Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

URL 过滤

URL 过滤概述

您可以使用 URL 过滤来确定用户无法访问哪些 Web 内容。

此功能的组件包括:

  • URL 过滤器数据库文件

  • 配置一个或多个模板(每个配置文件最多八个)

  • URL 过滤器插件 (jservices-urlf)

  • URL 过滤守护程序 (url-filterd)

URL 过滤器数据库文件存储在路由引擎上,包含所有不允许的 URL。配置 的模板 定义了要监控的流量、匹配的标准以及要执行的作。您可以在 配置文件中配置 URL 过滤器数据库文件的模板和位置。

从 Junos OS 17.2R2 和 17.4R1 版开始,对于自适应服务,您可以禁用对包含属于 URL 过滤器数据库中不允许的域名的嵌入式 IP 地址(例如 http:/10.1.1.1)的 HTTP 流量的过滤。从 Junos OS 19.3R2 版开始,MX240、MX480 和 MX960 上的新一代服务也支持相同的功能。

要启用 URL 过滤功能,您必须在层次结构级别上[edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider]配置jservices-urlf为 。package-name启用后,jservices-urlf 会维护 URL 过滤配置文件,并接收要过滤的所有流量、过滤条件以及要对过滤后的流量执行的作。

注意:

MX-SPC3 在层次结构级别上[edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider]没有明确要求jservices-urlfpackage-name默认情况下支持它。

URL 过滤守护程序 (url-filterd) 也驻留在路由引擎上,它将 URL 过滤数据库中每个 URL 的域名解析为 IPv4 和 IPv6 地址列表。然后,它将 IP 地址列表下载到运行 jservices-urlf 的服务 PIC 中。然后,url-filterd 与动态防火墙进程 (dfwd) 交互,在数据包转发引擎上安装过滤器,以便将所选流量从数据包转发引擎发送到服务 PIC。

当新的 HTTP 和 HTTPS 流量到达路由器时,将根据 URL 过滤器数据库文件中的信息做出决策。过滤规则将被检查,然后路由器接受流量并将其传递或阻止流量。如果流量被阻止,将执行以下配置的作之一:

  • 将向用户发送 HTTP 重定向。

  • 自定义页面将发送给用户。

  • HTTP 状态代码将发送给用户。

  • 将发送 TCP 重置。

接受也是一个选项。在这种情况量不会被阻塞。

图 1 展示了 HTTP 会话的 URL 过滤。

图 1:HTTP 会话 Packet Flow-URL Filtering for HTTP Sessions的数据包流 URL 过滤

图 2 展示了 HTTPS 会话的 URL 过滤。

图 2:HTTPS 会话 Packet Flow-URL Filtering for HTTPS Sessions的数据包流 URL 过滤

有关 URL 过滤功能的更多详细信息,请参阅以下部分:

URL 过滤器数据库文件

URL 过滤器数据库文件包含 URL 和 IP 地址的条目。按照 表 1 中指示的格式创建 URL 过滤器数据库文件,并将其放在路由引擎的 /var/db/url-filterd 目录中。

表 1:URL 过滤器数据库文件格式

入口

描述

示例

FQDN

全限定域名。

www.badword.com/jjj/bad.jpg

URL

不包含第 7 层协议的完整字符串 URL。

www.srch.com/*badword*/

www.srch.com

www.srch.com/xyz

www.srch.com/xyz*

IPv4 地址

对特定 IPv4 地址的 HTTP 请求。

10.1.1.199

IPv6 地址

对特定 IPv6 地址的 HTTP 请求。

1::1

您必须在配置文件中指定自定义 URL 过滤器数据库。如果需要,您还可以使用任何模板分配自定义 URL 过滤器数据库文件,并且该数据库优先于在配置文件级别配置的数据库。

如果更改 URL 过滤器数据库文件的内容,请使用命令 request services (url-filter | web-filter) update 。帮助维护 URL 过滤器数据库文件的其他命令包括:

  • request services (url-filter | web-filter) delete

  • request services (url-filter | web-filter) force

  • request services (url-filter | web-filter) validate

URL 过滤器配置文件注意事项

URL 过滤器配置文件由一到八个模板组成。每个模板都由一组已配置的逻辑接口组成,在这些接口中,将监控流量的 URL 过滤以及一个或多个术语。

术语是一组匹配标准,如果满足匹配标准,则要执行作。您必须至少配置一个术语来配置 URL 过滤。每个术语都由语from句和语then句组成,其中语from句定义受监控的源 IP 前缀和目标端口。该then语句指定要执行的作。如果省略该from语句,则任何源 IP 前缀和任何目标端口都被视为匹配。但是,每个模板或每个配置文件只能省略一个from语句。

不带 from 语句的多个术语的配置示例

如果每个模板省略多个 from 语句,则在提交时将收到以下错误消息:

也可以看看

配置 URL 过滤

要配置 URL 过滤功能,必须先在jservices-urlf层次结构级别配置[edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider]为 。package-name有关配置extension-provider package package-name配置语句的详细信息,请参阅 package (Loading on PIC) 语句。

注意:

MX-SPC3 在层次结构级别上[edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider]没有明确要求jservices-urlfpackage-name默认情况下支持它。

在服务 PIC 上配置 URL 过滤。您正在处理的接口是服务接口(使用 ms 前缀)或聚合多服务 (AMS) 接口(使用 ams 前缀)。有关 AMS 接口的详细信息,请参阅《 路由设备自适应服务接口用户指南 》,从 了解聚合多服务接口开始。

URL 过滤 配置文件 是模板的集合。每个模板都包含一组标准,用于定义不允许哪些 URL 以及如何通知收件人。

要配置 URL 配置文件,请执行以下作:

  1. 为 URL 配置文件分配名称。

    从 Junos OS 18.3R1 版开始,适用于自适应服务。在层次结构级别配置 [edit services web-filter] 配置文件。在 Junos OS 18.3R1 版之前,请在层次结构级别配置 [edit services url-filter] 配置文件。从 Junos OS 19.3R2 版开始,MX240、MX480 和 MX960 上的新一代服务也提供了相同的功能。

  2. 指定要使用的 URL 过滤器数据库的名称。
  3. 为配置文件配置一个或多个模板。

    要配置每个模板:

    1. 模板命名。
      注意:

      从 Junos OS 18.3R1 版开始,使用 url-filter-template 语句配置模板。在 Junos OS 18.3R1 版之前,请使用语句配置 template 模板。
    2. 转到该新模板层级。
    3. 指定要使用的 URL 过滤器数据库的名称。
    4. 指定为发送 DNS 查询而选择源 IP 地址的环路接口。
    5. 禁用对包含属于 URL 过滤器数据库中不允许的域名的嵌入式 IP 地址(例如 http:/10.1.1.1)的 HTTP 流量进行过滤。
    6. 配置 DNS 解析时间间隔(以分钟为单位)。
    7. 配置 DNS 查询的重试次数,以防查询失败或超时。
    8. 指定将 DNS 查询发送到的 DNS 服务器的 IP 地址(IPv4 或 IPv6)。
    9. 指定配置 URL 过滤的面向客户端的逻辑接口。
    10. 指定配置 URL 过滤的面向服务器的逻辑接口。
    11. 指定配置 URL 过滤的路由实例。
    12. 指定可访问 DNS 服务器的路由实例。
  4. 配置术语信息。

    术语在过滤器中用于将策略或过滤器分段为小匹配对和作对。

    1. 为术语命名。
    2. 转到新的术语层次结构级别。
    3. 为要过滤的流量指定源 IP 地址前缀。
    4. 指定要过滤的流量的目的端口。
    5. 配置要执行的作。

      该作可以是以下作之一:

      custom-page custom-page

      向用户发送自定义页面字符串。
      http-status-code http-status-code

      向用户发送 HTTP 状态代码。
      redirect-url redirect-url

      向用户发送 HTTP 重定向。
      tcp-reset

      向用户发送 TCP 重置。
  5. URL 配置文件与下一跳服务集相关联。
    注意:

    对于 URL 过滤,您必须将服务集配置为下一跳点服务集。
    注意:

    服务接口也可以是前ams缀。如果在层次结构级别使用 [edit services service-set service-set-name] URL 过滤器的接口,则ams还必须在层次结构级别配置[edit interfaces ams-interface-name unit number]load-balancing-options hash-keys语句。 。
    注意:

    从 Junos OS 18.3R1 版开始,使用 web-filter-profile 语句配置服务集。在 Junos OS 18.3R1 版之前,请使用 url-filter-profile 语句配置服务集。

也可以看看

不允许的网站域的 DNS 请求过滤

DNS 请求过滤概述

从 Junos OS 18.3R1 版开始,您可以配置 DNS 过滤来识别对不允许的网站域的 DNS 请求。从 Junos OS 19.3R2 版开始,如果您使用 MX-SPC3 服务卡运行新一代服务,则可以配置 DNS 过滤。MX240、MX480 和 MX960 路由器支持新一代服务。对于 DNS 请求类型 A、AAAA、MX、CNAME、TXT、SRV 和 ANY,您可以配置对不允许的域的 DNS 请求执行的作。您可以:

  • 通过发送包含 DNS 沉洞服务器的 IP 地址或全限定域名 (FQDN) 的 DNS 响应来阻止对网站的访问。这可以确保当客户端尝试将流量发送到不允许的域时,流量会转至沉洞服务器(参见 图 3)。

  • 记录请求并允许访问。

从 Junos OS 21.1R1 版开始,您还可以为不允许的域的 DNS 请求配置以下作:

  • 警报
  • 接受
  • 丢弃
  • 丢弃无日志

对于不允许的域的其他 DNS 请求类型,将记录请求并允许访问。

沉洞服务器执行的作不受 DNS 请求过滤功能控制;您负责配置沉洞服务器作。例如,沉洞服务器可以向请求者发送一条消息,说明域无法访问,并阻止访问不允许的域。

图 3:对不允许域 DNS Request for Disallowed Domain的 DNS 请求

优势

DNS 过滤将对不允许的网站域的 DNS 请求重定向到沉洞服务器,同时防止作系统的任何人看到不允许的域列表。这是因为不允许的域名采用加密格式。

不允许的域过滤器数据库文件

DNS 请求过滤需要一个不允许的域过滤器数据库.txt文件,该文件标识每个不允许的域名、对不允许的域的 DNS 请求执行的作,以及 DNS 沉洞服务器的 IP 地址或全限定域名 (FQDN)。

DNS 过滤器配置文件

您可以配置 DNS 过滤器配置文件以指定要使用的不允许的域过滤器数据库文件。您还可以指定执行 DNS 请求过滤的接口,将过滤限制为对特定 DNS 服务器的请求,并将过滤限制为来自特定源 IP 地址前缀的请求。

如何配置 DNS 请求过滤

要过滤不允许网站域的 DNS 请求,请执行以下作:

如何配置域过滤器数据库

创建一个或多个域筛选器数据库文件,其中包含每个不允许的域的条目。每个条目都指定如何处理对不允许的网站域的 DNS 请求。

要配置域过滤器数据库文件:

  1. 创建文件的名称。数据库文件名的最大长度为 64 个字符,并且必须具有 .txt 扩展名。
  2. 添加格式为 20170314_01:domain,sinkhole_ip,v6_sinkhole,sinkhole_fqdn,id,action 的文件头。
  3. 文件中为每个不允许的域添加一个条目。您最多可以包含 10,000 个域条目。数据库文件中的每个条目都有以下项:

    hashed-domain-name,IPv4 沉洞地址,IPv6 沉洞地址,沉洞 FQDN,ID,作

    其中:

    • hashed-domain-name 是不允许的域名的散列值(64 个十六进制字符)。使用 Junos OS CLI 配置 DNS 过滤时,需要用于生成散列域值的散列方法和散列密钥。

    • IPv4 sinkhole address 是用于 IPv4 DNS 请求的 DNS 沉洞服务器的地址。

    • IPv6 sinkhole address 是用于 IPv6 DNS 请求的 DNS 沉洞服务器的地址。

    • sinkhole FQDN 是 DNS 沉洞服务器的全限定域名。

    • ID 是一个 32 位的数字,用于将条目与散列域名唯一关联。

    • action 是应用于与不允许的域名匹配的 DNS 请求的作。如果您输入 :

      • replace,则 MX 系列路由器向客户端发送包含 DNS 沉洞服务器的 IP 地址或 FQDN 的 DNS 响应。如果输入 report,则会记录 DNS 请求,然后发送到 DNS 服务器。
      • report,则记录 DNS 请求,然后发送到 DNS 服务器。
      • alert,则记录 DNS 请求,并将请求发送到 DNS 服务器。
      • accept,则记录 DNS 请求,并将请求发送到 DNS 服务器。
      • drop,则丢弃 DNS 请求并记录请求。DNS 请求不会发送到 DNS 服务器。
      • drop-no-log,则 DNS 请求将被丢弃,并且不会生成任何系统日志。DNS 请求不会发送到 DNS 服务器。
  4. 在文件的最后一行中,包含文件哈希,您使用用于生成哈希域名的相同密钥和哈希方法计算该哈希。
  5. 将数据库文件保存在路由引擎的 /var/db/url-filterd 目录中。
  6. 验证域过滤器数据库文件。
  7. 如果对数据库文件进行了任何更改,请应用更改。

如何配置 DNS 过滤器配置文件

DNS 过滤器配置文件包括用于过滤不允许的网站域的 DNS 请求的常规设置,并且最多包含 32 个模板。模板设置适用于特定上行链路和下行链路逻辑接口或路由实例上的 DNS 请求,或来自特定源 IP 地址前缀的 DNS 请求,并覆盖 DNS 配置文件级别的相应设置。您最多可以配置八个 DNS 过滤器配置文件。

要配置 DNS 过滤器配置文件:

  1. 配置 DNS 过滤器配置文件的名称:

    配置文件的最大数量为 8。

  2. 配置用于记录 DNS 过滤的每个客户端统计信息的时间间隔。范围为 0 到 60 分钟,默认值为 5 分钟。
  3. 配置文件配置常规 DNS 过滤设置。如果 DNS 请求与特定模板不匹配,则使用这些值。
    1. 指定筛选 DNS 请求时要使用的域筛选器数据库的名称。
    2. (可选)要将 DNS 过滤限制为发往特定 DNS 服务器的 DNS 请求,请最多指定三个 IP 地址(IPv4 或 IPv6)。
    3. 指定散列密钥的格式。
    4. 指定用于在域过滤器数据库文件中创建散列域名的哈希密钥。
    5. 指定用于在域过滤器数据库文件中创建散列域名的散列方法。

      唯一支持的哈希方法是 hmac-sha2-256

    6. 配置 DNS 请求的日志记录统计信息以及为每个客户 IP 地址执行的沉洞作的时间间隔。范围为 1 到 60 分钟,默认为 5 分钟。
    7. 配置在执行 DNS 沉洞作后发送 DNS 响应时的生存时间。范围为 0 到 86,400 秒,默认值为 1800。
    8. 配置搜索匹配项的子域的级别。范围为 0 到 10。值为 0 表示不搜索子域。

      例如,如果将 设置为 wildcarding-level 4,并且数据库文件包含 example.com 条目,则将对随域 198.51.100.0.example.com 一起到达的 DNS 请求进行以下比较:

      • 198.51.100.0.example.com:无匹配项

      • 51.100.0.example.com:没有比下一个级别的比赛

      • 100.0.example.com:下两级不匹配

      • 0.example.com:下三级没有匹配

      • example.com:下四级匹配

  4. 配置模板。一个配置文件中最多可以配置 8 个模板。每个模板标识特定上行链路和下行链路逻辑接口或路由实例上的 DNS 请求或来自特定源 IP 地址前缀的 DNS 请求的过滤设置。
    1. 配置模板的名称。
    2. (可选)指定要应用 DNS 过滤的面向客户端的逻辑接口(上行链路)。
    3. (可选)指定应用 DNS 过滤的面向服务器的逻辑接口(下行链路)。
    4. (可选)为应用 DNS 过滤的面向客户端的逻辑接口指定路由实例。
    5. (可选)为应用 DNS 过滤的面向服务器的逻辑接口指定路由实例。
      注意:

      如果配置客户端和服务器接口或客户端和服务器路由实例,则会在接口或路由实例上安装隐式过滤器,以便将 DNS 流量定向到服务 PIC,以便进行 DNS 过滤。如果既不配置客户端和服务器接口也不配置路由实例,则必须提供一种将 DNS 流量定向到服务 PIC 的方法(例如,通过路由)。
    6. 指定筛选 DNS 请求时要使用的域筛选器数据库的名称。
    7. (可选)要将 DNS 过滤限制为发往特定 DNS 服务器的 DNS 请求,请最多指定三个 IP 地址(IPv4 或 IPv6)。
    8. 指定用于在域过滤器数据库文件中创建散列域名的散列方法。

      唯一支持的哈希方法是 hmac-sha2-256

    9. 指定用于在域过滤器数据库文件中创建散列域名的哈希密钥。
    10. 配置 DNS 请求的日志记录统计信息以及为每个客户 IP 地址执行的沉洞作的时间间隔。范围为 1 到 60 分钟,默认为 5 分钟。
    11. 配置在执行 DNS 沉洞作后发送 DNS 响应时的生存时间。范围为 0 到 86,400 秒,默认值为 1800。
    12. 配置搜索匹配项的子域的级别。范围为 0 到 10。值为 0 表示不搜索子域。

      例如,如果将 设置为 wildcarding-level 4,并且数据库文件包含 example.com 条目,则将对随域 198.51.100.0.example.com 一起到达的 DNS 请求进行以下比较:

      • 198.51.100.0.example.com:无匹配项

      • 51.100.0.example.com:没有比下一级的比赛

      • 100.0.example.com:下两级不匹配

      • 0.example.com:下三级没有匹配

      • example.com:匹配下四个级别

    13. (可选)指定 SRV 和 TXT 查询类型的响应错误代码。

      (选答)指定 SRV 和 TXT 查询类型的响应错误代码。

    14. 为模板配置术语。一个模板中最多可以配置 64 个术语。
    15. (可选)指定要过滤的 DNS 请求的源 IP 地址前缀。一个术语中最多可以配置 64 个前缀。
    16. 指定在域过滤器数据库中标识的沉洞作对不允许的 DNS 请求执行。

如何配置 DNS 过滤服务集

DNS 过滤器配置文件与下一跳服务集相关联,并启用 DNS 过滤的日志记录。服务接口可以是 ms- 或 vms- 接口 带有 MX-SPC3 服务卡的新一代服务),也可以是聚合多服务 (AMS) 接口。

DNS 过滤的多租户支持

概述

从 Junos OS 21.1R1 版开始,您可以为每个客户或 IP 子组配置自定义域源。您可以:

  • 为多个租户配置域名和作,以便可以按租户管理域源。
  • 按配置文件、dns-filter-template 或 /dns-filter-term 配置分层域源管理。
  • 在 IP、子网或 CIDR 级别豁免域源。

要实现对 DNS 过滤的 mutiltenant 支持,禁用在模板或配置文件级别下创建域过滤器数据库文件。无需在模板或配置文件级别指定文件。从 Junos OS 21.1R1 开始,默认情况下,可以使用具有固定名称、 nsf_multi_tenant_dn_custom_file.txt (纯文本格式)或 dnsf_multi_tenant_dn_custom_file_hashed.txt (加密文件)的全局文件。

数据库文件中的每个条目都有以下项:

hashed-domain-name、IPv4 沉洞地址、IPv6 沉洞地址、沉洞 FQDN、ID、action、feed-name。

系统会计算文件哈希并将其附加到文件中的域名条目列表中。文件哈希使用全局密钥和方法计算,使用在层次结构中 [edit services web-filter] 配置的哈希密钥计算的文件哈希进行验证。仅当计算出的文件哈希与文件中存在的文件哈希匹配时,文件验证才成功。

nsf_multi_tenant_dn_custom_file.txt文件中的每个条目都包含一个名为 feed-name 的附加字段。此源名称用作对域名集进行分组并将其映射到租户(配置文件、模板、术语或 IP 地址)的指示器。

当从特定 SRC IP 地址接收 DNS 数据包时,将获取相应的源名,并针对与与该术语关联的源名映射的域名进行查找。如果未为该 IP 地址配置 feed-name,则它会回退到在模板级别配置的 feed-name,并针对与模板关联的 feed-name 映射的域名进行查找。如果未在模板上配置 feed-name,则查找将针对映射到与配置文件关联的 feed-name 的域名。

为 DNS 过滤配置多租户支持

  1. 配置 Web 过滤器。
  2. 启用多租户支持
  3. 配置全局文件哈希密钥和哈希方法。
    注意:

    配置后 multi-tenant-hash,表示全局 DNS 源文件仅包含加密源。如果未配置 s,则 multi-tenant-hash 表示全局 DNS 源文件具有纯文本格式的源。

  4. 配置 DNS 过滤器配置文件的名称,并在配置文件级别映射域信息源。在用户档案级别配置的源名称指示器应用于配置文件下未配置源名称指示器的所有模板和术语。
  5. 配置文件配置常规 DNS 过滤设置。如果 DNS 请求与特定模板不匹配,则使用这些值。
    1. (可选)要将 DNS 过滤限制为发往特定 DNS 服务器的 DNS 请求,请最多指定三个 IP 地址(IPv4 或 IPv6)。
    2. 配置 DNS 请求的日志记录统计信息以及为每个客户 IP 地址执行的沉洞作的时间间隔。范围为 1 到 60 分钟,默认为 5 分钟。
    3. 配置生存时间 (TTL),以便在执行 DNS 沉洞作后发送 DNS 响应。范围为 0 到 86,400 秒,默认值为 1800。
    4. 配置搜索匹配项的子域的级别。范围为 0 到 10。值为 0 表示不搜索子域。
    5. (可选)指定 TXT 查询类型的响应错误代码。
  6. 配置模板。一个配置文件中最多可以配置 8 个模板。每个模板标识特定上行链路和下行链路逻辑接口或路由实例上的 DNS 请求或来自特定源 IP 地址前缀的 DNS 请求的过滤设置。
    1. 配置模板的名称。
    2. 配置源名称。使用多租户格式时,您无法再在配置文件或模板下添加文件名。与在模板下配置的名称相比,在配置文件下指定的源名称的优先级较低。
    3. (可选)指定要应用 DNS 过滤的面向客户端的逻辑接口(上行链路)。
    4. (可选)指定应用 DNS 过滤的面向服务器的逻辑接口(下行链路)。
    5. (可选)为应用 DNS 过滤的面向客户端的逻辑接口指定路由实例。
    6. (可选)为应用 DNS 过滤的面向服务器的逻辑接口指定路由实例。
      注意:

      如果配置客户端和服务器接口或客户端和服务器路由实例,则会在接口或路由实例上安装隐式过滤器,以便将 DNS 流量定向到服务 PIC,以便进行 DNS 过滤。如果既不配置客户端和服务器接口也不配置路由实例,则必须提供一种将 DNS 流量定向到服务 PIC 的方法(例如,通过路由)。
    7. 配置 DNS 请求的日志记录统计信息以及为每个客户 IP 地址执行的沉洞作的时间间隔。范围为 1 到 60 分钟,默认为 5 分钟。
    8. 配置在执行 DNS 沉洞作后发送 DNS 响应时的生存时间。范围为 0 到 86,400 秒,默认值为 1800。
    9. 配置搜索匹配项的子域的级别。范围为 0 到 10。值为 0 表示不搜索子域。
    10. 为模板配置术语。一个模板中最多可以配置 64 个术语。
    11. 配置源名称。在术语中配置的源名称优先于在模板下配置的源名称。但是,如果沉洞域与模板下源名称中提到的唯一域匹配,则会实施为该条目指定的作。
    12. (可选)指定要过滤的 DNS 请求的源 IP 地址前缀。一个术语中最多可以配置 64 个前缀。
    13. 配置在域过滤器数据库中识别的沉洞作对不允许的 DNS 请求执行。
  7. DNS 过滤器配置文件与下一跳服务集相关联,并启用 DNS 过滤的日志记录。服务接口可以是多服务 (ms) 或虚拟多服务 (VMS) 接口(配备 MX-SPC3 服务卡的新一代服务),也可以是聚合多服务 (AMS) 接口。
  8. 如果在 MX-SPC3 服务卡上运行新一代服务,请配置虚拟机接口以在系统日志中获取 FPC 和 PIC 信息。

示例:为 DNS 过滤配置多租户支持

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制粘贴到 [edit] 层级的 CLI 中。

在 MX 系列路由器上集成瞻博网络 ATP 云和 Web 过滤

概述

瞻博网络高级威胁防御(瞻博网络 ATP 云)与 MX 系列路由器集成,通过采用基于云的威胁检测软件和新一代防火墙系统,保护网络中的所有云主机免遭不断变化的安全威胁。

本主题将概述瞻博网络 ATP 云、策略实施器、安全性、Web 过滤及其在 MX 系列路由器上集成时的优势。

有关平台和版本信息的详细信息,请参阅 功能浏览器

优势

  • 与 MX 路由器集成时,可简化部署并增强反威胁功能。

  • 使用多种工具组合来提供针对“零日”威胁的防护,以提供对复杂隐匿威胁的强大覆盖。

  • 通过策略增强功能检查入站和出站流量,允许用户阻止恶意软件、隔离受感染的系统、防止数据泄露以及中断横向移动。

  • 支持高可用性,提供不间断的服务。

  • 提供可扩展性,以处理需要更多计算资源的不断增加的负载、增加的网络带宽以接收更多客户提交的内容,以及用于存放恶意软件的大型存储。

  • 提供深度检测、切实可行的报告和内联恶意软件拦截功能。

  • 提供使用日志中的 VRF 信息提供租户信息的功能

了解策略实施器和瞻博网络 ATP 云

瞻博网络 Security Director 包含一项称为策略实施器 (PE) 的功能,使它能够从威胁状况中学习,自动创建策略,并动态将策略部署到网络中的瞻博网络设备。

图 4 展示了 PE、瞻博网络 ATP 云和 MX 路由器(充当防火墙)之间的流量。

  • 策略实施器 (PE) 从威胁情况中学习,自动创建策略,并将策略实施部署到网络中的瞻博网络设备。

  • 瞻博网络高级威胁防御(瞻博网络 ATP 云)通过采用基于云的威胁检测软件和新一代防火墙系统来保护网络中的所有云主机。

  • MX 路由器从策略实施器 (PE) 获取威胁情报源,并实施这些策略来隔离遭到入侵的主机。它由以下重要组件组成:

    • 安全性情报流程

    • Web 过滤过程

    • 防火墙进程

图 4:系统架构 System Architecture

要了解系统架构的功能,请考虑以下示例:如果用户从互联网下载文件,并且该文件通过 MX 防火墙,则可以将该文件发送到瞻博网络 ATP 云云进行恶意软件检测(取决于您的配置设置)。如果文件被确定为恶意软件,PE 将识别下载该文件的主机的 IP 地址和 MAC 地址。根据用户定义的策略,该主机可放入隔离 VLAN 或阻止访问互联网。

MX 系列路由器可以与瞻博网络 ATP 云集成,以防止遭到入侵的主机(僵尸网络)与命令和控制服务器进行通信:

  • 从 Junos OS 18.4R1 版开始,自适应服务作为内联安全功能

  • 从 Junos OS 19.3R2 版开始,将新一代服务作为内联安全功能

MX 系列路由器可通过以下任一方法下载 C&C 和 Geo-IP:

  • 间接方法策略实施器充当已定义环境中所有设备的源代理。此方法有利于避免个别设备访问互联网上的瞻博网络 ATP 云服务。因此,降低了连接到 Internet 的设备的脆弱性。

  • 直接方式 - MX 系列路由器直接注册到瞻博网络 ATP 云,以下载 C&C 和 Geo-IP 源。

安全性智能 (SecIntel) - 概述

安全性智能进程 (IPFD) 负责从源连接器或 ATP 云源服务器下载安全智能源并分析云源。MX 平台上的 IPFD 进程从策略实施器获取命令和控制 IPv4/IPv6 源。C&C 源本质上是一组服务器列表,这些服务器是已知的僵尸网络命令和控制服务器。该列表还包括恶意软件下载的已知来源的服务器。由此获取的信息保存在 /var/db/url-filterd 目录下创建的文件 (urlf_si_cc_db.txt) 中。

IPFD 发送到 Web 过滤过程的不允许 IP 的文件格式如下:

IPv4 address | IPv6 address, threat-level.

是一个 threat-level 从 1 到 10 的整数,表示扫描以查找恶意软件和受感染主机的文件的威胁级别。此处,1 代表最低威胁级别,10 代表最高威胁级别。

例如:178.10.19.20、4

此处,178.10.19.20 表示不允许的 IP,4 表示 threat-level

C&C 源数据库同步到备份路由引擎。然后,IPFD 将信息共享到 Web 过滤进程(url 过滤)。Web 过滤过程读取文件内容并相应地配置过滤器。

配置安全性智能以从策略实施器下载 CC 源

要从瞻博网络 ATP 云/策略实施器下载命令和控制 IPv4/IPv6 源,请在层次结构中[edit services]包含该security-intelligence语句,如以下示例所示:

Web 过滤(URL 过滤) - 概述

Web 过滤过程读取从 IPFD 获取的文件内容,并相应地在数据包转发引擎上配置过滤器。Web 过滤过程通过对数据包转发引擎中的过滤器进行编程来强制实施命令和控制源,以阻止发往被阻止 IP 地址的数据包,并生成日志以报告事件。

图 5 说明了 IPFD 获取 C&C 源然后由 Web 过滤过程处理的方式。

图 5:Web 过滤 Web Filtering

Web 过滤器配置文件可以有多个模板。每个模板都由一组用于 Web 过滤的已配置逻辑接口以及一个或多个术语组成。术语是一组匹配标准,如果满足匹配标准,则要执行作。要将 Web 过滤器配置文件配置为使用动态获取的 C&C 源,可以在层次结构级别下[edit services web-filter profile profile-name 配置命令security-intelligence-policy。无需为基于 Web 过滤器配置文件配置security-intelligence-policy术语。

您可以在层次结构级别为 edit web-filter profile profile-name security-intelligence-policy threat-level threat-level threat-action Web 过滤器配置文件配置以下威胁级别作:

  • drop

  • drop-and-log

  • log

您只能为每个 threat level配置一个 threat-action 。如果未为特定 threat level配置 ,threat-action则默认值threat-actionaccept

从 Junos OS 24.4R1 版开始,对于配置了作的 log 威胁,威胁级别和租户或 VRF 信息将嵌入到传出系统日志中。服务等级策略映射通过新 user-attribute integer 关键字得到增强,用于存储和指示威胁级别。

您可以在层次结构中[editi class-of-service policy-map policy-name]配置 。user-attribute integer

每个威胁级别配置中都引用策略映射,以便将新的用户属性<>映射到 dfw 过滤器术语中,从而驱动为每个威胁级别配置的作。策略映射在层次结构或[edit services web-filter profile profile-name url-filter-template template-name security-intelligence-policy threat level integer policy-map policy-name]层次结构中[edit services web-filter profile profile-name security-intelligence-policy threat level integer policy-map policy-name]用于将威胁级别映射到用户属性。

例如,

也可以看看

  • 安全智能策略
  • 安全智能

配置用于采样的 Web 过滤器配置文件

从 Junos OS 19.3R1 版开始,Web 过滤过程(url 过滤)支持将数据包内联采样作为威胁级别作。数据包将根据您配置的威胁作进行丢弃、记录和采样。对于扩展方案,数据包采样优先于日志记录选项。除了现有威胁级别作外,您还可以在层次结构级别对 edit web-filter profile profile-name security-intelligence-policy threat-level threat-level threat-action Web 过滤器配置文件配置以下威胁级别作:

  • drop-and-sample

  • drop-log-and-sample

  • log-and-sample

  • sample

内联流监控对数据包进行采样,并将流记录以 IPFIX 格式发送到流收集器。通过将取样数据包中收到的 IP 与 /var/db/url-filterd/urlf_si_cc_db.txt 中的相应 IP 条目进行匹配,得出外部收集器收到的取样数据包的威胁级别。您可以使用以下任一方法配置采样:

  • 将采样实例与在层次结构级别上 [edit chassis] 存在媒体接口的 FPC 相关联。如果要配置 IPv4 流、IPv6 流或 VPLS 流的采样,则可以为每个系列配置流散列表大小。

  • 在层次结构级别配置 [edit services flow-monitoring 用于内联流监控的模板属性。

  • 配置采样实例并关联流服务器 IP 地址、端口号、流导出速率,并在层次结构级别指定收集器 [edit forwarding-options

将采样实例与 FPC 关联

要将定义的实例与特定 FPC、MPC 或 DPC 相关联,请在层次结构级别包含 [edit chassis fpc number]sampling-instance语句,如以下示例所示:

配置采样实例并将模板与采样实例相关联。

要配置内联流监控的模板属性,请在层次结构级别包含 edit services flow-monitoring 以下语句,如以下示例所示:

配置示例实例并关联流服务器 IP 地址和其他参数。

要配置采样实例并关联流服务器 IP 地址和其他参数。在层次结构中 [edit forwarding-options] 包含以下语句,如以下示例所示:

示例:配置 Web 过滤器配置文件以定义不同的威胁级别

也可以看看

  • 安全智能策略
  • 在 MX、M 和 T Series 路由器上配置流量采样

GeoIP 过滤

概述

GeoIP 源本质上是 IP 地址到国家/地区代码的映射列表。从 Junos OS 21.4R1 开始,您可以在 MX 系列路由器上配置基于 IP 的地理位置,以便从策略实施器获取 GeoIP 源。通过部署 GeoIP 源,您可以启用网络以防止设备与属于特定国家/地区的 IP 地址进行通信。

您可以在 MX 系列路由器上配置安全智能进程 (IPFD),以便从策略实施器获取 GeoIP 源。与现有 C&C IP 或 IPv6 源类似,IPFD 从策略实施器下载 GeoIP 源。IPFD 将源转换为随后由 Web 过滤过程 (url-filterd) 处理的文件格式。

从 Junos OS 22.1R1 版开始,您可以在 MX 系列路由器上配置安全智能流程 (IPFD),以便从瞻博网络 ATP 云获取 GeoIP 源。与现有 C&C IP 或 IPv6 源类似,IPFD 从瞻博网络 ATP 云下载 GeoIP 源。

如何在 MX 系列路由器上配置 GeoIP 过滤

IPFD 获取的信息保存在在 /var/db/url 过滤位置创建的文件 (urlf_si_geoip_db.txt) 中。

IPFD发送到Web过滤过程的文件格式如下:

IPv4 address|IPv6 address,Prefix,threat-level,VRF-name,Gen-num.Gen-num 始终为 0。 VRF-name 指国家/地区代码。

例如,178.10.19.22,12,255,US,0

IPFD 和 Web 过滤过程保持 pconn 连接,用于通信包含 GeoIP 源的文件的创建或更新。Web 过滤过程通过对 PFE 中的过滤器进行编程来阻止发往被阻止国家/地区的数据包,从而强制实施 GeoIP 源。liburlf 提供的 API 用于验证和解析文件。

Web 过滤过程将读取包含 IP 地址列表的文件,并使用 Feed 中列出的目标 IP 地址和为关联国家/地区配置的作对 PFE 过滤器进行编程。

  • 全局过滤器 - 国家/地区在配置文件中的全局规则下配置。特定于该全局规则的国家/地区的所有 IP 地址都编程在单个过滤器中,并应用于配置文件中的所有模板。您可以通过在层次结构上[edit services web-filter profile profile-name security-intelligence-policy]配置geo-ip rule match country country-name配置文件来动态获取 GeoIP 源。

  • 组过滤器 - 在模板下配置国家/地区组。与组的国家/地区关联的所有 IP 地址都编程在组过滤器中,该过滤器应用于配置该组的模板。组是 liburlf 解析的 json 文件中定义的国家/地区列表。

    要配置组过滤器,您必须在 /var/db/url 过滤的位置 配置一个 json 文件,其中 group.json 文件包含组映射。

    json 文件的格式如下:

    [

    {

    "group_name" : "group1",

    "country" : ["ZA","YE"]

    },

    {

    "group_name" : "group2",

    "country" : ["YT"]

    }

    ]

    要动态获取 GeoIP 源,您可以使用单个配置文件配置全局过滤器,或者使用模板配置多个组过滤器。我们不支持同时支持这两种配置。

    在 json 文件中创建的组在层次结构中 [edit services web-filter profile profile-name url-filter-template template-name security-intelligence-policy geo-ip rule match group group-name] 定义的 GeoIP match 子句中引用。

全局白名单和全局黑名单

您可以选择通过添加自己的允许列表和阻止列表来自定义 IP 源。这有助于管理安全作中心自定义的情报源,或作为误报的临时措施。从 Junos OS 21.4R1 版开始,您可以通过 CLI 或文件根据配置允许或阻止某些 IP 地址。您可以为允许列表配置单独的列表,为阻止列表配置单独的列表,也可以将 IP 地址包含在文件中,并将文件名包含在 CLI 配置中。

您可以在层次结构中[edit services web-filter]创建一个IP-address-list。此处包含IP-address-list必须允许或阻止的 IP 地址列表。您还可以创建一个文件,其中包含需要在 /var/db/url 过滤位置中允许或阻止的 IP 地址。配置为文件或 IP 地址列表一部分的 IP 地址被编程为附加到所有模板的全局过滤器的一部分。

您可以通过在层次结构中edit services web-filter profile profile-name security-intelligence-policy进行配置white-list (IP-address-list | file-name) 来定义全局允许列表。您可以通过在层次结构中edit services web-filter profile profile-name security-intelligence-policy配置 来black-list (IP-address-list | file-name)定义全局阻止列表。此处的 IP-address-list,是指在层次结构中[edit services web-filter]指定的 IP 地址列表的名称。是指file-name包含必须允许或阻止的 IP 地址列表的文件名。该文件必须位于 /var/db/url 过滤的位置,并且必须与配置中的名称相同。

全局允许列表文件的格式如下:

Security Intelligence Policy Enforcement Version 2.0

全局黑名单文件的格式如下:

Security Intelligence Policy Enforcement Version 2.0

Web 过滤过程解析全局允许列表或全局阻止列表 IP 地址列表,并使用配置的 IP 地址对隐式过滤条款进行编程,以允许或阻止数据包。

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。

发布
描述
19.3R2
从 Junos OS 19.3R2 版开始,MX240、MX480 和 MX960 上的新一代服务也支持相同的功能。
19.3R2
从 Junos OS 19.3R2 版开始,MX240、MX480 和 MX960 上的新一代服务也提供了相同的功能。
19.3R2
从 Junos OS 19.3R2 版开始,如果您使用 MX-SPC3 服务卡运行新一代服务,则可以配置 DNS 过滤。MX240、MX480 和 MX960 路由器支持新一代服务。
19.3R2
从 Junos OS 19.3R2 版开始,将新一代服务作为内联安全功能
19.3R1
从 Junos OS 19.3R1 版开始,Web 过滤过程 (url-filterd) 可支持将数据包内联采样作为威胁级别作
18.4R1
从 Junos OS 18.4R1 版开始,自适应服务作为内联安全功能
18.3R1
从 Junos OS 18.3R1 版开始,适用于自适应服务。在层次结构级别配置 [edit services web-filter] 配置文件。在 Junos OS 18.3R1 版之前,请在层次结构级别配置 [edit services url-filter] 配置文件。
17.2R2
从 Junos OS 17.2R2 和 17.4R1 版开始,对于自适应服务,您可以禁用对包含属于 URL 过滤器数据库中不允许的域名的嵌入式 IP 地址(例如 http:/10.1.1.1)的 HTTP 流量的过滤。