como uma lista de categorias, com cada perfil tendo um tipo de ação (permissão, log e permissão, bloqueio, quarentena) associado a ele. Um perfil junos-wf-enhanced-default predefinido é fornecido aos usuários se eles optarem por não definir seu próprio perfil.
Você também pode definir uma ação com base em reputação de site em um perfil para especificar a ação quando a URL de entrada não pertence a nenhuma das categorias definidas no perfil. Se você não configurar as informações de gerenciamento de reputação do site, então você pode definir uma ação padrão. Todas as URLs que não tiverem uma categoria definida ou uma ação de reputação definida em seu perfil serão bloqueadas, permitidas, registradas e permitidas ou colocadas em quarentena, dependendo do bloco ou do manuseio de permissão para a ação padrão definida explicitamente no perfil. Se você não especificar uma ação padrão, os URLs serão permitidos. Para solicitações de mecanismos de pesquisa, se não houver configuração definida pelo usuário explícita, e a solicitação de URL estiver sem a opção de pesquisa segura, a EWF gera uma resposta de redirecionamento e a envia ao cliente. O cliente gerará uma nova solicitação de pesquisa com a opção de pesquisa segura habilitada.
Um perfil de filtragem de URL pode conter os seguintes itens:
Várias categorias definidas pelo usuário e predefinidas, cada uma com uma permissão ou ação de bloqueio
Várias categorias de tratamento de reputação de sites, cada uma com uma permissão ou ação de bloqueio
Uma ação padrão com uma permissão ou ação de bloqueio
A ordem de pesquisa é a lista de bloqueio, lista de permite, categoria definida pelo usuário, categoria predefinida, pesquisa segura, reputação do site e ação padrão.
Pré-carga de cache para filtragem aprimorada de Web
A partir do Junos OS Release 23.2R1, o cache é carregado com a lista de URL mais bem avaliada e visitada com frequência, juntamente com as informações de classificação na fase de inicialização do sistema. Isso é útil para usuários com uma conexão de internet lenta que experimentam alta latência ao acessar a Web devido ao serviço de categorização remota. Ele garante que não haja defasagem mesmo quando a primeira solicitação é feita, pois a decisão da política do filtro da Web é baseada nas informações da categoria de URL pré-carregadas no cache.
O cache não é habilitado por padrão. Certifique-se de que o cache está habilitado para usar esse recurso. As configurações a seguir são necessárias para permitir o cache para filtragem aprimorada de Web (EWF) e estão disponíveis em firewalls da Série SRX.
-
security utm default-configuration web-filtering juniper-enhanced cache timeout
-
security utm default-configuration web-filtering juniper-enhanced cache size
Use as seguintes opções de declaração de configuração CLI para o Pré-carregamento de cache para filtragem aprimorada de Web:
security { utm { default-configuration { web-filtering { juniper-enhanced { cache-preload { feed-url <URL>; automatic { interval 1; retry 1; feed-type <server-names-feed>; } } } } } } }
feed-url | Costumava baixar um arquivo alternativo em vez do arquivo rígido padrão. Não é obrigatório. Padrões com código rígido são usados se não estiver definido. URL de feed padrão: https://update.juniper-updates.net/EWF-CACHE-PRELOAD/ Um dos seguintes padrões são usados com base no tipo de feed: https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_feed.tgz https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_feed.tgz |
Automático | Usado para definir o cache de download e pré-carregamento automaticamente sem interação do usuário. |
intervalo < horas> | Costumava agendar o pré-carregamento automático do cache. É obrigatório se a opção automática for especificada. |
tentativa automática de <tempo em horas> | Usado para agendar nova tentativa se a pré-carga de cache automática falhar por algum motivo. É obrigatório se a opção automática for especificada. |
feed automático <abs-urls-feed ou feed de nomes de servidor> | Usado para especificar o tipo de feed a ser usado por download automático e funções de pré-carga. É obrigatório se a opção automática for especificada. |
Você pode limitar o número máximo de entradas no cache usando o seguinte comando:
set security utm default-configuration web-filtering juniper-enhanced cache size ?
Possíveis conclusões:
<size> Juniper enhanced cache size (0..4096 kilobytes)
Novos comandos operacionais estão disponíveis na CLI para o recurso aprimorado de pré-carga de cache de filtragem de Web.
Você pode usar os comandos operacionais para baixar o feed de URL de sua escolha no servidor remoto. A opção Feed-URL é útil para baixar um arquivo alternativo em vez do arquivo com código rígido padrão. Mesmo com a opção Feed-URL, a opção de feed de nomes de servidor e a opção de alimentação abs-urls são necessárias para indicar o tipo de feed que está disponível no pacote que você especificou.
-
request security utm web-filtering cache-preload download abs-urls-feed
-
request security utm web-filtering cache-preload download server-names-feed
-
request security utm web-filtering cache-preload download server-names-feed feed-url https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_fp_feed.tgz
-
request security utm web-filtering cache-preload download abs-urls-feed feed-url https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_fp_feed.tgz
O pacote de tipo server-names-feed especificado pelo usuário deve conter os arquivos e server_names_feed.ver os server_names_feed.csv arquivos.
O pacote de tipo abs-urls-feed must especificado pelo usuário contém os arquivos e abs_urls_feed.ver os abs_urls_feed.csv arquivos.
A seguir, os links codificados rígidos. O programa escolhe um link com base no tipo de feed.
https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_feed.tgz
https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_feed.tgz
Use os seguintes comandos operacionais para acionar o pré-carregamento de cache usando o feed de URL existente dentro do sistema. Esses comandos carregam o cache se o pacote já estiver instalado usando os comandos para download. Use a opção de feed de nomes de servidor para pré-carregar nomes de servidor categorizados. Use o feed abs-urls para pré-carregar feed de URL categorizado.
-
request security utm web-filtering cache-preload load-active-local server-names-feed
-
request security utm web-filtering cache-preload load-active-local abs-urls-feed
Use o seguinte para baixar, instalar o feed de URL padrão do servidor remoto e também carregar o cache. Use a opção de feed de nomes de servidor para baixar nomes de servidor categorizados. Use o feed abs-urls para baixar feed de URL categorizado.
-
request security utm web-filtering cache-preload load-active server-names-feed
-
request security utm web-filtering cache-preload load-active abs-urls-feed
Para verificar o status da função de pré-carga de cache, use o seguinte comando:
user@host> show security utm web-filtering cache-preload status
Mensagens de usuário e URLs de redirecionamento para filtragem aprimorada de web (EWF)
A partir do Junos OS Release 15.1X49-D110, uma nova opção, custom-message
é adicionada para a custom-objects
declaração que permite configurar mensagens de usuário e redirecionar URLs para notificar os usuários quando uma URL é bloqueada ou colocada em quarentena para cada categoria EWF. A opção custom-message
tem os seguintes atributos obrigatórios:
Nome: Nome da mensagem personalizada; o comprimento máximo é de 59 caracteres ASCII.
Tipo: Tipo de mensagem personalizada:
user-message
ouredirect-url
.Conteúdo: Conteúdo da mensagem personalizada; o comprimento máximo é de 1024 caracteres ASCII.
Você configura uma mensagem de usuário ou redireciona a URL como um objeto personalizado e atribui o objeto personalizado a uma categoria EWF.
Mensagens de usuário indicam que o acesso ao site foi bloqueado pela política de acesso de uma organização. Para configurar uma mensagem de usuário, inclua a
type user-message content message-text
declaração no nível de[edit security utm custom-objects custom-message message]
hierarquia.Redirecione AS URLs redirecione uma URL bloqueada ou em quarentena para uma URL definida pelo usuário. Para configurar uma URL de redirecionamento, inclua a
type redirect-url content redirect-url
declaração no nível de[edit security utm custom-objects custom-message message]
hierarquia.
A opção custom-message
oferece os seguintes benefícios:
Você pode configurar uma mensagem personalizada separada ou redirecionar a URL para cada categoria de EWF.
A opção
custom-message
permite ajustar mensagens para apoiar suas polícias para saber qual URL está bloqueada ou colocada em quarentena.Apenas uma
custom-message
opção de configuração é aplicada para cada categoria. Acustom-message
configuração é suportada apenas na Filtragem aprimorada de Web (EWF). Portanto, apenas o tipo de mecanismo EWF da Juniper é suportado.
A partir do Junos OS Release 17.4R1, o suporte para configuração de categoria personalizada está disponível para perfis de redirecionamento local e Websense.
Seleção inteligente de perfil de filtragem de Web
A partir do Junos OS Release 23.2R1, as informações dinâmicas do aplicativo do JDPI são usadas para recuperar informações de políticas antes que a correspondência final da política seja concluída. O perfil do Filtro web é atualizado novamente após a seleção final da política com base na correspondência final do aplicativo.
O perfil de segurança de conteúdo recuperado com base nas informações dinâmicas do aplicativo é mais preciso do que aplicar o perfil padrão, que era a abordagem anterior.
A detecção dinâmica de políticas baseadas em aplicativos agora é o comportamento padrão. O botão a seguir é adicionado na hierarquia de configuração padrão da Filtragem da Web para desabilitar o recurso dinâmico de detecção de perfil de aplicativo, se necessário.
set security utm default-configuration web-filtering disable-dynapp-profile-selection
Para tornar padrão uma das políticas de segurança de conteúdo, o seguinte comando é introduzido:
set security utm default-policy <pol_name>
Você pode escolher qualquer política de segurança de conteúdo como política padrão usando este comando. Se a política padrão estiver configurada em um cenário unificado de configuração de várias políticas, a política padrão de filtragem da Web de segurança de conteúdo será usada. Se não estiver configurada, a política junos-default-utm é usada como política padrão.
As mudanças de política padrão aplicam-se apenas à filtragem da Web e não à filtragem de conteúdo, Antivírus ou Antispam.
O comando CLI a seguir é usado para exibir a configuração da seleção de perfil de dynapp:
show security utm web-filtering status
Status da filtragem da Web de segurança de conteúdo:
Server status: Juniper Enhanced using Websense server UP
JDPI Parser : Enabled
Dynapp-profile-selection: Enabled
Use o comando a seguir para exibir os valores de contador de depuração para atividades de busca de políticas:
show security utm l7-app-policy statistics
Novos contadores são adicionados às estatísticas de filtragem de web para depuração.
Sessões combinadas com a política de dynapp |
Aumenta sempre que a política associada a uma uf_ng mudanças de sessão com base na identificação de aplicativos recém-identificada. |
Sessões combinadas com a política padrão |
Aumenta quando a ação da política de segurança de conteúdo tomada para uma conexão é baseada na política padrão configurada pelo usuário. Esse contador aumenta quando a política de padrão configurada pelo usuário é igual à política identificada por um novo aplicativo dinâmico ou quando a política padrão configurada pelo usuário tem um perfil de filtragem de Web de segurança de conteúdo válido e a política sem política foi combinada com a política de firewall existente. |
Sessões combinadas com a política final |
Aumenta quando medidas são tomadas em uma política de segurança de conteúdo sem qualquer conflito de políticas. |
Use o show services application-identification application-system-cache
comando para verificar o aplicativo dinâmico identificado pelo módulo AppID.
Veja também
Visão geral predefinida de configuração de configuração de categoria e filtro base
Você pode baixar e carregar dinamicamente novas categorias de filtragem aprimorada de web (EWF) sem qualquer atualização de software. Os filtros base predefinidos definidos em um arquivo de categoria são suportados para categorias EWF individuais.
Para configurar um upgrade de categoria predefinido sem qualquer atualização de software:
mostrar segurança utm objetos personalizados
category-package{ automatic{ interval 60; enable; start-time "2017-09-05.08.08.08"; } route-instance VRF; url https://update.juniper-updates.net/EWF; }
mostrar segurança utm filtragem web de perfil de recursos juniper aprimorada
server { host rp.cloud.threatseeker.com; } sockets 8; profile ewf_p1 { + base-filter gov-filter; default log-and-permit; timeout 15; } +reputation { reputation-very-safe 90; reputation-moderately-safe 80; reputation-fairly-safe 70; reputation-suspicious 60; }
Veja também
Exemplo: Configuração de filtragem aprimorada de web
Este exemplo mostra como configurar a filtragem aprimorada de Web (EWF) para gerenciar o acesso ao site. Esse recurso é compatível com todos os firewalls da Série SRX. A solução EWF intercepta as solicitações de HTTP e HTTPS e envia a URL HTTP ou o IP de fonte HTTPS para a Nuvem Websense ThreatSeeker (TSC). O TSC categoriza a URL em uma ou mais categorias predefinidas e também fornece informações de reputação do site. O TSC devolve ainda mais a categoria de URL e as informações de reputação do site ao dispositivo. O firewall da Série SRX determina se ele pode permitir ou bloquear a solicitação com base nas informações fornecidas pelo TSC.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
dispositivo de SRX5600
Versão Junos OS 12.1X46-D10 ou posterior
Antes de começar, você deve conhecer a filtragem de Web e a filtragem aprimorada de Web (EWF). Veja a visão geral da filtragem da Web e o processo aprimorado de filtragem de web.
Visão geral
A filtragem da Web é usada para monitorar e controlar como os usuários acessam o site por HTTP e HTTPS. Neste exemplo, você configura uma lista de padrões de URL (allowlist) de URLs ou endereços que você deseja ignorar. Depois de criar a lista de padrões de URL, defina os objetos personalizados. Depois de definir os objetos personalizados, você os aplica a perfis de recursos para definir a atividade em cada perfil, aplicar o perfil do recurso à política de segurança de conteúdo e finalmente anexar as políticas de segurança de conteúdo de filtragem da Web às políticas de segurança. A Tabela 3 mostra informações sobre o tipo, etapas e parâmetros de configuração EWF usados neste exemplo.
Tipo de configuração |
Etapas de configuração |
Parâmetros de configuração |
---|---|---|
URL pattern and custom objects |
Configure uma lista de padrões de URL (allowlist) de URLs ou endereços que você deseja ignorar. Crie um objeto personalizado chamado urllist3 que contém o padrão http://www.example.net 1.2.3.4 |
|
Adicione o objeto personalizado da urllist3 à categoria de URL personalizada custurl3. |
|
|
Feature profiles |
Configure o perfil do recurso de filtragem da Web: |
|
|
|
|
|
|
|
|
|
|
|
|
Configuração
Este exemplo mostra como configurar padrões de URL personalizados, objetos personalizados, perfis de recursos e políticas de segurança.
- Configuração de objetos personalizados de filtragem aprimorada de web e padrões de URL
- Configuração de perfis aprimorados de recursos de filtragem de Web
- Anexação de políticas de segurança de conteúdo de filtragem da Web a políticas de segurança
Configuração de objetos personalizados de filtragem aprimorada de web e padrões de URL
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit]
commit
modo de configuração.
set security utm custom-objects url-pattern urllist3 value http://www.example.net set security utm custom-objects url-pattern urllist3 value 1.2.3.4 set security utm custom-objects url-pattern urllistblack value http://www.untrusted.com set security utm custom-objects url-pattern urllistblack value 13.13.13.13 set security utm custom-objects url-pattern urllistwhite value http://www.trusted.com set security utm custom-objects url-pattern urllistwhite value 11.11.11.11 set security utm custom-objects custom-url-category custurl3 value urllist3 set security utm custom-objects custom-url-category custblacklist value urllistblack set security utm custom-objects custom-url-category custwhiltelist value urllistwhite
Começando pelo Junos OS Release 15.1X49-D110, o "* em uma sintaxe curinga, necessário para criar padrão de URL para perfil de filtragem de Web, corresponde a todos os subdomains. Por exemplo, *.example.net combina:
http://a.example.net
http://example.net
a.b.example.net
Uma categoria personalizada não tem precedência sobre uma categoria predefinida quando tem o mesmo nome de uma das categorias predefinidas. Não use o mesmo nome para uma categoria personalizada que você usou para uma categoria predefinida.
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar objetos personalizados e padrões de URL na filtragem aprimorada da Web:
Configure uma lista de padrões de URL (allowlist) de URLs ou endereços que você deseja ignorar. Depois de criar a lista de padrões de URL, você cria uma lista de categoria de URL personalizada e adiciona a lista de padrões a ela. Configure um objeto personalizado da lista de padrões de URL criando o nome da lista e adicionando valores a ele da seguinte forma:
Nota:Como você usa listas de padrões de URL para criar listas personalizadas de categoria de URL, você deve configurar objetos personalizados da lista de padrões de URL antes de configurar listas personalizadas de categoria de URL.
[edit security utm] user@host# set custom-objects url-pattern urllist3 value [http://www. example.net 1.2.3.4]
Nota:A diretriz para usar um curinga de padrão de URL é a seguinte: Use a seguinte síntese: Use o mesmo e preceder todos os URLs curingas com http://. Você só pode usar "*" se estiver no início da URL e seguir ".". Você só pode usar "?" no final da URL.
As seguintes sintaxes curingas são suportadas: http://*. example.net, http://www.example.ne?, http://www.example.n?. As seguintes sintaxes curingas não são suportadas: *.example.???, http://*example.net, http://?.
Crie um objeto personalizado chamado urllist3 que contém o padrão http://www.example.net e depois adicione o objeto personalizado urllist3 à categoria de URL personalizada custurl3.
[edit security utm] user@host# set custom-objects custom-url-category custurl3 value urllist3
Crie uma lista de sites não confiáveis e confiáveis.
[edit security utm] user@host# set custom-objects url-pattern urllistblack value [http://www.untrusted.com 13.13.13.13] user@host# set custom-objects url-pattern urllistwhite value [http://www.trusted.com 11.11.11.11]
Configure o objeto personalizado da lista de categoria de URL personalizado usando a lista de padrões de URL de sites não confiáveis e confiáveis.
[edit security utm] user@host# set custom-objects custom-url-category custblacklist value urllistblack user@host# set custom-objects custom-url-category custwhitelist value urllistwhite
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security utm custom-objects
comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir.
[edit] user@host# show security utm custom-objects url-pattern { urllist3 { value [ 1.2.3.4 http://www.example.net ]; } urllistblack { value [ 13.13.13.13 http://www.untrusted.com ]; } urllistwhite { value [ 11.11.11.11 http://www.trusted.com ]; } } custom-url-category { custurl3 { value urllist3; } custblacklist { value urllistblack; } custwhiltelist { value urllistwhite; } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Configuração de perfis aprimorados de recursos de filtragem de Web
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit]
commit
modo de configuração.
A partir do Junos OS Release 12.3X48-D25, novas opções de CLI estão disponíveis. As http-reassemble
opções e http-persist
as opções são adicionadas no show security utm feature-profile web-filtering
comando.
set security utm default-configuration web-filtering juniper-enhanced set security utm default-configuration web-filtering juniper-enhanced cache size 500 set security utm default-configuration web-filtering juniper-enhanced cache timeout 1800 set security utm default-configuration web-filtering juniper-enhanced server host rp.cloud.threatseeker.com set security utm default-configuration web-filtering juniper-enhanced server port 80 set security utm default-configuration web-filtering http-reassemble set security utm default-configuration web-filtering http-persist set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile category Enhanced_Hacking action log-and-permit set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile category Enhanced_Government action quarantine set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile site-reputation-action very-safe permit set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile default block set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile fallback-settings server-connectivity block set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile fallback-settings timeout block set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile fallback-settings too-many-requests block set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile timeout 10 set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile no-safe-search set security utm utm-policy mypolicy web-filtering http-profile ewf_my_profile set security policies from-zone utm_clients to-zone mgmt policy 1 then permit application-services utm-policy mypolicy
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar os perfis de recursos EWF:
-
Configure o mecanismo EWF e defina o tamanho do cache e os parâmetros de tempo limite de cache.
[edit security utm default-configuration web-filtering] user@host# set juniper-enhanced cache size 500 user@host# set juniper-enhanced cache timeout 1800
Defina o nome do servidor ou endereço IP e o número de porta para comunicação com o servidor. O valor padrão do host no sistema é rp.cloud.threatseeker.com.
[edit security utm default-configuration web-filtering] user@host# set juniper-enhanced server host rp.cloud.threatseeker.com user@host# set juniper-enhanced server port 80
Configure a
http-reassemble
declaração para remontar o pacote solicitado e ahttp-persist
declaração para verificar todos os pacotes de solicitação de HTTP na mesma sessão. Se ahttp-reassemble
declaração não estiver configurada para limpar o tráfego HTTP, a EWF não remonta a solicitação de HTTP fragmentada para evitar análise incompleta na inspeção baseada em pacotes. Se ahttp-persist
declaração não estiver configurada para limpar o tráfego HTTP, a EWF não verificará todos os pacotes de solicitação de HTTP na mesma sessão.[edit security utm default-configuration web-filtering] user@host# set http-reassemble user@host# set http-persist
Especifique as medidas a serem tomadas dependendo da reputação do site devolvida para a URL se não houver correspondência de categoria encontrada.
[edit security utm feature-profile web-filtering] user@host#set juniper-enhanced profile ewf_my_profile site-reputation-action very-safe permit
-
Especifique uma ação padrão para o perfil quando nenhuma outra ação explicitamente configurada for combinada.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf_my_profile default block
Configure as configurações de fallback (bloquear ou registrar e permitir) para este perfil.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf_my_profile fallback-settings default block user@host# set juniper-enhanced profile ewf_my_profile fallback-settings server-connectivity block user@host# set juniper-enhanced profile ewf_my_profile fallback-settings timeout block user@host# set juniper-enhanced profile ewf_my_profile fallback-settings too-many-requests block
Insira um valor de tempo limite em segundos. Quando esse limite é alcançado, as configurações de fallback são aplicadas. Este exemplo define o valor do tempo limite para 10. Você também pode desativar a funcionalidade de pesquisa segura. Por padrão, as solicitações de pesquisa têm strings de pesquisa segura anexadas a elas, e uma resposta de redirecionamento é enviada para garantir que todas as solicitações de pesquisa sejam seguras ou rigorosas.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf_my_profile timeout 10 user@host# set juniper-enhanced profile ewf_my_profile no-safe-search
Nota:O intervalo de tempo limite para SRX210, SRX220, SRX240, SRX300, SRX320, SRX345, SRX380, SRX550, SRX1500, SRX4100 e SRX4200 é de 0 a 1800 segundos e o valor padrão é de 15 segundos. A faixa de valor de tempo limite para SRX3400 e SRX3600 é de 1 a 120 segundos e o valor padrão é de 3 segundos.
-
Configure uma política
mypolicy
de segurança de conteúdo para o protocolo HTTP de filtragem da Web, associando-seewf_my_profile
à política de segurança de conteúdo e anexe essa política a um perfil de segurança para implementá-la.[edit security utm] user@host# set utm-policy mypolicy web-filtering http-profile ewf_my_profile
-
Anexe a política
mypolicy
de segurança de conteúdo à política de1
segurança.[edit] user@host# set security policies from-zone utm_clients to-zone mgmt policy 1 then permit application-services utm-policy mypolicy
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security utm feature-profile
comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir.
[edit] user@host# show security utm default-configuration { web-filtering { http-reassemble; http-persist; juniper-enhanced { cache { timeout 1800; size 500; } server { host rp.cloud.threatseeker.com; port 80; } } } } feature-profile { web-filtering { http-reassemble; http-persist; juniper-enhanced { profile ewf_my_profile { category { Enhanced_Hacking { action log-and-permit; } Enhanced_Government { action quarantine; } } site-reputation-action { very-safe permit; } default block; fallback-settings { server-connectivity block; timeout block; too-many-requests block; } timeout 10; no-safe-search; } utm-policy mypolicy { web-filtering { http-profile ewf_my_profile; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Anexação de políticas de segurança de conteúdo de filtragem da Web a políticas de segurança
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit]
commit
modo de configuração.
set security policies from-zone trust to-zone untrust policy sec_policy match source-address any set security policies from-zone trust to-zone untrust policy sec_policy match destination-address any set security policies from-zone trust to-zone untrust policy sec_policy match application any set security policies from-zone trust to-zone untrust policy sec_policy then permit application-services utm-policy mypolicy
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para anexar uma política de segurança de conteúdo a uma política de segurança:
Crie a política de segurança sec_policy.
[edit] user@host# set security policies from-zone trust to-zone untrust policy sec_policy
Especifique as condições de correspondência para a sec-policy.
[edit security policies from-zone trust to-zone untrust policy sec_policy] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any
-
Anexe a política de segurança de conteúdo à política de segurança sec_policy.
[edit security policies from-zone trust to-zone untrust policy sec_policy] user@host# set then permit application-services utm-policy mypolicy
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security policies
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security policies from-zone trust to-zone untrust { sec_policy { match { source-address any; destination-address any; application any; } then { permit { application-services { utm-policy mypolicy; } } } } } default-policy { permit-all; }
Após terminar a configuração do dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificando a situação do servidor de filtragem da Web
- Verificando se as estatísticas de filtragem da Web aumentaram
- Verificando se a política de segurança de conteúdo de filtragem da Web está anexada à política de segurança
Verificando a situação do servidor de filtragem da Web
Propósito
Verifique o status do servidor de filtragem da Web.
Ação
Do topo da configuração no modo operacional, entre no show security utm web-filtering status
comando.
user@host> show security utm web-filtering status UTM web-filtering status: Server status: Juniper Enhanced using Websense server UP
Significado
A saída de comando mostra que a conexão do servidor de filtragem da Web está ativa.
Verificando se as estatísticas de filtragem da Web aumentaram
Propósito
Verifique o aumento das estatísticas de filtragem da Web. O valor inicial do contador é 0; se houver um acerto de URL de solicitação de HTTP, haverá um aumento nas estatísticas de filtragem da Web.
Ação
Do topo da configuração no modo operacional, entre no show security utm web-filtering statistics
comando.
user@host> show security utm web-filtering statistics UTM web-filtering statistics: Total requests: 0 white list hit: 0 Black list hit: 0 Queries to server: 0 Server reply permit: 0 Server reply block: 0 Server reply quarantine: 0 Server reply quarantine block: 0 Server reply quarantine permit: 0 Custom category permit: 0 Custom category block: 0 Custom category quarantine: 0 Custom category qurantine block: 0 Custom category quarantine permit: 0 Site reputation permit: 0 Site reputation block: 0 Site reputation quarantine: 0 Site reputation quarantine block: 0 Site reputation quarantine permit: 0 Site reputation by Category 0 Site reputation by Global 0 Cache hit permit: 0 Cache hit block: 0 Cache hit quarantine: 0 Cache hit quarantine block: 0 Cache hit quarantine permit: 0 Safe-search redirect: 0 SNI pre-check queries to server: 1 SNI pre-check server responses: 1 Web-filtering sessions in total: 128000 Web-filtering sessions in use: 0 Fallback: log-and-permit block Default 0 0 Timeout 0 0 Connectivity 0 0 Too-many-requests 0 0
Significado
A saída exibe estatísticas de filtragem de Web para conexões, incluindo acessos de lista e bloqueio e acertos personalizados de categoria. Se houver um urL de solicitação de HTTP, haverá um aumento nas estatísticas de filtragem de Web de um valor anterior.
Verificando se a política de segurança de conteúdo de filtragem da Web está anexada à política de segurança
Propósito
Verifique se a política de segurança de conteúdo de filtragem da Web está anexada à política de segurança sec_policy.
Ação
A partir do modo operacional, entre no show security policy
comando.
user@host> show security policies global policy-name mypolicy detail node0: - Global policies: Policy: mypolicy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1 From zones: zone1, zone2 To zones: zone3, zone4 Source addresses: any Destination addresses: any Applications: any Action: permit Unified Threat Management: enabled
Significado
A saída exibe um resumo de todas as políticas de segurança configuradas no dispositivo. Se uma determinada política for especificada, ela exibe informações específicas dessa política. Se a segurança de conteúdo estiver habilitada, a minha política será anexada a sec_policy.
Entendendo a ação de quarentena para filtragem aprimorada de web
A filtragem aprimorada de web com segurança de conteúdo oferece suporte a bloqueios, log-and-permit e permitir ações para solicitações de HTTP/HTTPS. Além disso, a filtragem aprimorada de Web com segurança de conteúdo agora oferece suporte à ação de quarentena que permite ou nega acesso ao site bloqueado com base na resposta do usuário à mensagem.
A sequência a seguir explica como a solicitação de HTTP ou HTTPs é interceptada, redirecionada e agida pela ação de quarentena:
O cliente HTTP solicita acesso à URL.
O dispositivo intercepta a solicitação de HTTP e envia a URL extraída para o Websense Thread Seeker Cloud (TSC).
O TSC retorna a categoria de URL e as informações de reputação do site para o dispositivo.
Se a ação configurada para a categoria for quarentena, o dispositivo registra a ação de quarentena e envia uma resposta de redirecionamento ao cliente HTTP.
A URL é enviada ao servidor HTTP para redirecionamento.
O dispositivo mostra uma mensagem de aviso afirmando que o acesso à URL está bloqueado de acordo com as políticas de segurança da organização e solicita que o usuário responda.
Se a resposta do usuário for "Não", a sessão será terminada. Se a resposta do usuário for "Sim", o usuário poderá acessar o site e esse acesso for registrado e relatado ao administrador.
A ação de quarentena é suportada apenas para filtragem aprimorada de Web de segurança de conteúdo ou tipo aprimorado de filtragem web da Juniper.
Quarantine Message
A mensagem de quarentena enviada ao cliente HTTP é configurável pelo usuário e é dos seguintes tipos:
Mensagem padrão
A mensagem padrão de quarentena é exibida quando um usuário tenta acessar um site em quarentena e contém as seguintes informações:
Nome de URL
Motivo da quarentena
Categoria (se disponível)
Reputação do site (se disponível)
Por exemplo, se você tiver definido a ação para Enhanced_Search_Engines_and_Portals colocar em quarentena e tentar acessar www.search.example.com, a mensagem de quarentena é a seguinte:
***The requested webpage is blocked by your organization's access policy***.
Mensagem do Syslog.
A mensagem de syslog será registrada pelo sistema quando o usuário acessar a página web que já foi colocada em quarentena e marcada como bloqueio ou permissão.
A mensagem de syslog correspondente no dispositivo em teste é:
Jan 25 15:10:40 rodian utmd[3871]: WEBFILTER_URL_BLOCKED: WebFilter: ACTION="URL Blocked" 99.99.99.4(60525)->74.125.224.114(80) CATEGORY="Enhanced_Search_Engines_and_Portals" REASON="by predefined category(quarantine)" PROFILE="ewf-test-profile" URL=www.search.example.com OBJ=/
A partir do Junos OS 12.1X47-D40 e do Junos OS Release 17.3R1, os campos de log estruturados mudaram. As alterações estruturadas do campo de log nos logs de filtro da Web de segurança de conteúdo WEBFILTER_URL_BLOCKED, WEBFILTER_URL_REDIRECTED e WEBFILTER_URL_PERMITTED são as seguintes:
name -> category
error-message -> reason
profile-name -> profile
object-name -> url
pathname -> obj
Mensagens de usuário e URLs de redirecionamento para filtragem aprimorada de web (EWF)
A partir do Junos OS Release 15.1X49-D110, uma nova opção, custom-message
é adicionada para a custom-objects
declaração que permite configurar mensagens de usuário e redirecionar URLs para notificar os usuários quando uma URL é bloqueada ou colocada em quarentena para cada categoria EWF. A opção custom-message
tem os seguintes atributos obrigatórios:
Nome: Nome da mensagem personalizada; o comprimento máximo é de 59 caracteres ASCII.
Tipo: Tipo de mensagem personalizada:
user-message
ouredirect-url
.Conteúdo: Conteúdo da mensagem personalizada; o comprimento máximo é de 1024 caracteres ASCII.
Você configura uma mensagem de usuário ou redireciona a URL como um objeto personalizado e atribui o objeto personalizado a uma categoria EWF.
Mensagens de usuário indicam que o acesso ao site foi bloqueado pela política de acesso de uma organização. Para configurar uma mensagem de usuário, inclua a
type user-message content message-text
declaração no nível de[edit security utm custom-objects custom-message message]
hierarquia.Redirecione AS URLs redirecione uma URL bloqueada ou em quarentena para uma URL definida pelo usuário. Para configurar uma URL de redirecionamento, inclua a
type redirect-url content redirect-url
declaração no nível de[edit security utm custom-objects custom-message message]
hierarquia.
A opção custom-message
oferece os seguintes benefícios:
Você pode configurar uma mensagem personalizada separada ou redirecionar a URL para cada categoria de EWF.
A opção
custom-message
permite ajustar mensagens para apoiar suas polícias para saber qual URL está bloqueada ou colocada em quarentena.Apenas uma opção de configuração de mensagem personalizada é aplicada para cada categoria. A configuração de mensagem personalizada é suportada apenas na Filtragem aprimorada de Web (EWF). Portanto, apenas o tipo de mecanismo EWF da Juniper é suportado.
A partir do Junos OS Release 17.4R1, o suporte para configuração de categoria personalizada está disponível para perfis de redirecionamento local e Websense.
Veja também
Exemplo: configuração da ação de reputação do site para filtragem aprimorada de web
Este exemplo mostra como configurar a ação de reputação do site para URLs categorizadas e não categorizadas.
Requisitos
Antes de começar, você deve conhecer a filtragem de Web e a filtragem aprimorada de Web. Veja a visão geral da filtragem da Web e o processo aprimorado de filtragem de web.
Visão geral
Neste exemplo, você configura perfis de filtragem de Web para URLs de acordo com categorias definidas usando a ação de reputação do site. Você define a categoria url-cat-white
de filtragem de lista de URL e o tipo de mecanismo de filtragem de Web para juniper-enhanced
. Em seguida, você define os parâmetros de tamanho de cache para a filtragem da Web e os parâmetros de tempo limite de cache para 1.
Em seguida, você cria um juniper-enhanced
perfil chamado ewf-test-profile
perfil, define a categoria de lista de permitidores de cust-cat-quarantine
URL e define a ação de reputação para quarentena.
Você insira uma mensagem personalizada a ser enviada quando as solicitações de HTTP forem colocadas em quarentena. Neste exemplo, a seguinte mensagem é enviada: The requested webpage is blocked by your organization's access policy
. .
Você bloqueia URLs na categoria Enhanced_News_and_Media e permite URLs na categoria Enhanced_Education. Em seguida, você coloca as URLs em quarentena na categoria Enhanced_Streaming_Media e configura o dispositivo para enviar a seguinte mensagem: The requested webpage is blocked by your organization's access policy
.
Neste exemplo, você define a ação padrão para permitir. Você seleciona configurações de fallback (bloqueio ou log-and-permit) para este perfil caso ocorram erros em cada categoria configurada. Finalmente, você define as configurações de fallback para bloquear.
Configuração
Configuração da ação de reputação do site
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security utm feature-profile web-filtering juniper-enhanced cache size set security utm feature-profile web-filtering juniper-enhanced reputation reputation-very-safe 85 set security utm feature-profile web-filtering juniper-enhanced reputation reputation-moderately-safe 75 set security utm feature-profile web-filtering juniper-enhanced reputation reputation-fairly-safe 65 set security utm feature-profile web-filtering juniper-enhanced reputation reputation-suspicious 55 set security utm feature-profile web-filtering juniper-enhanced cache timeout 1 set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category cust-cat-quarantine action quarantine set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category Enhanced_News_and_Media action block set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category Enhanced_Education action permit set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category Enhanced_Education reputation-action harmful block set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category Enhanced_Streaming_Media action quarantine set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile default permit set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile default quarantine-message “*** The requested webpage is blocked by your organization’s access policy***”. set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile fallback-settings server-connectivity block set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile fallback-settings timeout block
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar a ação de reputação do site:
-
Especifique o mecanismo de filtragem aprimorada da Web e defina os parâmetros de tamanho de cache.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced cache size
Configure as pontuações base de reputação.
[edit security utm feature-profile web-filtering] set juniper-enhanced reputation reputation-very-safe 85 set juniper-enhanced reputation reputation-moderately-safe 75 set juniper-enhanced reputation reputation-fairly-safe 65 set juniper-enhanced reputation reputation-suspicious 55
Nota:O valor base da reputação deve ser pedido.
Defina os parâmetros de tempo de cache.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced cache timeout 1
Crie um nome de perfil e selecione uma categoria das categorias de lista de permitidos.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile category cust-cat-quarantine action quarantine
Crie um nome de perfil e selecione uma categoria das categorias de lista de permitidos.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile category Enhanced_News_and_Media action block [edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile category Enhanced_Education action permit user@host# set juniper-enhanced profile ewf-test-profile category Enhanced_Education action harmful block [edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile category Enhanced_Streaming_Media action quarantine
Digite uma mensagem de aviso a ser enviada quando as solicitações de HTTP forem colocadas em quarentena.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile quarantine-custom-message "***The requested webpage is blocked by your organization's access policy ***"
Selecione uma ação padrão (permissão, log-and-permit, block ou quarentena) para o perfil, quando nenhuma outra ação explicitamente configurada (blocklist, lista de permissões, categoria personalizada, categoria predefinida ou reputação do site) for combinada.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile default permit
Selecione as configurações de fallback (bloqueio ou log-and-permit) para este perfil.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile fallback-settings server-connectivity block user@host# set juniper-enhanced profile ewf-test-profile fallback-settings timeout block
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security utm
comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir.
[edit] user@host# show security utm feature-profile{ web-filtering { type juniper-enhanced; traceoptions; flag all; } juniper-enhanced { reputation { reputation-very-safe 85 reputation-moderately-safe 75 reputation-fairly-safe 65 reputation-suspicious 55 cache { timeout 1 } profile ewf-test-profile { category { cust-cat-quarantine { action quarantine; } Enhanced_News_and_Media { action block; reputation-action; } Enhanced_Education { action permit; reputation-action; { harmful block; } } Enhanced_Streaming_Media { action quarantine; } } default permit; quarantine-custom-message "***The requested webpage is blocked by your organization's access policy***". fallback-settings { server-connectivity block; timeout block; } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando a situação do serviço de segurança de conteúdo
- Verificando a situação da sessão de segurança de conteúdo
- Verificando a situação da filtragem da Web de segurança de conteúdo
- Verificando as estatísticas da filtragem da Web de segurança de conteúdo
- Verificando o status da URL usando o arquivo de log
Verificando a situação do serviço de segurança de conteúdo
Propósito
Verifique o status do serviço de segurança de conteúdo.
Ação
A partir do modo operacional, entre no show security utm status
comando.
Saída de amostra
nome de comando
user@host>show security utm status UTM service status: Running
Verificando a situação da sessão de segurança de conteúdo
Propósito
Verifique o status da sessão de segurança de conteúdo.
Ação
A partir do modo operacional, entre no show security utm session
comando.
Saída de amostra
nome de comando
user@host>show security utm session UTM session info: Maximum sessions: 4000 Total allocated sessions: 0 Total freed sessions: 0 Active sessions: 0
Verificando a situação da filtragem da Web de segurança de conteúdo
Propósito
Verifique o status da filtragem da Web de segurança de conteúdo.
Ação
A partir do modo operacional, entre no show security utm web-filtering status
comando.
Saída de amostra
nome de comando
user@host>show security utm web-filtering status UTM web-filtering status: Server status: Juniper Enhanced using Websense server UP
Verificando as estatísticas da filtragem da Web de segurança de conteúdo
Propósito
Verifique as estatísticas de filtragem da Web para conexões, incluindo hits de lista de permitidos e blocklist e acessos personalizados de categoria.
Ação
A partir do modo operacional, entre no show security utm web-filtering statistics
comando.
Saída de amostra
nome de comando
user@host>show security utm web-filtering statistics UTM web-filtering statistics: Total requests: 2594 white list hit: 0 Black list hit: 0 Queries to server: 2407 Server reply permit: 1829 Server reply block: 0 Server reply quarantine: 517 Server reply quarantine block: 0 Server reply quarantine permit: 8 Custom category permit: 0 Custom category block: 0 Custom category quarantine: 0 Custom category qurantine block: 0 Custom category quarantine permit: 0 Site reputation permit: 0 Site reputation block: 0 Site reputation quarantine: 0 Site reputation quarantine block: 0 Site reputation quarantine permit: 0 Site reputation by Category 0 Site reputation by Global 0 Cache hit permit: 41 Cache hit block: 0 Cache hit quarantine: 144 Cache hit quarantine block: 0 Cache hit quarantine permit: 1 Safe-search redirect: 0 Web-filtering sessions in total: 16000 Web-filtering sessions in use: 0 Fallback: log-and-permit block Default 0 0 Timeout 0 0 Connectivity 0 1 Too-many-requests 0 0
Verificando o status da URL usando o arquivo de log
Propósito
Verifique o status de URL bloqueado e permitido usando o arquivo de log.
Ação
Para ver URLs bloqueadas e permitidas, envie os logs de segurança de conteúdo para um servidor de syslog usando o modo stream. Para obter mais informações, veja: Configuração de arquivos de log de segurança binários off-box.
A partir do modo operacional, entre no show log messages | match RT_UTM
comando.
Saída de amostra
nome de comando
user@host>show log messages | match RT_UTM RT_UTM: WEBFILTER_URL_BLOCKED: WebFilter: ACTION="URL Blocked" source-zone="trust" destination-zone="untrust" 4.0.0.3(59466)->5.0.0.3(80) SESSION_ID=268436912 APPLICATION="UNKNOWN" NESTED-APPLICATION="UNKNOWN" CATEGORY="URL_Blacklist" REASON="BY_BLACK_LIST" PROFILE="ewf" URL=www.example1.com OBJ=/ username N/A roles N/A application-sub-category N/A urlcategory-risk 0
Visão geral do suporte ao modo TAP para segurança de conteúdo
No modo TAP, um firewall da Série SRX será conectado a uma porta espelhada do switch, que fornece uma cópia do tráfego que atravessa o switch. Um firewall da Série SRX no modo TAP processa o tráfego de entrada da interface TAP e gera log de segurança para exibir as informações sobre ameaças detectadas, uso de aplicativos e detalhes do usuário.
A partir do Junos OS Release 19.1R1 você pode habilitar o modo TAP no módulo de segurança de conteúdo. Quando você habilita o modo TAP no módulo de segurança de conteúdo, o firewall da Série SRX inspeciona o tráfego de entrada e saída que corresponde a uma política ou políticas de firewall com o serviço de segurança de conteúdo habilitado. O modo TAP não pode bloquear o tráfego, mas gera logs de segurança, relatórios e estatísticas para mostrar o número de ameaças detectadas, uso de aplicativos e detalhes do usuário. Se algum pacote se perder na interface TAP, a Segurança de Conteúdo encerrará a conexão e o modo TAP não gerará logs de segurança, relatórios e estatísticas para essa conexão. A configuração de segurança de conteúdo permanece a mesma do modo não-TAP.
A funcionalidade de segurança de conteúdo configurada em um firewall da Série SRX continua funcionando e trocando informações do servidor. Para usar a funcionalidade de segurança de conteúdo quando o firewall da Série SRX estiver configurado no modo TAP, você deve configurar o servidor DNS para resolver os endereços IP do servidor de nuvem.
Para usar o modo TAP, o firewall da Série SRX será conectado a uma porta espelhada do switch, que fornece uma cópia do tráfego que atravessa o switch. O firewall da Série SRX processa o tráfego de entrada da interface TAP e gera informações de log de segurança para exibir as informações sobre ameaças detectadas, uso de aplicativos e detalhes do usuário.
Ao operar no modo TAP, o firewall da Série SRX executa:
Filtragem aprimorada de Web (EWF) para tráfego HTTP espelhado.
Sophos antivírus (SAV) para tráfego espelhado de HTTP/FTP/SMTP/POP3/IMAP.
Antispam (AS) para tráfego SMTP espelhado.
Veja também
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.
custom-message
é adicionada para o
custom-objects
comando que permite configurar mensagens de usuário e redirecionar URLs para notificar os usuários quando uma URL é bloqueada ou colocada em quarentena para cada categoria EWF.
custom-message
é adicionada para a
custom-objects
declaração que permite configurar mensagens de usuário e redirecionar URLs para notificar os usuários quando uma URL é bloqueada ou colocada em quarentena para cada categoria EWF.
custom-message
é adicionada para a
custom-objects
declaração que permite configurar mensagens de usuário e redirecionar URLs para notificar os usuários quando uma URL é bloqueada ou colocada em quarentena para cada categoria EWF.