Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filtragem aprimorada de Web

A filtragem da Web oferece recursos de filtragem de URL usando um servidor Websense local ou um servidor SurfControl baseado na Internet. Para obter mais informações, veja os seguintes tópicos:

Visão geral aprimorada da filtragem da Web

A filtragem aprimorada de Web (EWF) com Websense é uma solução integrada de filtragem de URL. Quando você habilita a solução no dispositivo, ele intercepta as solicitações de HTTP e HTTPS e envia a URL HTTP ou o IP de origem HTTPS para o Websense ThreatSeeker Cloud (TSC). O TSC categoriza a URL em uma ou mais categorias predefinidas e também fornece informações de reputação do site. O TSC devolve ainda mais a categoria de URL e as informações de reputação do site ao dispositivo. O dispositivo determina se ele pode permitir ou bloquear a solicitação com base nas informações fornecidas pelo TSC.

Começando pelo Junos OS Release 15.1X49-D40 e Junos OS Release 17.3R1, a EWF oferece suporte ao tráfego HTTPS interceptando o tráfego HTTPS que passa pelo firewall da Série SRX. O canal de segurança do dispositivo é dividido como um canal SSL entre o cliente e o dispositivo e outro canal SSL entre o dispositivo e o servidor HTTPS. O proxy de encaminhamento SSL atua como terminal para ambos os canais e encaminha o tráfego cleartext para a segurança de conteúdo. A segurança de conteúdo extrai a URL da mensagem de solicitação de HTTP.

Você pode considerar a solução EWF como a solução de filtragem de URL de próxima geração, com base na solução surf-control existente.

A filtragem aprimorada de Web oferece suporte aos seguintes métodos HTTP:

  • OBTER

  • POSTAR

  • OPÇÕES

  • CABEÇA

  • PÔR

  • EXCLUIR

  • TRAÇO

  • LIGAR

Mensagens de usuário e URLs de redirecionamento para filtragem aprimorada de web (EWF)

A partir do Junos OS Release 15.1X49-D110, uma nova opção, custom-messageé adicionada para o custom-objects comando que permite configurar mensagens de usuário e redirecionar URLs para notificar os usuários quando uma URL é bloqueada ou colocada em quarentena para cada categoria EWF. A opção custom-message tem os seguintes atributos obrigatórios:

  • Nome: Nome da mensagem personalizada; o comprimento máximo é de 59 bytes.

  • Tipo: Tipo de mensagem personalizada: user-message ou redirect-url.

  • Conteúdo: Conteúdo da mensagem personalizada; o comprimento máximo é de 1024 bytes.

Você configura uma mensagem de usuário ou redireciona a URL como um objeto personalizado e atribui o objeto personalizado a uma categoria EWF.

  • Mensagens de usuário indicam que o acesso ao site foi bloqueado pela política de acesso de uma organização. Para configurar uma mensagem de usuário, inclua a type user-message content message-text declaração no nível de [edit security utm custom-objects custom-message message] hierarquia.

  • Redirecione AS URLs redirecione uma URL bloqueada ou em quarentena para uma URL definida pelo usuário. Para configurar uma URL de redirecionamento, inclua a type redirect-url content redirect-url declaração no nível de [edit security utm custom-objects custom-message message] hierarquia.

A opção custom-message oferece os seguintes benefícios:

  • Você pode configurar uma mensagem personalizada separada ou redirecionar a URL para cada categoria de EWF.

  • A opção custom-message permite ajustar mensagens para apoiar suas polícias para saber qual URL está bloqueada ou colocada em quarentena.

    Apenas uma custom-message opção de configuração é aplicada para cada categoria. A custom-message configuração é suportada apenas na Filtragem aprimorada de Web (EWF). Portanto, apenas o tipo de mecanismo EWF da Juniper é suportado.

A partir do Junos OS Release 17.4R1, o suporte para configuração de categoria personalizada está disponível para perfis de redirecionamento local e Websense.

Entendendo o processo aprimorado de filtragem de Web

A filtragem da Web permite que você gerencie o acesso à Internet, impedindo o acesso a conteúdo inapropriado da Web. O recurso de filtragem aprimorada de Web (EWF) intercepta, verifica e age no tráfego HTTP ou HTTPS da seguinte maneira:

  1. O dispositivo cria conexões de tomada TCP para o Websense ThreatSeeker Cloud (TSC).

  2. O dispositivo intercepta uma conexão HTTP ou HTTPS e extrai URL, nome de host ou endereço IP para realizar a filtragem da Web. Para uma conexão HTTPS, o EWF é suportado por meio de proxy de encaminhamento SSL.

    Começando pelo Junos OS Release 12.3X48-D25 e Junos OS Release 17.3R1, Enhanced Web Filtering (EWF) em suportes de proxy SSL para o tráfego HTTPS.

  3. O dispositivo procura a URL na lista de bloqueio ou na lista de permitidos configurada pelo usuário.

    Uma lista de bloqueios ou um tipo de ação de permissão é uma categoria definida pelo usuário na qual todos os URLs ou endereços IP são sempre bloqueados ou permitidos e registrados opcionalmente.

    • Se a URL estiver na lista de bloqueio configurada pelo usuário, o dispositivo bloqueará a URL.

    • Se a URL estiver na lista de permissão configurada pelo usuário, o dispositivo permitirá a URL.

  4. O dispositivo verifica as categorias e bloqueios definidos pelo usuário ou permite a URL com base na ação especificada pelo usuário para a categoria.

  5. O dispositivo procura categoria de pré-requisito em cache local ou de serviço de nuvem.

    • Se a URL não estiver disponível no cache de filtragem de URL, o dispositivo envia a URL no formato HTTP para o TSC com uma solicitação de categorização. O dispositivo usa uma das conexões disponibilizadas ao TSC para enviar a solicitação.

    • O TSC responde ao dispositivo com a categorização e uma pontuação de reputação.

  6. O dispositivo realiza as seguintes ações com base na categoria identificada:

    • Se a URL for permitida, o dispositivo encaminha a solicitação de HTTP para o servidor HTTP.

    • Se a URL estiver bloqueada, o dispositivo envia uma página de negação para o cliente HTTP e também envia uma mensagem de reset para o servidor HTTP para fechar a conexão

    • Se a URL estiver colocada em quarentena, o dispositivo envia uma página de quarentena com cookies de configuração para o cliente HTTP. Se o cliente decidiu continuar, o dispositivo permite uma nova solicitação com cookie.

    • Se a categoria estiver configurada e a ação da categoria estiver disponível, o dispositivo permite ou bloqueia a URL com base na ação da categoria.

    • Se a categoria não estiver configurada, o dispositivo permite ou bloqueia a URL com base na ação global de reputação.

    • Se a reputação global não estiver configurada, o dispositivo permite ou bloqueia a URL com base na ação padrão configurada no perfil de filtragem da Web.

    Por padrão, a EWF processa uma URL na ordem de blocklist, lista de permite, categoria personalizada e, em seguida, categoria predefinida.

Requisitos funcionais para filtragem aprimorada de web

Os itens a seguir são necessários para usar a filtragem aprimorada de Web (EWF):

  • License key— Você precisa instalar uma nova licença para atualizar para a solução EWF.

    Você pode ignorar a mensagem de aviso "requer licença 'wf_key_websense_ewf'" porque ela é gerada pela verificação de validação de licença EWF de rotina.

    Um período de carência de 30 dias, consistente com outros recursos de segurança de conteúdo, é fornecido para o recurso EWF após a expiração da chave de licença.

    Esse recurso requer uma licença. Consulte o Guia de licenciamento para obter informações gerais sobre o gerenciamento de licenças. Consulte as folhas de dados do produto nos firewalls da Série SRX para obter detalhes ou entrar em contato com sua equipe de conta da Juniper ou com o parceiro Juniper.

    Quando o período de carência do recurso EWF tiver passado (ou se o recurso não tiver sido instalado), a filtragem da Web é desativada, todas as solicitações de HTTP ignoram a filtragem da Web e quaisquer conexões com o TSC são desabilitadas. Quando você instala uma licença válida, as conexões com o servidor são estabelecidas novamente.

  • O debug comando fornece as seguintes informações para cada conexão TCP disponível no dispositivo:

    • Número de solicitações processadas

    • Número de solicitações pendentes

    • Número de erros (solicitações perdidas ou cronometradas)

  • TCP connection between a Web client and a webserver— Um módulo de identificação de aplicativos (APPID) é usado para identificar uma conexão HTTP. A solução EWF identifica uma conexão HTTP após o dispositivo receber o primeiro pacote SYN. Se uma solicitação de HTTP precisar ser bloqueada, a EWF envia uma mensagem em bloco do dispositivo para o cliente Web. A EWF envia ainda uma solicitação de TCP FIN ao cliente e um TCP reset (RST) ao servidor para desativar a conexão. O dispositivo envia todas as mensagens pela sessão de fluxo. As mensagens seguem toda a cadeia de serviços.

  • HTTP request interception— A EWF intercepta a primeira solicitação de HTTP no dispositivo e realiza a filtragem de URL em todos os métodos definidos em HTTP 1.0 e HTTP 1.1. O dispositivo detém a solicitação original enquanto aguarda uma resposta do TSC. Se o primeiro pacote na URL HTTP estiver fragmentado ou se o dispositivo não puder extrair a URL por algum motivo, então o endereço IP de destino é usado para a categorização. Se você ativar http-reassemble, a EWF pode recuperar toda a solicitação do fragmento e obter URL.

    Para conexões persistentes de HTTP 1.1, as solicitações subsequentes nessa sessão são ignoradas pelo módulo EWF.

    Se o dispositivo mantiver a solicitação original por um longo tempo, o cliente retransmitirá a solicitação. O código de filtragem de URL detectará os pacotes retransmitidos. Se a solicitação de HTTP original já tiver sido encaminhada, a EWF encaminha o pacote retransmitido para o servidor. No entanto, se o EWF estiver no meio do processamento do primeiro pacote ou fizer o cálculo para bloquear a sessão, então a solução derruba o pacote retransmitido. Um contador rastreia o número de pacotes retransmitidos recebidos pelo dispositivo.

    Se o TSC não responder a tempo da solicitação de categorização do dispositivo, a solicitação original do cliente será bloqueada ou permitida de acordo com a configuração de fallback timeout.

  • HTTPS request interception— Começando pelo Junos OS 15.1X49-D40 e o Junos OS Release 17.3R1, a EWF intercepta o tráfego HTTPS que passa pelo firewall da Série SRX. O canal de segurança do dispositivo é dividido como um canal SSL entre o cliente e o dispositivo e outro canal SSL entre o dispositivo e o servidor HTTPS. O proxy de encaminhamento SSL atua como terminal para ambos os canais e encaminha o tráfego cleartext para a segurança de conteúdo. A segurança de conteúdo extrai a URL da mensagem de solicitação de HTTP.

  • Blocking message— A mensagem de bloqueio enviada ao cliente da Web é configurável pelo usuário e é dos seguintes tipos:

    • A mensagem de bloqueio da Juniper Networks é a mensagem padrão definida no dispositivo que pode ser modificada pelo usuário. A mensagem de bloqueio padrão contém a razão pela qual a solicitação é bloqueada e o nome da categoria (se ela for bloqueada por causa de uma categoria).

    • Mensagem do Syslog.

    Por exemplo, se você tiver definido a ação para Enhanced_Search_Engines_and_Portals bloquear e tentar acessar www.example.com, a mensagem de bloqueio é do seguinte formulário: Juniper Web Filtering:Juniper Web Filtering has been set to block this site. CATEGORY: Enhanced_Search_Engines_and_Portals REASON: BY_PRE_DEFINED . No entanto, a mensagem de syslog correspondente no dispositivo em teste (DUT) é: WEBFILTER_URL_BLOCKED: WebFilter: ACTION="URL Blocked" 56.56.56.2(59418)->74.125.224.48(80) CATEGORY="Enhanced_Search_Engines_and_Portals" REASON="by predefined category" PROFILE="web-ewf" URL=www.example.com OBJ=/ . .

  • Monitoring the Websense server— O módulo de filtragem de URL usa dois métodos para determinar se o TSC está ativo: conexões de tomada e pulsação. A EWF mantém os soquetes TCP persistentes no TSC. O servidor responde com um TCP ACK se estiver habilitado. A EWF envia um NOOP de camada de aplicativo para o TSC. Se o dispositivo não receber respostas a três keepalives NOOP consecutivos em um período específico, ele determina que o soquete esteja inativo. O módulo EWF tenta abrir uma nova conexão com o TSC. Se todos os sockets estiverem inativos, o TSC é considerado inativo. Portanto, ocorre um erro. O erro é exibido e logado. Solicitações subsequentes e solicitações pendentes são bloqueadas ou aprovadas de acordo com a configuração de retorno da conectividade do servidor até que novas conexões ao TSC sejam abertas novamente.

  • HTTP protocol communication with the TSC— A EWF usa o protocolo HTTP 1.1 para se comunicar com o TSC. Isso garante uma conexão e transmissão persistentes de várias solicitações de HTTP pela mesma conexão. Uma única solicitação ou resposta DE HTTP é usada para comunicação de clientes ou servidores. O TSC pode lidar com solicitações de fila; para um desempenho ideal, é usado um mecanismo de solicitação ou resposta assíncronos. As solicitações são enviadas pelo TCP para que a retransmissão de TCP seja usada para garantir a solicitação ou a entrega de respostas. O TCP também garante que dados de fluxo DE HTTP válidos e não retransmitidos sejam enviados ao cliente HTTP do dispositivo.

  • Responses— As respostas aderem às convenções básicas de HTTP. Respostas bem-sucedidas incluem um código de resposta 20x (tipicamente 200). Uma resposta de erro inclui um código 4x ou 5xx. As respostas de erro na série 4x indicam problemas no código personalizado. Respostas de erro na série 5x indicam problemas com o serviço.

    Os códigos e significados de erro são os seguintes:

    • 400– Solicitação ruim

    • 403- Proibido

    • 404 - Não foi encontrado

    • 408 – Solicitação de resposta cancelada ou nula

    • 500– Erro no servidor interno

    Erros na série 400 indicam problemas com a solicitação. Erros na série 500 indicam problemas com o serviço TSC. O Websense é notificado desses erros automaticamente e responde de acordo.

    Você pode configurar a configuração de fallback padrão para determinar se aprova ou bloqueia a solicitação: set security utm feature-profile web-filtering juniper-enhanced profile juniper-enhanced fallback-settings default ?

    A resposta também contém a categorização do site e informações de reputação do site.

  • Categories— Uma lista de categorias está disponível no dispositivo. Esta lista consiste em categorias, cada uma contendo um código de categoria, um nome e um ID pai. As categorias também podem ser definidas pelo usuário. Cada categoria consiste em uma lista de URLs ou endereços IP. As categorias não são atualizadas dinamicamente e estão vinculadas à versão do Junos OS porque precisam ser compiladas na imagem do Junos OS. Qualquer atualização em categorias precisa ser sincronizada com o ciclo de versão do Junos OS.

    Começando pelo Junos OS Release 17.4R1, você pode baixar e carregar dinamicamente novas categorias de EWF. O download e o carregamento dinâmico das novas categorias de EWF não exigem um upgrade de software. O Websense ocasionalmente lança novas categorias de EWF. A EWF classifica sites em categorias de acordo com o host, URL ou endereço IP e realiza filtragem com base nas categorias.

    Se a transferência de arquivo da categoria falhar entre os dispositivos primários e secundários, então a transferência de arquivos resulta em um erro de atualização e um log de erro é gerado.

    Durante a instalação de arquivos de nova categoria, se o nome de arquivo da categoria for alterado, então o novo arquivo de categoria substitui o arquivo de categoria antigo no sistema interno e todas as informações de saída relacionadas serão substituídas pelo nome da nova categoria.

    A partir do Junos OS Release 17.4R1, os filtros base predefinidos, definidos em um arquivo de categoria, são suportados para categorias EWF individuais. Cada categoria de EWF tem uma ação padrão em um filtro base, que é anexado ao perfil do usuário para agir como um filtro de backup. Se as categorias não estiverem configuradas no perfil do usuário, o filtro base agirá.

    Um filtro base é um objeto que contém um par de ação de categoria para todas as categorias definidas no arquivo da categoria. Um filtro base é um objeto estruturado e é definido com a ajuda de um nome de filtro e um conjunto de pares de ação de categoria.

    O seguinte é um exemplo de um filtro base com uma variedade de pares de ação de categoria. Para a categoria Enhanced_Adult_Material, a ação é um bloqueio; para a categoria Enhanced_Blog_Posting, a ação é permissão; e assim por diante.

    O EWF oferece suporte a até 16 filtros base. O Junos OS Release 17.4R1 também oferece suporte à gradação on-line de filtros de base.

    Se o perfil do usuário tiver o mesmo nome do filtro base, o filtro da Web usará o perfil errado.

  • Caching— Respostas categorizadas com sucesso são armazenadas em cache no dispositivo. URLs não categorizadas não são armazenadas em cache. O tamanho do cache pode ser configurado pelo usuário.

  • Safe search (HTTP support only, not HTTPS)— Uma solução de busca segura é usada para garantir que os objetos incorporados, como imagens nas URLs recebidas dos mecanismos de busca, sejam seguros e que nenhum conteúdo indesejável seja devolvido ao cliente.

    Uma URL é fornecida ao TSC para fornecer informações de categorização. Se for uma URL de pesquisa, o TSC também retorna uma cadeia de pesquisa segura. Por exemplo, a corda de busca segura é safe=active. Essa cadeia de pesquisa segura é anexada à URL, e uma resposta de redirecionamento para redirecionar a consulta do cliente com uma busca segura é ativada. Isso garante que nenhum conteúdo inseguro seja devolvido ao cliente. Se o TSC indicar que precisa ser revistado com segurança, então você pode realizar o redirecionamento de busca segura.

    Por exemplo, o cliente faz uma solicitação à URL https://www.google.com/search?q=test, que é permitida pelo perfil EWF. No modo pacote, o EWF no DUT gerará uma resposta HTTP 302, com a URL de redirecionamento: https://www.google.com/search?q=test&safe=active. Essa resposta retorna ao cliente. O cliente agora envia uma solicitação de redirecionamento seguro para esta URL. No modo stream, o EWF no DUT reescreve a URL para https://www.google.com/search?q=test&safe=active e encaminhá-la.

    Nota:

    O redirecionamento seguro de pesquisa oferece suporte apenas a HTTP. Você não pode extrair a URL para HTTPS. Portanto, não é possível gerar uma resposta de redirecionamento para URLs de pesquisa de HTTPS. Os redirecionamentos de busca segura podem ser desativados usando a opção no-safe-searchCLI.

  • Site reputation— O TSC fornece informações de reputação do site. Com base nessas reputação, você pode escolher um bloco ou uma ação de permissão. Se a URL não for tratada por uma lista de permitidos ou um blocklist e não cair em uma categoria de usuário ou predefinida, a reputação pode ser usada para executar uma decisão de filtragem de URL.

    A partir do Junos OS Release 17.4R1, as pontuações base de reputação são configuráveis. Os usuários podem aplicar valores de reputação globais, fornecidos pelo Websense ThreatSeeker Cloud (TSC). Para URLs não-categoria, o valor de reputação global é usado para realizar filtragem,

    Os resultados de reputação são os seguintes:

    • O local 100-90 é considerado muito seguro.

    • 80-89- O local é considerado moderadamente seguro.

    • 70-79- O local é considerado bastante seguro.

    • 60-69– O local é considerado suspeito.

    • 0-59- O local é considerado prejudicial.

    O dispositivo mantém um log para URLs bloqueados ou permitidos com base nas pontuações de reputação do site.

  • Profiles— Um perfil de filtragem de URL é definido como uma lista de categorias, com cada perfil tendo um tipo de ação (permissão, log e permissão, bloqueio, quarentena) associado a ele. Um perfil junos-wf-enhanced-default predefinido é fornecido aos usuários se eles optarem por não definir seu próprio perfil.

    Você também pode definir uma ação com base em reputação de site em um perfil para especificar a ação quando a URL de entrada não pertence a nenhuma das categorias definidas no perfil. Se você não configurar as informações de gerenciamento de reputação do site, então você pode definir uma ação padrão. Todas as URLs que não tiverem uma categoria definida ou uma ação de reputação definida em seu perfil serão bloqueadas, permitidas, registradas e permitidas ou colocadas em quarentena, dependendo do bloco ou do manuseio de permissão para a ação padrão definida explicitamente no perfil. Se você não especificar uma ação padrão, os URLs serão permitidos. Para solicitações de mecanismos de pesquisa, se não houver configuração definida pelo usuário explícita, e a solicitação de URL estiver sem a opção de pesquisa segura, a EWF gera uma resposta de redirecionamento e a envia ao cliente. O cliente gerará uma nova solicitação de pesquisa com a opção de pesquisa segura habilitada.

    Um perfil de filtragem de URL pode conter os seguintes itens:

    • Várias categorias definidas pelo usuário e predefinidas, cada uma com uma permissão ou ação de bloqueio

    • Várias categorias de tratamento de reputação de sites, cada uma com uma permissão ou ação de bloqueio

    • Uma ação padrão com uma permissão ou ação de bloqueio

    A ordem de pesquisa é a lista de bloqueio, lista de permite, categoria definida pelo usuário, categoria predefinida, pesquisa segura, reputação do site e ação padrão.

Pré-carga de cache para filtragem aprimorada de Web

A partir do Junos OS Release 23.2R1, o cache é carregado com a lista de URL mais bem avaliada e visitada com frequência, juntamente com as informações de classificação na fase de inicialização do sistema. Isso é útil para usuários com uma conexão de internet lenta que experimentam alta latência ao acessar a Web devido ao serviço de categorização remota. Ele garante que não haja defasagem mesmo quando a primeira solicitação é feita, pois a decisão da política do filtro da Web é baseada nas informações da categoria de URL pré-carregadas no cache.

O cache não é habilitado por padrão. Certifique-se de que o cache está habilitado para usar esse recurso. As configurações a seguir são necessárias para permitir o cache para filtragem aprimorada de Web (EWF) e estão disponíveis em firewalls da Série SRX.

  • security utm default-configuration web-filtering juniper-enhanced cache timeout

  • security utm default-configuration web-filtering juniper-enhanced cache size

Use as seguintes opções de declaração de configuração CLI para o Pré-carregamento de cache para filtragem aprimorada de Web:

Tabela 1: Opções
feed-url

Costumava baixar um arquivo alternativo em vez do arquivo rígido padrão. Não é obrigatório. Padrões com código rígido são usados se não estiver definido.

URL de feed padrão: https://update.juniper-updates.net/EWF-CACHE-PRELOAD/

Um dos seguintes padrões são usados com base no tipo de feed:

https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_feed.tgz

https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_feed.tgz

Automático Usado para definir o cache de download e pré-carregamento automaticamente sem interação do usuário.
intervalo < horas>

Costumava agendar o pré-carregamento automático do cache. É obrigatório se a opção automática for especificada.

tentativa automática de <tempo em horas>

Usado para agendar nova tentativa se a pré-carga de cache automática falhar por algum motivo. É obrigatório se a opção automática for especificada.

feed automático <abs-urls-feed ou feed de nomes de servidor>

Usado para especificar o tipo de feed a ser usado por download automático e funções de pré-carga. É obrigatório se a opção automática for especificada.

Nota:

Você pode limitar o número máximo de entradas no cache usando o seguinte comando:

set security utm default-configuration web-filtering juniper-enhanced cache size ?

Possíveis conclusões:

<size> Juniper enhanced cache size (0..4096 kilobytes)

Novos comandos operacionais estão disponíveis na CLI para o recurso aprimorado de pré-carga de cache de filtragem de Web.

Você pode usar os comandos operacionais para baixar o feed de URL de sua escolha no servidor remoto. A opção Feed-URL é útil para baixar um arquivo alternativo em vez do arquivo com código rígido padrão. Mesmo com a opção Feed-URL, a opção de feed de nomes de servidor e a opção de alimentação abs-urls são necessárias para indicar o tipo de feed que está disponível no pacote que você especificou.

  • request security utm web-filtering cache-preload download abs-urls-feed

  • request security utm web-filtering cache-preload download server-names-feed

  • request security utm web-filtering cache-preload download server-names-feed feed-url https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_fp_feed.tgz

  • request security utm web-filtering cache-preload download abs-urls-feed feed-url https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_fp_feed.tgz

Nota:

O pacote de tipo server-names-feed especificado pelo usuário deve conter os arquivos e server_names_feed.ver os server_names_feed.csv arquivos.

O pacote de tipo abs-urls-feed must especificado pelo usuário contém os arquivos e abs_urls_feed.ver os abs_urls_feed.csv arquivos.

A seguir, os links codificados rígidos. O programa escolhe um link com base no tipo de feed.

https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_feed.tgz

https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_feed.tgz

Use os seguintes comandos operacionais para acionar o pré-carregamento de cache usando o feed de URL existente dentro do sistema. Esses comandos carregam o cache se o pacote já estiver instalado usando os comandos para download. Use a opção de feed de nomes de servidor para pré-carregar nomes de servidor categorizados. Use o feed abs-urls para pré-carregar feed de URL categorizado.

  • request security utm web-filtering cache-preload load-active-local server-names-feed

  • request security utm web-filtering cache-preload load-active-local abs-urls-feed

Use o seguinte para baixar, instalar o feed de URL padrão do servidor remoto e também carregar o cache. Use a opção de feed de nomes de servidor para baixar nomes de servidor categorizados. Use o feed abs-urls para baixar feed de URL categorizado.

  • request security utm web-filtering cache-preload load-active server-names-feed

  • request security utm web-filtering cache-preload load-active abs-urls-feed

Para verificar o status da função de pré-carga de cache, use o seguinte comando:

Mensagens de usuário e URLs de redirecionamento para filtragem aprimorada de web (EWF)

A partir do Junos OS Release 15.1X49-D110, uma nova opção, custom-messageé adicionada para a custom-objects declaração que permite configurar mensagens de usuário e redirecionar URLs para notificar os usuários quando uma URL é bloqueada ou colocada em quarentena para cada categoria EWF. A opção custom-message tem os seguintes atributos obrigatórios:

  • Nome: Nome da mensagem personalizada; o comprimento máximo é de 59 caracteres ASCII.

  • Tipo: Tipo de mensagem personalizada: user-message ou redirect-url.

  • Conteúdo: Conteúdo da mensagem personalizada; o comprimento máximo é de 1024 caracteres ASCII.

Você configura uma mensagem de usuário ou redireciona a URL como um objeto personalizado e atribui o objeto personalizado a uma categoria EWF.

  • Mensagens de usuário indicam que o acesso ao site foi bloqueado pela política de acesso de uma organização. Para configurar uma mensagem de usuário, inclua a type user-message content message-text declaração no nível de [edit security utm custom-objects custom-message message] hierarquia.

  • Redirecione AS URLs redirecione uma URL bloqueada ou em quarentena para uma URL definida pelo usuário. Para configurar uma URL de redirecionamento, inclua a type redirect-url content redirect-url declaração no nível de [edit security utm custom-objects custom-message message] hierarquia.

A opção custom-message oferece os seguintes benefícios:

  • Você pode configurar uma mensagem personalizada separada ou redirecionar a URL para cada categoria de EWF.

  • A opção custom-message permite ajustar mensagens para apoiar suas polícias para saber qual URL está bloqueada ou colocada em quarentena.

    Apenas uma custom-message opção de configuração é aplicada para cada categoria. A custom-message configuração é suportada apenas na Filtragem aprimorada de Web (EWF). Portanto, apenas o tipo de mecanismo EWF da Juniper é suportado.

A partir do Junos OS Release 17.4R1, o suporte para configuração de categoria personalizada está disponível para perfis de redirecionamento local e Websense.

Seleção inteligente de perfil de filtragem de Web

A partir do Junos OS Release 23.2R1, as informações dinâmicas do aplicativo do JDPI são usadas para recuperar informações de políticas antes que a correspondência final da política seja concluída. O perfil do Filtro web é atualizado novamente após a seleção final da política com base na correspondência final do aplicativo.

O perfil de segurança de conteúdo recuperado com base nas informações dinâmicas do aplicativo é mais preciso do que aplicar o perfil padrão, que era a abordagem anterior.

A detecção dinâmica de políticas baseadas em aplicativos agora é o comportamento padrão. O botão a seguir é adicionado na hierarquia de configuração padrão da Filtragem da Web para desabilitar o recurso dinâmico de detecção de perfil de aplicativo, se necessário.

set security utm default-configuration web-filtering disable-dynapp-profile-selection

Para tornar padrão uma das políticas de segurança de conteúdo, o seguinte comando é introduzido:

set security utm default-policy <pol_name>

Você pode escolher qualquer política de segurança de conteúdo como política padrão usando este comando. Se a política padrão estiver configurada em um cenário unificado de configuração de várias políticas, a política padrão de filtragem da Web de segurança de conteúdo será usada. Se não estiver configurada, a política junos-default-utm é usada como política padrão.

Nota:

As mudanças de política padrão aplicam-se apenas à filtragem da Web e não à filtragem de conteúdo, Antivírus ou Antispam.

O comando CLI a seguir é usado para exibir a configuração da seleção de perfil de dynapp:

show security utm web-filtering status

Status da filtragem da Web de segurança de conteúdo:

Use o comando a seguir para exibir os valores de contador de depuração para atividades de busca de políticas:

show security utm l7-app-policy statistics

Novos contadores são adicionados às estatísticas de filtragem de web para depuração.

Tabela 2: Novos contadores adicionados às estatísticas de filtragem da Web

Sessões combinadas com a política de dynapp

Aumenta sempre que a política associada a uma uf_ng mudanças de sessão com base na identificação de aplicativos recém-identificada.

Sessões combinadas com a política padrão

Aumenta quando a ação da política de segurança de conteúdo tomada para uma conexão é baseada na política padrão configurada pelo usuário. Esse contador aumenta quando a política de padrão configurada pelo usuário é igual à política identificada por um novo aplicativo dinâmico ou quando a política padrão configurada pelo usuário tem um perfil de filtragem de Web de segurança de conteúdo válido e a política sem política foi combinada com a política de firewall existente.

Sessões combinadas com a política final

Aumenta quando medidas são tomadas em uma política de segurança de conteúdo sem qualquer conflito de políticas.
Nota:

Use o show services application-identification application-system-cache comando para verificar o aplicativo dinâmico identificado pelo módulo AppID.

Visão geral predefinida de configuração de configuração de categoria e filtro base

Você pode baixar e carregar dinamicamente novas categorias de filtragem aprimorada de web (EWF) sem qualquer atualização de software. Os filtros base predefinidos definidos em um arquivo de categoria são suportados para categorias EWF individuais.

Para configurar um upgrade de categoria predefinido sem qualquer atualização de software:

  1. Configure objetos personalizados de segurança de conteúdo para os recursos de segurança de conteúdo. Definir o intervalo, definir o tempo de início e inserir a URL do download do pacote da categoria:
  2. Configure os filtros base predefinidos. Cada categoria de EWF tem uma ação padrão em um filtro base, que é anexado ao perfil do usuário para agir como um filtro de backup. Se as categorias não estiverem configuradas no perfil do usuário, o filtro base agirá. Você também pode atualizar os filtros base on-line.

mostrar segurança utm objetos personalizados

mostrar segurança utm filtragem web de perfil de recursos juniper aprimorada

Exemplo: Configuração de filtragem aprimorada de web

Este exemplo mostra como configurar a filtragem aprimorada de Web (EWF) para gerenciar o acesso ao site. Esse recurso é compatível com todos os firewalls da Série SRX. A solução EWF intercepta as solicitações de HTTP e HTTPS e envia a URL HTTP ou o IP de fonte HTTPS para a Nuvem Websense ThreatSeeker (TSC). O TSC categoriza a URL em uma ou mais categorias predefinidas e também fornece informações de reputação do site. O TSC devolve ainda mais a categoria de URL e as informações de reputação do site ao dispositivo. O firewall da Série SRX determina se ele pode permitir ou bloquear a solicitação com base nas informações fornecidas pelo TSC.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • dispositivo de SRX5600

  • Versão Junos OS 12.1X46-D10 ou posterior

Antes de começar, você deve conhecer a filtragem de Web e a filtragem aprimorada de Web (EWF). Veja a visão geral da filtragem da Web e o processo aprimorado de filtragem de web.

Visão geral

A filtragem da Web é usada para monitorar e controlar como os usuários acessam o site por HTTP e HTTPS. Neste exemplo, você configura uma lista de padrões de URL (allowlist) de URLs ou endereços que você deseja ignorar. Depois de criar a lista de padrões de URL, defina os objetos personalizados. Depois de definir os objetos personalizados, você os aplica a perfis de recursos para definir a atividade em cada perfil, aplicar o perfil do recurso à política de segurança de conteúdo e finalmente anexar as políticas de segurança de conteúdo de filtragem da Web às políticas de segurança. A Tabela 3 mostra informações sobre o tipo, etapas e parâmetros de configuração EWF usados neste exemplo.

Tabela 3: Tipo, etapas e parâmetros de configuração aprimorados de filtragem de Web (EWF)

Tipo de configuração

Etapas de configuração

Parâmetros de configuração

URL pattern and custom objects

Configure uma lista de padrões de URL (allowlist) de URLs ou endereços que você deseja ignorar.

Crie um objeto personalizado chamado urllist3 que contém o padrão http://www.example.net 1.2.3.4

  • [http://www.example.net 1,2,3,4]

  • urllist de valor3

  • http://www.untrusted.com

  • http://www.trusted.com

Adicione o objeto personalizado da urllist3 à categoria de URL personalizada custurl3.

  • urllistblack

  • urllistwhite

Feature profiles

Configure o perfil do recurso de filtragem da Web:

 
  • Definir a categoria de filtragem de blocos de URL para custblacklist, definir a categoria de filtragem de lista de custwhitelistpermitidos e definir o tipo de mecanismo de filtragem web para juniper-enhanced. Em seguida, você define o tamanho do cache e os parâmetros de tempo limite de cache.

  • custwhitelist

  • custblacklist

  • juniper-enhanced

  • cache size 500

  • cache timeout 1800

  • Nomeie o servidor EWF e digite o número da porta para se comunicar com ele. (A porta padrão é de 80.) Em seguida, você cria um nome de perfil EWF.

  • rp.cloud.threatseeker.com

  • port 80

  • http-profile my_ewfprofile01

  • Selecione uma categoria das categorias de lista de permitidos e blocos incluídas ou selecione uma lista de categoria de URL personalizada contra a que você criou para filtragem.

  • http-reassemble

  • http-persist

  • Action: log-and-permit

  • site-reputation-action:

    • very-safe permit

  • Digite uma mensagem personalizada a ser enviada quando as solicitações de HTTP forem bloqueadas. Finalmente, insira um valor de tempo limite em segundos.

  • ewf_my_profile-default block

  • custom-block-message "***access denied ***"

  • fallback-settings:

    • server-connectivity block

    • timeout block

    • too-many-requests block

  • quarantine-custom-message “**The requested webpage is blocked by your organization's access policy**”.

  • quarantine-message type custom-redirect-url

  • quarantine-message url besgas.spglab.example.net

  • ewf_my_profile-default:

    • timeout 10

    • no-safe-search

Configuração

Este exemplo mostra como configurar padrões de URL personalizados, objetos personalizados, perfis de recursos e políticas de segurança.

Configuração de objetos personalizados de filtragem aprimorada de web e padrões de URL

Configuração rápida da CLI

Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit] commit modo de configuração.

Começando pelo Junos OS Release 15.1X49-D110, o "* em uma sintaxe curinga, necessário para criar padrão de URL para perfil de filtragem de Web, corresponde a todos os subdomains. Por exemplo, *.example.net combina:

  • http://a.example.net

  • http://example.net

  • a.b.example.net

Uma categoria personalizada não tem precedência sobre uma categoria predefinida quando tem o mesmo nome de uma das categorias predefinidas. Não use o mesmo nome para uma categoria personalizada que você usou para uma categoria predefinida.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar objetos personalizados e padrões de URL na filtragem aprimorada da Web:

  1. Configure uma lista de padrões de URL (allowlist) de URLs ou endereços que você deseja ignorar. Depois de criar a lista de padrões de URL, você cria uma lista de categoria de URL personalizada e adiciona a lista de padrões a ela. Configure um objeto personalizado da lista de padrões de URL criando o nome da lista e adicionando valores a ele da seguinte forma:

    Nota:

    Como você usa listas de padrões de URL para criar listas personalizadas de categoria de URL, você deve configurar objetos personalizados da lista de padrões de URL antes de configurar listas personalizadas de categoria de URL.

    Nota:

    A diretriz para usar um curinga de padrão de URL é a seguinte: Use a seguinte síntese: Use o mesmo e preceder todos os URLs curingas com http://. Você só pode usar "*" se estiver no início da URL e seguir ".". Você só pode usar "?" no final da URL.

    As seguintes sintaxes curingas são suportadas: http://*. example.net, http://www.example.ne?, http://www.example.n?. As seguintes sintaxes curingas não são suportadas: *.example.???, http://*example.net, http://?.

  2. Crie um objeto personalizado chamado urllist3 que contém o padrão http://www.example.net e depois adicione o objeto personalizado urllist3 à categoria de URL personalizada custurl3.

  3. Crie uma lista de sites não confiáveis e confiáveis.

  4. Configure o objeto personalizado da lista de categoria de URL personalizado usando a lista de padrões de URL de sites não confiáveis e confiáveis.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security utm custom-objects comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração de perfis aprimorados de recursos de filtragem de Web

Configuração rápida da CLI

Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit] commit modo de configuração.

A partir do Junos OS Release 12.3X48-D25, novas opções de CLI estão disponíveis. As http-reassemble opções e http-persist as opções são adicionadas no show security utm feature-profile web-filtering comando.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar os perfis de recursos EWF:

  1. Configure o mecanismo EWF e defina o tamanho do cache e os parâmetros de tempo limite de cache.

  2. Defina o nome do servidor ou endereço IP e o número de porta para comunicação com o servidor. O valor padrão do host no sistema é rp.cloud.threatseeker.com.

  3. Configure a http-reassemble declaração para remontar o pacote solicitado e a http-persist declaração para verificar todos os pacotes de solicitação de HTTP na mesma sessão. Se a http-reassemble declaração não estiver configurada para limpar o tráfego HTTP, a EWF não remonta a solicitação de HTTP fragmentada para evitar análise incompleta na inspeção baseada em pacotes. Se a http-persist declaração não estiver configurada para limpar o tráfego HTTP, a EWF não verificará todos os pacotes de solicitação de HTTP na mesma sessão.

  4. Especifique as medidas a serem tomadas dependendo da reputação do site devolvida para a URL se não houver correspondência de categoria encontrada.

  5. Especifique uma ação padrão para o perfil quando nenhuma outra ação explicitamente configurada for combinada.

  6. Configure as configurações de fallback (bloquear ou registrar e permitir) para este perfil.

  7. Insira um valor de tempo limite em segundos. Quando esse limite é alcançado, as configurações de fallback são aplicadas. Este exemplo define o valor do tempo limite para 10. Você também pode desativar a funcionalidade de pesquisa segura. Por padrão, as solicitações de pesquisa têm strings de pesquisa segura anexadas a elas, e uma resposta de redirecionamento é enviada para garantir que todas as solicitações de pesquisa sejam seguras ou rigorosas.

    Nota:

    O intervalo de tempo limite para SRX210, SRX220, SRX240, SRX300, SRX320, SRX345, SRX380, SRX550, SRX1500, SRX4100 e SRX4200 é de 0 a 1800 segundos e o valor padrão é de 15 segundos. A faixa de valor de tempo limite para SRX3400 e SRX3600 é de 1 a 120 segundos e o valor padrão é de 3 segundos.

  8. Configure uma política mypolicy de segurança de conteúdo para o protocolo HTTP de filtragem da Web, associando-se ewf_my_profile à política de segurança de conteúdo e anexe essa política a um perfil de segurança para implementá-la.

  9. Anexe a política mypolicy de segurança de conteúdo à política de 1segurança.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security utm feature-profile comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Anexação de políticas de segurança de conteúdo de filtragem da Web a políticas de segurança

Configuração rápida da CLI

Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit] commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para anexar uma política de segurança de conteúdo a uma política de segurança:

  1. Crie a política de segurança sec_policy.

  2. Especifique as condições de correspondência para a sec-policy.

  3. Anexe a política de segurança de conteúdo à política de segurança sec_policy.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Após terminar a configuração do dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificando a situação do servidor de filtragem da Web

Propósito

Verifique o status do servidor de filtragem da Web.

Ação

Do topo da configuração no modo operacional, entre no show security utm web-filtering status comando.

Significado

A saída de comando mostra que a conexão do servidor de filtragem da Web está ativa.

Verificando se as estatísticas de filtragem da Web aumentaram

Propósito

Verifique o aumento das estatísticas de filtragem da Web. O valor inicial do contador é 0; se houver um acerto de URL de solicitação de HTTP, haverá um aumento nas estatísticas de filtragem da Web.

Ação

Do topo da configuração no modo operacional, entre no show security utm web-filtering statistics comando.

Significado

A saída exibe estatísticas de filtragem de Web para conexões, incluindo acessos de lista e bloqueio e acertos personalizados de categoria. Se houver um urL de solicitação de HTTP, haverá um aumento nas estatísticas de filtragem de Web de um valor anterior.

Verificando se a política de segurança de conteúdo de filtragem da Web está anexada à política de segurança

Propósito

Verifique se a política de segurança de conteúdo de filtragem da Web está anexada à política de segurança sec_policy.

Ação

A partir do modo operacional, entre no show security policy comando.

Significado

A saída exibe um resumo de todas as políticas de segurança configuradas no dispositivo. Se uma determinada política for especificada, ela exibe informações específicas dessa política. Se a segurança de conteúdo estiver habilitada, a minha política será anexada a sec_policy.

Entendendo a ação de quarentena para filtragem aprimorada de web

A filtragem aprimorada de web com segurança de conteúdo oferece suporte a bloqueios, log-and-permit e permitir ações para solicitações de HTTP/HTTPS. Além disso, a filtragem aprimorada de Web com segurança de conteúdo agora oferece suporte à ação de quarentena que permite ou nega acesso ao site bloqueado com base na resposta do usuário à mensagem.

A sequência a seguir explica como a solicitação de HTTP ou HTTPs é interceptada, redirecionada e agida pela ação de quarentena:

  • O cliente HTTP solicita acesso à URL.

  • O dispositivo intercepta a solicitação de HTTP e envia a URL extraída para o Websense Thread Seeker Cloud (TSC).

  • O TSC retorna a categoria de URL e as informações de reputação do site para o dispositivo.

  • Se a ação configurada para a categoria for quarentena, o dispositivo registra a ação de quarentena e envia uma resposta de redirecionamento ao cliente HTTP.

  • A URL é enviada ao servidor HTTP para redirecionamento.

  • O dispositivo mostra uma mensagem de aviso afirmando que o acesso à URL está bloqueado de acordo com as políticas de segurança da organização e solicita que o usuário responda.

  • Se a resposta do usuário for "Não", a sessão será terminada. Se a resposta do usuário for "Sim", o usuário poderá acessar o site e esse acesso for registrado e relatado ao administrador.

Nota:

A ação de quarentena é suportada apenas para filtragem aprimorada de Web de segurança de conteúdo ou tipo aprimorado de filtragem web da Juniper.

Quarantine Message

A mensagem de quarentena enviada ao cliente HTTP é configurável pelo usuário e é dos seguintes tipos:

  • Mensagem padrão

    A mensagem padrão de quarentena é exibida quando um usuário tenta acessar um site em quarentena e contém as seguintes informações:

    • Nome de URL

    • Motivo da quarentena

    • Categoria (se disponível)

    • Reputação do site (se disponível)

    Por exemplo, se você tiver definido a ação para Enhanced_Search_Engines_and_Portals colocar em quarentena e tentar acessar www.search.example.com, a mensagem de quarentena é a seguinte:

    ***The requested webpage is blocked by your organization's access policy***.

  • Mensagem do Syslog.

    A mensagem de syslog será registrada pelo sistema quando o usuário acessar a página web que já foi colocada em quarentena e marcada como bloqueio ou permissão.

    A mensagem de syslog correspondente no dispositivo em teste é:

    Jan 25 15:10:40 rodian utmd[3871]: WEBFILTER_URL_BLOCKED: WebFilter: ACTION="URL Blocked" 99.99.99.4(60525)->74.125.224.114(80) CATEGORY="Enhanced_Search_Engines_and_Portals" REASON="by predefined category(quarantine)" PROFILE="ewf-test-profile" URL=www.search.example.com OBJ=/

    A partir do Junos OS 12.1X47-D40 e do Junos OS Release 17.3R1, os campos de log estruturados mudaram. As alterações estruturadas do campo de log nos logs de filtro da Web de segurança de conteúdo WEBFILTER_URL_BLOCKED, WEBFILTER_URL_REDIRECTED e WEBFILTER_URL_PERMITTED são as seguintes:

    • name -> category

    • error-message -> reason

    • profile-name -> profile

    • object-name -> url

    • pathname -> obj

Mensagens de usuário e URLs de redirecionamento para filtragem aprimorada de web (EWF)

A partir do Junos OS Release 15.1X49-D110, uma nova opção, custom-messageé adicionada para a custom-objects declaração que permite configurar mensagens de usuário e redirecionar URLs para notificar os usuários quando uma URL é bloqueada ou colocada em quarentena para cada categoria EWF. A opção custom-message tem os seguintes atributos obrigatórios:

  • Nome: Nome da mensagem personalizada; o comprimento máximo é de 59 caracteres ASCII.

  • Tipo: Tipo de mensagem personalizada: user-message ou redirect-url.

  • Conteúdo: Conteúdo da mensagem personalizada; o comprimento máximo é de 1024 caracteres ASCII.

Você configura uma mensagem de usuário ou redireciona a URL como um objeto personalizado e atribui o objeto personalizado a uma categoria EWF.

  • Mensagens de usuário indicam que o acesso ao site foi bloqueado pela política de acesso de uma organização. Para configurar uma mensagem de usuário, inclua a type user-message content message-text declaração no nível de [edit security utm custom-objects custom-message message] hierarquia.

  • Redirecione AS URLs redirecione uma URL bloqueada ou em quarentena para uma URL definida pelo usuário. Para configurar uma URL de redirecionamento, inclua a type redirect-url content redirect-url declaração no nível de [edit security utm custom-objects custom-message message] hierarquia.

A opção custom-message oferece os seguintes benefícios:

  • Você pode configurar uma mensagem personalizada separada ou redirecionar a URL para cada categoria de EWF.

  • A opção custom-message permite ajustar mensagens para apoiar suas polícias para saber qual URL está bloqueada ou colocada em quarentena.

  • Apenas uma opção de configuração de mensagem personalizada é aplicada para cada categoria. A configuração de mensagem personalizada é suportada apenas na Filtragem aprimorada de Web (EWF). Portanto, apenas o tipo de mecanismo EWF da Juniper é suportado.

A partir do Junos OS Release 17.4R1, o suporte para configuração de categoria personalizada está disponível para perfis de redirecionamento local e Websense.

Exemplo: configuração da ação de reputação do site para filtragem aprimorada de web

Este exemplo mostra como configurar a ação de reputação do site para URLs categorizadas e não categorizadas.

Requisitos

Antes de começar, você deve conhecer a filtragem de Web e a filtragem aprimorada de Web. Veja a visão geral da filtragem da Web e o processo aprimorado de filtragem de web.

Visão geral

Neste exemplo, você configura perfis de filtragem de Web para URLs de acordo com categorias definidas usando a ação de reputação do site. Você define a categoria url-cat-white de filtragem de lista de URL e o tipo de mecanismo de filtragem de Web para juniper-enhanced. Em seguida, você define os parâmetros de tamanho de cache para a filtragem da Web e os parâmetros de tempo limite de cache para 1.

Em seguida, você cria um juniper-enhanced perfil chamado ewf-test-profileperfil, define a categoria de lista de permitidores de cust-cat-quarantineURL e define a ação de reputação para quarentena.

Você insira uma mensagem personalizada a ser enviada quando as solicitações de HTTP forem colocadas em quarentena. Neste exemplo, a seguinte mensagem é enviada: The requested webpage is blocked by your organization's access policy. .

Você bloqueia URLs na categoria Enhanced_News_and_Media e permite URLs na categoria Enhanced_Education. Em seguida, você coloca as URLs em quarentena na categoria Enhanced_Streaming_Media e configura o dispositivo para enviar a seguinte mensagem: The requested webpage is blocked by your organization's access policy.

Neste exemplo, você define a ação padrão para permitir. Você seleciona configurações de fallback (bloqueio ou log-and-permit) para este perfil caso ocorram erros em cada categoria configurada. Finalmente, você define as configurações de fallback para bloquear.

Configuração

Configuração da ação de reputação do site

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar a ação de reputação do site:

  1. Especifique o mecanismo de filtragem aprimorada da Web e defina os parâmetros de tamanho de cache.

  2. Configure as pontuações base de reputação.

    Nota:

    O valor base da reputação deve ser pedido.

  3. Defina os parâmetros de tempo de cache.

  4. Crie um nome de perfil e selecione uma categoria das categorias de lista de permitidos.

  5. Crie um nome de perfil e selecione uma categoria das categorias de lista de permitidos.

  6. Digite uma mensagem de aviso a ser enviada quando as solicitações de HTTP forem colocadas em quarentena.

  7. Selecione uma ação padrão (permissão, log-and-permit, block ou quarentena) para o perfil, quando nenhuma outra ação explicitamente configurada (blocklist, lista de permissões, categoria personalizada, categoria predefinida ou reputação do site) for combinada.

  8. Selecione as configurações de fallback (bloqueio ou log-and-permit) para este perfil.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security utm comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando a situação do serviço de segurança de conteúdo

Propósito

Verifique o status do serviço de segurança de conteúdo.

Ação

A partir do modo operacional, entre no show security utm status comando.

Saída de amostra
nome de comando

Verificando a situação da sessão de segurança de conteúdo

Propósito

Verifique o status da sessão de segurança de conteúdo.

Ação

A partir do modo operacional, entre no show security utm session comando.

Saída de amostra
nome de comando

Verificando a situação da filtragem da Web de segurança de conteúdo

Propósito

Verifique o status da filtragem da Web de segurança de conteúdo.

Ação

A partir do modo operacional, entre no show security utm web-filtering status comando.

Saída de amostra
nome de comando

Verificando as estatísticas da filtragem da Web de segurança de conteúdo

Propósito

Verifique as estatísticas de filtragem da Web para conexões, incluindo hits de lista de permitidos e blocklist e acessos personalizados de categoria.

Ação

A partir do modo operacional, entre no show security utm web-filtering statistics comando.

Saída de amostra
nome de comando

Verificando o status da URL usando o arquivo de log

Propósito

Verifique o status de URL bloqueado e permitido usando o arquivo de log.

Ação

Para ver URLs bloqueadas e permitidas, envie os logs de segurança de conteúdo para um servidor de syslog usando o modo stream. Para obter mais informações, veja: Configuração de arquivos de log de segurança binários off-box.

A partir do modo operacional, entre no show log messages | match RT_UTM comando.

Saída de amostra
nome de comando

Visão geral do suporte ao modo TAP para segurança de conteúdo

No modo TAP, um firewall da Série SRX será conectado a uma porta espelhada do switch, que fornece uma cópia do tráfego que atravessa o switch. Um firewall da Série SRX no modo TAP processa o tráfego de entrada da interface TAP e gera log de segurança para exibir as informações sobre ameaças detectadas, uso de aplicativos e detalhes do usuário.

A partir do Junos OS Release 19.1R1 você pode habilitar o modo TAP no módulo de segurança de conteúdo. Quando você habilita o modo TAP no módulo de segurança de conteúdo, o firewall da Série SRX inspeciona o tráfego de entrada e saída que corresponde a uma política ou políticas de firewall com o serviço de segurança de conteúdo habilitado. O modo TAP não pode bloquear o tráfego, mas gera logs de segurança, relatórios e estatísticas para mostrar o número de ameaças detectadas, uso de aplicativos e detalhes do usuário. Se algum pacote se perder na interface TAP, a Segurança de Conteúdo encerrará a conexão e o modo TAP não gerará logs de segurança, relatórios e estatísticas para essa conexão. A configuração de segurança de conteúdo permanece a mesma do modo não-TAP.

A funcionalidade de segurança de conteúdo configurada em um firewall da Série SRX continua funcionando e trocando informações do servidor. Para usar a funcionalidade de segurança de conteúdo quando o firewall da Série SRX estiver configurado no modo TAP, você deve configurar o servidor DNS para resolver os endereços IP do servidor de nuvem.

Para usar o modo TAP, o firewall da Série SRX será conectado a uma porta espelhada do switch, que fornece uma cópia do tráfego que atravessa o switch. O firewall da Série SRX processa o tráfego de entrada da interface TAP e gera informações de log de segurança para exibir as informações sobre ameaças detectadas, uso de aplicativos e detalhes do usuário.

Ao operar no modo TAP, o firewall da Série SRX executa:

  • Filtragem aprimorada de Web (EWF) para tráfego HTTP espelhado.

  • Sophos antivírus (SAV) para tráfego espelhado de HTTP/FTP/SMTP/POP3/IMAP.

  • Antispam (AS) para tráfego SMTP espelhado.

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Soltar
Descrição
17.4R1
A partir do Junos OS Release 17.4R1, o suporte para configuração de categoria personalizada está disponível para perfis de redirecionamento local e Websense.
17.4R1
Começando pelo Junos OS Release 17.4R1, você pode baixar e carregar dinamicamente novas categorias de EWF. O download e o carregamento dinâmico das novas categorias de EWF não exigem um upgrade de software. O Websense ocasionalmente lança novas categorias de EWF. A EWF classifica sites em categorias de acordo com o host, URL ou endereço IP e realiza filtragem com base nas categorias.
17.4R1
A partir do Junos OS Release 17.4R1, os filtros base predefinidos, definidos em um arquivo de categoria, são suportados para categorias EWF individuais. Cada categoria de EWF tem uma ação padrão em um filtro base, que é anexado ao perfil do usuário para agir como um filtro de backup. Se as categorias não estiverem configuradas no perfil do usuário, o filtro base agirá.
17.4R1
A partir do Junos OS Release 17.4R1, as pontuações base de reputação são configuráveis. Os usuários podem aplicar valores de reputação globais, fornecidos pelo Websense ThreatSeeker Cloud (TSC). Para URLs não-categoria, o valor de reputação global é usado para realizar filtragem,
17.4R1
A partir do Junos OS Release 17.4R1, o suporte para configuração de categoria personalizada está disponível para perfis de redirecionamento local e Websense.
17.4R1
A partir do Junos OS Release 17.4R1, o suporte para configuração de categoria personalizada está disponível para perfis de redirecionamento local e Websense.
15,1X49-D40
Começando pelo Junos OS Release 15.1X49-D40 e Junos OS Release 17.3R1, a EWF oferece suporte ao tráfego HTTPS interceptando o tráfego HTTPS que passa pelo firewall da Série SRX.
15,1X49-D40
Começando pelo Junos OS 15.1X49-D40 e Junos OS Release 17.3R1, a EWF intercepta o tráfego HTTPS que passa pelo firewall da Série SRX. O canal de segurança do dispositivo é dividido como um canal SSL entre o cliente e o dispositivo e outro canal SSL entre o dispositivo e o servidor HTTPS. O proxy de encaminhamento SSL atua como terminal para ambos os canais e encaminha o tráfego cleartext para a segurança de conteúdo. A segurança de conteúdo extrai a URL da mensagem de solicitação de HTTP.
15,1X49-D110
A partir do Junos OS Release 15.1X49-D110, uma nova opção, custom-messageé adicionada para o custom-objects comando que permite configurar mensagens de usuário e redirecionar URLs para notificar os usuários quando uma URL é bloqueada ou colocada em quarentena para cada categoria EWF.
15,1X49-D110
A partir do Junos OS Release 15.1X49-D110, uma nova opção, custom-messageé adicionada para a custom-objects declaração que permite configurar mensagens de usuário e redirecionar URLs para notificar os usuários quando uma URL é bloqueada ou colocada em quarentena para cada categoria EWF.
15,1X49-D110
Começando com o Junos OS Release 15.1X49-D110, o " * " em uma sintaxe curinga, necessário para criar padrão de URL para perfil de filtragem de Web, corresponde a todos os subdomains.
15,1X49-D110
A partir do Junos OS Release 15.1X49-D110, uma nova opção, custom-messageé adicionada para a custom-objects declaração que permite configurar mensagens de usuário e redirecionar URLs para notificar os usuários quando uma URL é bloqueada ou colocada em quarentena para cada categoria EWF.
12,3X48-D25
Começando pelo Junos OS Release 12.3X48-D25 e Junos OS Release 17.3R1, Enhanced Web Filtering (EWF) em suportes de proxy SSL para o tráfego HTTPS.
12.1X47-D40
A partir do Junos OS 12.1X47-D40 e do Junos OS Release 17.3R1, os campos de log estruturados mudaram.