Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

URL 过滤概述

可以使用 URL 筛选来确定用户无法访问哪些 Web 内容。

此功能的组件包括:

  • URL 过滤器数据库文件

  • 配置一个或多个模板(每个配置文件最多八个)

  • URL 过滤器插件 (jservices-urlf)

  • URL 过滤守护程序(URL 过滤)

URL 过滤器数据库文件存储在路由引擎上,包含所有不允许的 URL。配置的 模板 定义要监控的流量、要匹配的条件以及要执行的操作。您可以在 配置文件中配置 URL 筛选器数据库文件的模板和位置。

从 Junos OS 版本 17.2R2 和 17.4R1 开始,对于自适应服务,您可以禁用对包含嵌入 IP 地址(例如 http:/10.1.1.1)的 HTTP 流量的过滤,该地址属于 URL 过滤器数据库中不允许的域名。从 Junos OS 19.3R2 版开始,MX240、MX480 和 MX960 上的新一代服务也支持此功能。

要启用 URL 过滤功能,您必须配置为jservices-urlfpackage-name在层次结构级别。[edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider]启用后,jservices-urlf 将维护 URL 过滤配置文件,并接收要过滤的所有流量、过滤条件以及要对过滤流量执行的操作。

注意:

MX-SPC3 没有明确需要 jservices-urlf package-name [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] 作为层次结构级别的 。默认情况下,它受支持。

URL 过滤守护程序(url-filterd)也驻留在路由引擎上,它将 URL 过滤数据库中每个 URL 的域名解析为 IPv4 和 IPv6 地址列表。然后,它将 IP 地址列表下载到运行 jservices-urlf 的服务 PIC。然后,url-filterd 与动态防火墙进程 (dfwd) 交互,以在数据包转发引擎上安装过滤器,从而将所选流量从数据包转发引擎推送到服务 PIC。

当新的 HTTP 和 HTTPS 流量到达路由器时,将根据 URL 过滤器数据库文件中的信息做出决定。检查过滤规则,路由器接受流量并将其传递或阻止流量。如果流量被阻止,将执行以下操作之一:

  • HTTP 重定向将发送给用户。

  • 将向用户发送自定义页面。

  • HTTP 状态代码将发送给用户。

  • 发送 TCP 重置。

接受也是一种选择。在这种情况下,流量不会被阻止。

图 1 说明了 HTTP 会话的 URL 过滤。

图 1:HTTP 会话 Packet Flow-URL Filtering for HTTP Sessions的数据包流 URL 过滤

图 2 说明了 HTTPS 会话的 URL 过滤。

图 2:HTTPS 会话 Packet Flow-URL Filtering for HTTPS Sessions的数据包流 URL 过滤

有关 URL 过滤功能的更多详细信息,请参阅以下部分:

URL 过滤器数据库文件

URL 筛选器数据库文件包含 URL 和 IP 地址的条目。按照 表 1 中指示的格式创建 URL 过滤器数据库文件,并在路由引擎的 /var/db/url-filterd 目录中找到该文件。

表 1:URL 过滤器数据库文件格式

进入

描述

例子

Fqdn

完全限定域名。

www.badword.com/jjj/bad.jpg

Url

没有第 7 层协议的完整字符串 URL。

www.srch.com/*坏话*/

www.srch.com

www.srch.com/xyz

www.srch.com/xyz*

IPv4 地址

特定 IPv4 地址上的 HTTP 请求。

10.1.1.199

IPv6 地址

针对特定 IPv6 地址的 HTTP 请求。

1::1

您必须在配置文件中指定自定义 URL 筛选器数据库。如果需要,您还可以使用任何模板分配自定义 URL 筛选器数据库文件,并且该数据库优先于在配置文件级别配置的数据库。

如果更改 URL 筛选器数据库文件的内容, request services (url-filter | web-filter) update 请使用命令。帮助维护 URL 筛选器数据库文件的其他命令包括:

  • request services (url-filter | web-filter) delete

  • request services (url-filter | web-filter) force

  • request services (url-filter | web-filter) validate

URL 过滤器配置文件注意事项

URL 过滤器配置文件由 1 到 8 个模板组成。每个模板都包含一组已配置的逻辑接口,在这些接口中,流量受到 URL 过滤和一个或多个术语的监控。

术语是一组匹配标准,其中包含在满足匹配标准时要执行的操作。必须至少配置一个术语才能配置 URL 筛选。每个术语由一个from语句和一个then语句组成,其中语句from定义受监控的源 IP 前缀和目标端口。该then语句指定要执行的操作。如果省略该from语句,则任何源 IP 前缀和任何目标端口都被视为匹配。但是,每个模板或每个配置文件只能省略一个from语句。

不带 from 语句的多个术语的示例配置

如果每个模板省略多个 from 语句,则在提交时将收到以下错误消息:

版本历史记录表
释放
描述
19.3R2
从 Junos OS 19.3R2 版开始,MX240、MX480 和 MX960 上的新一代服务也支持此功能。
17.2R2
从 Junos OS 版本 17.2R2 和 17.4R1 开始,对于自适应服务,您可以禁用对包含嵌入 IP 地址(例如 http:/10.1.1.1)的 HTTP 流量的过滤,该地址属于 URL 过滤器数据库中不允许的域名。