Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

集成的 Web 过滤

具有 Websense 的增强型 Web 过滤 (EWF) 是一种集成的 URL 过滤解决方案。在设备上启用解决方案时,防火墙将拦截 HTTP 和 HTTPS 请求,并将 HTTP URL 或 HTTPS 源 IP 发送到 Websense ThreatSeeker Cloud (TSC)。有关详细信息,请参阅以下主题:

了解集成 Web 过滤

从版本到版本Junos OS,15.1X49-D10不支持Junos OS Web 过滤17.3R1。对于早期版本,借助集成Web 过滤,防火墙可以拦截 TCP 连接中每个 HTTP 请求,并从 HTTP 请求中提取 URL。每个单独的 HTTP 请求根据您定义的 URL 过滤配置文件被阻止或允许。确定 URL 的类别之后,即可在设备上做出决策。

Surf-Control 功能在更新Junos OS和15.1X49-D10 Junos OS都17.3R1。

URL 类别是按内容分组的 URL 列表。URL 类别由 Surf-Control 预定义和维护,或者由您定义。Surf-Control 保留大约 40 个预定义的类别。定义自己的 URL 类别时,您可以对 URL 进行分组,并创建特定于您的需求的类别。

您可以使用 URL 模式列表和自定义 URL 类别列表自定义对象来定义您自己的类别。定义完成后,您可以在配置网络配置文件时选择Web 过滤类别。每个类别最多可以有 20 个 URL。创建类别时,可以添加站点的 URL 或 IP 地址。将 URL 添加到用户定义的类别时,设备将执行 DNS 查找,将主机名称解析为 IP 地址,然后缓存此信息。当用户尝试使用站点的 IP 地址访问站点时,设备将检查缓存的 IP 地址列表并尝试解析主机名。许多站点都有动态 IP 地址,这意味着其 IP 地址会定期更改。试图访问站点的用户可以键入不在设备上缓存列表的 IP 地址。因此,如果您知道要添加到类别的站点的 IP 地址,请输入站点的 URL 和 IP 地址 。

如果 URL 同时出现在用户定义的类别和预定义的类别,则设备将 URL 匹配到用户定义的类别。

Web 过滤 HTTP 1.0 和 HTTP 1.1 中定义的所有方法执行。

集成的Web 过滤解决方案可以拦截 TCP 连接中每个 HTTP 请求。在这种情况下,决策在识别来自用户定义类别或类别服务器的 URL 类别(由 Websense 提供的内容门户授权机构)之后,在设备上作出。从Web 过滤版本起,Junos OS集成15.1X49-D10支持。

集成的Web 过滤功能是单独许可的订阅服务。应用程序许可证密钥Web 过滤到期时,不会将任何 URL 发送至类别服务器进行检查,但仅检查本地用户定义的类别。

仅Web 过滤、SRX210、SRX220、SRX240、SRX550 和SRX650支持集成化解决方案。

本主题包含以下章节:

集成的 Web 过滤流程

这是有关 Web 流量如何被网络模块拦截和Web 过滤的常规说明。

  1. 设备拦截 TCP 连接。

  2. 设备在 TCP 连接中拦截每个 HTTP 请求。

  3. 设备提取 HTTP 请求中每个 URL 并检查其 URL 过滤器缓存。

  4. 全局Web 过滤列表和拦截列表先检查阻止或允许。

  5. 如果允许根据缓存的参数使用 HTTP 请求 URL,则它转发到 Web 服务器。如果没有缓存匹配,则向 SurfControl 服务器发送分类请求。(如果 HTTP 请求 URL 被阻止,请求不会转发,并且会记录通知消息。)

  6. 在允许的用例中,SurfControl 服务器会使用相应的类别做出响应。

  7. 根据识别的类别,如果允许使用 URL,设备将 HTTP 请求转发给 Web 服务器。如果不允许 URL,则向 HTTP 客户端发送一个拒绝页面。

集成的 Web 过滤缓存

默认情况下,设备会从 SurfControl CPA 服务器检索和缓存 URL 类别。此过程可降低每次设备收到之前请求的 URL 的新请求时访问 SurfControl CPA 服务器的开销。您可以根据网络环境的性能和内存要求配置缓存的大小和持续时间。缓存项的生存期可配置 1 到 1800 秒,默认值为 300 秒。

缓存不会在设备重新启动或断电时保留。

集成的 Web 过滤配置文件

您可配置Web 过滤类别允许或阻止 URL 的配置文件。一Web 过滤配置文件由一组分配给以下操作之一的 URL 类别组成:

  • 允许 — 设备始终允许访问此类别的网站。

  • 阻止 — 设备阻止访问此类别的网站。当设备阻止访问此类别的网站时,将在您的浏览器中显示一条消息,指示 URL 类别。

  • 阻止列表 — 设备始终阻止访问此列表下的网站。您可以创建用户定义的类别。

  • 允许列表 — 设备始终允许访问此列表下的网站。您可以创建用户定义的类别。

注意:

提供了预定义的配置文件,如果您选择不定义自己的配置文件,可以使用。

一Web 过滤配置文件可以包含一个阻止列表或一个允许列表、多个用户定义的和/或预定义的类别(每个类别都允许或阻止操作)以及一个允许或阻止操作的其他类别。您可为配置文件中所有其他类别定义操作,以指定在传入 URL 不属于配置文件中定义的任何类别时该做什么。如果其他类别的操作被阻止,则传入 URL 如果与配置文件中明确定义的任何类别不匹配,将阻止传入 URL。如果未指定其他类别的操作,则允许的默认操作将应用于未匹配任何类别传入 URL。

配置文件匹配优先级

当配置文件使用多个类别进行 URL 匹配时,将按以下顺序检查这些类别是否匹配:

  1. 如果存在,将首先检查全局拦截名单。如果进行了匹配,URL 将被阻止。如果未找到匹配项...

  2. 全局允许列表检查下一个。如果进行了匹配,则允许 URL。如果未找到匹配项...

  3. 接下来检查用户定义的类别。如果进行了匹配,URL 将如指定被阻止或允许。如果未找到匹配项...

  4. 下一步检查预定义的类别。如果进行了匹配,URL 将如指定被阻止或允许。如果未找到匹配项...

  5. 下一项检查其他类别。如果进行了匹配,URL 将如指定被阻止或允许。

示例:配置集成 Web 过滤

从版本到版本Junos OS,15.1X49-D10不支持Junos OS Web 过滤17.3R1。对于早期版本,此示例展示如何配置集成Web 过滤。

要求

开始之前,请详细了解Web 过滤。请参阅 Web 过滤概述

概述

此示例针对自定义对象配置集成化Web 过滤、集成化Web 过滤配置文件和集成化Web 过滤 UTM策略。您还可以将集成的Web 过滤 UTM策略附加到安全策略。

在首个配置示例中,您将创建一个称为 urllist3 的自定义对象,其中包含 1.2.3.4 http://www.example.net 模式。随后,urllist3 自定义对象将添加到自定义 URL 类别 custurl3 中。

在第二个示例配置中,您将配置Web 过滤配置文件。将 URL 阻止列表过滤类别 custblacklist设置为 ,将允许列表 custwhitelist 过滤类别设置为 ,以及将 Web 过滤-control-integrated 的引擎类型。然后,您可将缓存大小参数Web 过滤到 500 KB(默认设置)以及缓存超时参数设置为 1800。

将 Surf Control 服务器名称为 surfcontrolserver,输入 8080 作为要通信的端口号。(默认端口为 80、8080 和 8081。)然后,您创建一个称为 surfpro1 的、与表面控制集成的配置文件名称。

接下来,您从包含的允许列表和拦截名单类别中选择类别,或者选择您创建的自定义 URL 类别列表进行过滤。然后输入操作(允许、记录、允许、阻止)以与过滤器一起操作。您可在必要时数次汇总允许的候选名单和拦截名单及其相应的操作。此示例将阻止 custurl3 类别的 URL。

然后,当 HTTP 请求被阻止时,您输入要发送的自定义消息。此示例将设备配置为发送一条被拒绝访问消息。对于遇到错误的请求,您可为此配置文件选择默认操作(允许、记录、允许、阻止)。此示例设置要阻止的默认操作。针对此配置文件选择回退设置(阻止或日志和允许),以防每个配置的类别出现错误。此示例设置要阻止的回退设置。

最后,输入超时值(以秒为秒)。达到此限制后,将应用故障模式设置。默认值为 10 秒,您可以输入 10 到 240 秒的值。此示例将超时值设置为 10。

在第三个示例配置中,您将创建一个UTM utmp5,并将其附加到 profile surfproiff1。

在最后一个示例配置中,您可将UTM策略 utmp5 连接到安全策略 p5。

配置

配置集成的 Web 过滤自定义对象

CLI快速配置

[edit]commit快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。

如果自定义类别与其中一个预定义类别的名称相同,则其不会优先于预定义的类别。建议不要将自定义类别名称与预定义的类别名称相同。

逐步过程

要配置集成Web 过滤:

  1. 创建自定义对象并创建 URL 模式列表。

  2. 使用 URL 模式列表配置自定义 URL 类别列表自定义对象。

  3. 创建不可信站点列表。

  4. 使用不可信网站的 URL 模式列表配置自定义 URL 类别列表自定义对象。

  5. 创建可信站点列表。

  6. 使用可信网站的 URL 模式列表配置自定义 URL 类别列表自定义对象。

结果

在配置模式下,输入 命令以确认您的 show security utm custom-objects 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的其他任何配置已替换为椭圆 (...)。

如果完成设备配置,请从配置 commit 模式输入 。

配置集成 Web 过滤功能配置文件

CLI快速配置

[edit]commit快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 CLI用户指南 中的 在配置模式下CLI编辑器 。

要配置集成Web 过滤功能配置文件:

  1. 配置 Web 过滤 URL 阻止列表。

  2. 配置 Web 过滤 URL 允许列表。

  3. 指定 surf-control-Integrated Web 过滤并设置缓存大小参数。

  4. 设置缓存超时参数。

  5. 设置服务器名称或 IP 地址。

  6. 输入用于与服务器通信的端口号。

  7. 创建配置文件名称,从包括的允许列表和拦截名单类别选择类别。

  8. 输入在阻止 HTTP 请求时要发送的自定义消息。

  9. 对于遇到错误的请求,选择此配置文件的默认操作(允许、记录、允许、阻止)。

  10. 选择此配置文件的回退设置(阻止或日志和允许)。

  11. 输入超时值,以秒为秒。

结果

在配置模式下,输入 命令以确认您的 show security utm feature-profile 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置 commit 模式输入 。

配置集成的 Web 过滤UTM策略

CLI快速配置

[edit]commit快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。

逐步过程

要配置策略UTM:

  1. 创建引用UTM的策略。

结果

在配置模式下,输入 命令以确认您的 show security utm utm-policy 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置 commit 模式输入 。

将集成的 Web 过滤UTM策略附加到安全策略

CLI快速配置

[edit]commit快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。

逐步过程

要向UTM附加一个策略:

  1. 创建和配置安全策略。

  2. 将UTM策略附加到安全策略。

结果

在配置模式下,输入 命令以确认您的 show security policies 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置 commit 模式输入 。

验证

要确认配置工作正常,请执行以下任务:

验证集成 Web 过滤自定义对象的配置

目的

验证已根据自定义对象Web 过滤的配置。

行动

在配置模式下,从配置顶部输入 show security utm custom-objects 命令。

验证集成 Web 过滤功能配置文件的配置

目的

验证集成化 Web 过滤功能配置文件的配置。

行动

在配置模式下,从配置顶部输入 show security utm feature-profile 命令。

验证集成 Web 过滤和UTM的配置

目的

验证集成策略Web 过滤 UTM。

行动

在配置模式下,从配置顶部输入 show security utm 命令。

验证集成 Web 过滤和UTM安全策略的附件

目的

验证将集成策略Web 过滤 UTM到安全策略的附件。

行动

在配置模式下,从配置顶部输入 show security policies 命令。

显示全局 SurfControl URL 类别

目的

Surf-Control 功能在更新Junos OS和15.1X49-D10 Junos OS都17.3R1。对于早期版本,查看 SurfControl 定义和维护的全局 URL 类别。

行动

输入 CLI user@host# show groups junos-defaults 命令。您也可以查找 custom-url-category

版本历史记录表
释放
描述
15.1X49-D10
从版本到版本Junos OS,15.1X49-D10不支持Junos OS Web 过滤17.3R1。
15.1X49-D10
Surf-Control 功能在更新Junos OS和15.1X49-D10 Junos OS都17.3R1。
15.1X49-D10
从Web 过滤版本起,Junos OS集成15.1X49-D10支持。
15.1X49-D10
从版本到版本Junos OS,15.1X49-D10不支持Junos OS Web 过滤17.3R1。
15.1X49-D10
Surf-Control 功能在更新Junos OS和15.1X49-D10 Junos OS都17.3R1。