Web 过滤概述
Web 过滤允许您通过阻止访问不适当的 Web 内容来管理 Internet 使用情况。有三种类型的 Web 过滤解决方案:
重定向 Web 过滤 - 重定向 Web 过滤解决方案拦截 HTTP 和 HTTPS 请求,并将其发送到 Websense 提供的外部 URL 过滤服务器,以确定是否阻止这些请求。
重定向 Web 过滤不需要许可证。
本地 Web 过滤 - 本地 Web 过滤解决方案拦截 TCP 连接中的每个 HTTP 请求和 HTTPS 请求。在这种情况下,在设备上查找 URL 后,将根据其用户定义的类别确定该 URL 是否在允许列表或阻止列表中,从而在设备上完成决策。
本地 Web 过滤不需要许可证或远程类别服务器。
增强型 Web 过滤 — 增强型 Web 过滤解决方案拦截 HTTP 和 HTTPS 请求,并将 HTTP URL 或 HTTPS 源 IP 发送到 Websense ThreatSeeker Cloud (TSC)。TSC 将 URL 分类为预定义的 151 个或更多类别之一,并提供站点信誉信息。TSC 进一步将 URL 类别和站点信誉信息返回给设备。设备根据 TSC 提供的信息确定是否可以允许或阻止请求。
从 Junos OS 17.4R1 版开始,Websense 重定向支持 IPv6 流量。
从 Junos OS 22.2R1 版开始,Web 过滤使用 JDPI 解码器支持来处理应用程序数据。JDPI-Decoder 需要 APPID 许可证。若要在没有 APPID 许可证的情况下使用本地 Web 筛选,可以使用 set security utm default-configuration web-filtering performance-mode
命令,该命令将禁用 JDPI 解码器并启用 WF 解码器。此命令需要重新启动系统。
您可以将 Web 过滤配置文件和/或防病毒配置文件绑定到防火墙策略。当两者都绑定到防火墙策略时,首先应用 Web 过滤,然后应用防病毒。如果 URL 被 Web 过滤阻止,TCP 连接将关闭,无需防病毒扫描。如果允许使用 URL,则事务的内容将传递到防病毒扫描进程。
Web 过滤按 TCP 端口号应用。
Web 过滤支持 HTTPS 协议。Web 过滤解决方案使用 HTTPS 数据包的 IP 地址做出阻止列表、允许列表、允许或阻止决策。
在阻止决策期间,Web 筛选解决方案不会生成阻止页面,因为明文不可用于 HTTPS 会话。但是,该解决方案会终止会话,并将重置发送到客户端和服务器以用于阻止的 HTTPS 会话。
HTTP 的 Web 过滤配置也适用于 HTTPS 会话。
每个客户端的会话数限制 CLI 命令不支持 Web 筛选,该命令施加会话限制以防止恶意用户同时生成大量流量。
从 Junos OS 版本 15.1X49-D100 开始,Web 过滤和内容安全的内容过滤安全功能支持 HTTP、HTTPS、FTP、SMTP、POPP3、IMAP 协议的 IPv6 直通流量。
服务器名称指示 (SNI) 支持
SNI 是 SSL/TLS 协议的扩展,用于指示客户端通过 HTTPS 连接联系的服务器名称。SNI 在 SSL 握手完成之前,以明文格式在“客户端 Hello”消息中插入目标服务器的实际主机名。Web 过滤在查询中包含 SNI 信息。在此实现中,SNI 仅包含服务器名称,而不包含服务器的完整 URL。对 SNI 的支持增强了 Web 过滤功能,因为在查询中仅使用目标 IP 地址可能会导致结果不准确,因为多个 HTTP 服务器可能共享同一个主机 IP 地址。
借助 SNI 支持,Web 过滤将 HTTPS 流量的第一个数据包分析为“客户端问候”消息,并从 SNI 扩展中提取服务器名称,并使用服务器名称和目标 IP 地址来维护/运行查询。如果此数据包没有 SNI 扩展,或者在解析过程中遇到错误,则 Web 过滤将恢复为仅使用目标 IP 地址。
在 Web 过滤 (EWF) 中,如果启用了带有 SSL 转发代理的 HTTPS 会话,则会在 Web 过滤之前获取服务器名称指示 (SNI),并用于预检查查询、站点信誉和类别作为响应。如果启用了缓存,则这些响应将填充缓存,而无需执行任何操作。 EWF 提取完整路径并检查是否存在缓存。如果缓存中的完整路径不匹配,则 EWF 发送查询。
默认情况下,为所有类型的 Web 过滤启用 SNI 功能,因此,不需要使用 CLI 进行其他配置。
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。