要配置 URL 过滤功能,必须先配置为jservices-urlfpackage-name层级的[edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider]。有关配置extension-provider package package-name配置语句的更多信息,请参阅软件包(在 PIC 上加载)语句。
注意:
MX-SPC3 并不明确需要 jservices-urlf 作为 package-name 层级的 [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] 。默认情况下,它受支持。
在服务 PIC 上配置 URL 过滤。您处理的接口是服务接口(使用ms前缀)或聚合多服务 (AMS) 接口(使用ams前缀)。有关 AMS 接口的更多信息,请参阅从了解聚合多服务接口开始的路由设备的自适应服务接口用户指南。
URL 过滤 配置文件 是一组模板。每个模板都包含一组标准,用于定义不允许的 URL 以及接收者的通知方式。
要配置 URL 配置文件:
- 为 URL 配置文件分配名称。
[edit]
user@host# edit services (web-filter | url-filter) profile profile-name
从 Junos OS 18.3R1 版开始,适用于自适应服务。在层级配置配置文件 [edit services web-filter] 。在 Junos OS 18.3R1 版之前,请在 [edit services url-filter] 层次结构级别配置配置文件。从 Junos OS 19.3R2 版开始,MX240、MX480 和 MX960 的下一代 Serice 也提供此功能。
- 指定要使用 URL 过滤器数据库的名称。
[edit services (web-filter | url-filter) profile profile-name]
user@host# set url-filter-database filename
- 为配置文件配置一个或多个模板。
- 为模板命名。
[edit services (web-filter | url-filter) profile profile-name]
user@host# set (url-filter-template template-name | template template-name)
注意:
从 Junos OS 18.3R1 版开始,使用 url-filter-template 语句配置模板。在 Junos OS 18.3R1 版之前,使用 template 语句配置模板。
- 转到新的模板层次结构级别。
[edit services (web-filter | url-filter) profile profile-name]
user@host# edit (url-filter-template template-name | template template-name)
- 指定要使用 URL 过滤器数据库的名称。
[edit services (web-filter | url-filter) profile profile-name (url-filter-template template-name | template template-name)]
user@host# set url-filter-database filename
- 指定用于发送 DNS 查询的源 IP 地址的环路接口。
[edit services (web-filter | url-filter) profile profile-name (url-filter-template template-name | template template-name)]
user@host# set dns-source-interface loopback-interface-name
- 禁用过滤包含属于 URL 过滤器数据库中不允许域名的嵌入式 IP 地址(例如 http:/10.1.1.1)的 HTTP 流量。
[edit services (web-filter | url-filter) profile profile-name (url-filter-template template-name | template template-name)]
user@host# set disable-url-filtering
- 配置 DNS 解析时间间隔(以分钟为单位)。
[edit services (web-filter | url-filter) profile profile-name (url-filter-template template-name | template template-name)]
user@host# set dns-resolution-interval minutes
- 配置 DNS 查询的重试次数,以防查询失败或超时。
[edit services (web-filter | url-filter) profile profile-name]
user@host# set dns-retries number
- 指定 DNS 查询发送到的 DNS 服务器的 IP 地址(IPv4 或 IPv6)。
[edit services (web-filter | url-filter) profile profile-name (url-filter-template template-name | template template-name)]
user@host# set dns-server [ip-address]
- 指定配置 URL 过滤的面向客户端的逻辑接口。
[edit services (web-filter | url-filter) profile profile-name (url-filter-template template-name | template template-name)]
user@host# set client-interfaces [ client-interface-name ]
- 指定配置 URL 过滤的面向服务器的逻辑接口。
[edit services (web-filter | url-filter) profile profile-name (url-filter-template template-name | template template-name)]
user@host# set server-interfaces [ server-interface-name ]
- 指定配置 URL 过滤的路由实例。
[edit services (web-filter | url-filter) profile profile-name (url-filter-template template-name | template template-name)]
user@host# set routing-instance routing-instance-name
- 指定可访问 DNS 服务器的路由实例。
[edit services (web-filter | url-filter) profile profile-name (url-filter-template template-name | template template-name)]
user@host# dns-routing-instance dns-routing-instance-name
- 配置术语信息。
过滤器中使用术语将策略或过滤器细分为小型匹配和操作对。
- 将术语命名。
[edit services (web-filter | url-filter) profile profile-name (url-filter-template template-name | template template-name)]
user@host# set term term-name
- 转到新的术语层次结构级别。
[edit services (web-filter | url-filter) profile profile-name (url-filter-template template-name | template template-name)]
user@host# edit term term-name
- 指定要过滤的流量的源 IP 地址前缀。
[edit services (web-filter | url-filter) profile profile-name (url-filter-template template-name | template template-name) term term-name]
user@host# set from src-ip-prefix [prefix]
- 指定要过滤的流量的目标端口。
[edit services (web-filter | url-filter) profile profile-name (url-filter-template template-name | template template-name) term term-name]
user@host# set from dest-port [port]
- 配置要采取的操作。
[edit services (web-filter | url-filter) profile profile-name (url-filter-template template-name | template template-name) term term-name]
user@host# set then action
操作可以是以下其中一项:
custom-page custom-page |
向用户发送自定义页面字符串。 |
http-status-code http-status-code |
向用户发送 HTTP 状态代码。 |
redirect-url redirect-url |
向用户发送 HTTP 重定向。 |
tcp-reset |
向用户发送 TCP 重置。 |
- 将 URL 配置文件与下一跃点服务集相关联。
注意:
对于 URL 过滤,必须将服务集配置为下一跃点服务集。
[edit]
user@host# set services service-set service-set-name (web-filter-profile profile-name | url-filter-profile profile-name)
user@host# set services service-set service-set-name next-hop-service inside-service-interface interface-name.unit-number
user@host# set services service-set service-set-name next-hop-service outside-service-interface interface-name.unit-number
注意:
服务接口也可以是前缀的ams接口。如果在 URL 过滤器的层级使用ams接口,则还必须在[edit interfaces ams-interface-name unit number]层次结构级别配置load-balancing-options hash-keys[edit services service-set service-set-name]语句。
注意:
从 Junos OS 18.3R1 版开始,使用 web-filter-profile 语句配置服务集。在 Junos OS 18.3R1 版之前,使用 url-filter-profile 语句配置服务集。
