在此页面上
本地 Web 过滤
Web 过滤允许您通过阻止访问不适当的 Web 内容来管理 Internet 使用情况。有四种类型的 Web 过滤解决方案。有关详细信息,请参阅以下主题:
了解本地 Web 过滤
本地 Web 过滤允许您定义自定义 URL 类别,这些类别可包含在 SRX 系列防火墙上评估的阻止列表和允许列表中。阻止列表中每个类别的所有 URL 都将被拒绝,而允许列表中每个类别的所有 URL。
通过本地 Web 过滤,防火墙会拦截 TCP 连接中的每个 HTTP 和 HTTPS 请求并提取 URL。设备在查找 URL 后做出决定,以根据其用户定义的类别确定该 URL 是否在允许列表中或阻止列表中。首先将 URL 与阻止列表 URL 进行比较。如果找到匹配项,则会阻止请求。如果未找到匹配项,系统会将该网址与许可名单进行比较。如果找到匹配项,则允许该请求。如果 URL 不在任一列表中,则会采用自定义类别(阻止、记录并允许或允许)。如果 URL 不在自定义类别中,则会执行定义的默认操作(阻止、日志并允许或允许)。通过将 Web 筛选配置文件绑定到防火墙策略,可以允许或阻止对所请求站点的访问。本地 Web 过滤提供基本的 Web 过滤,无需额外的许可证或外部类别服务器。
本主题包含以下部分:
本地 Web 过滤进程
以下部分介绍如何通过 Web 过滤模块拦截和处理 Web 流量。
设备拦截 TCP 连接。
-
设备会拦截 TCP 连接中的每个 HTTP 和 HTTPS 请求。
-
设备提取 HTTP 和 HTTPS 请求中的每个 URL,并根据用户定义的允许列表和阻止列表检查其 URL。
-
如果在阻止列表中找到该 URL,则不允许该请求,并将拒绝页面发送到 http 或 https 客户端。如果在允许列表中找到该 URL,则允许该请求。
如果在允许列表或阻止列表中找不到该 URL,则会应用配置的默认回退操作。如果未定义回退操作,则允许请求。
用户定义的自定义 URL 类别
要执行本地 Web 过滤,您必须定义可应用于配置文件的阻止列表和允许列表内容。
定义自己的 URL 类别时,您可以对 URL 进行分组并创建特定于您需求的类别。每个类别最多可以包含 20 个网址。创建类别时,可以添加站点的 URL 或 IP 地址。将 URL 添加到用户定义的类别时,设备将执行 DNS 查找,将主机名解析为 IP 地址,并缓存此信息。当用户尝试使用站点的 IP 地址访问站点时,设备会检查缓存的 IP 地址列表并尝试解析主机名。许多站点具有动态 IP 地址,这意味着它们的 IP 地址会定期更改。尝试访问站点的用户可以键入不在设备上缓存列表中的 IP 地址。因此,如果您知道要添加到类别的站点的 IP 地址,请输入站点的 URL 和 IP 地址。
您可以使用 URL 模式列表和自定义 URL 类别列表自定义对象定义自己的类别。定义后,您可以将类别分配给全局用户定义的 url 阻止列表(阻止)或 url 允许列表(允许)类别。
对 HTTP 1.0 和 HTTP 1.1 中定义的所有方法执行 Web 过滤。
本地 Web 过滤配置文件
您可以配置 Web 筛选配置文件,以根据定义的自定义类别允许或阻止 URL。Web 过滤配置文件由一组分配了以下操作之一的 URL 类别组成:
阻止列表 — 设备始终阻止访问此列表中的网站。只有用户定义的类别才能用于本地 Web 筛选。
允许列表 — 设备始终允许访问此列表中的网站。只有用户定义的类别才能用于本地 Web 筛选。
Web 过滤配置文件可以包含一个阻止列表,也可以包含一个具有多个用户定义类别的允许列表,每个类别都有一个允许或阻止操作。当传入 URL 不属于配置文件中定义的任何类别时,您可以定义默认回退操作。如果默认类别的操作为“阻止”,则当传入 URL 与配置文件中显式定义的任何类别不匹配时,将阻止传入 URL。如果未指定默认操作的操作,则默认操作“允许”将应用于与任何类别都不匹配的传入 URL。
从 Junos OS 17.4R1 版开始,本地 Web 过滤支持自定义类别配置。本地 Web 筛选和 Websense 重定向配置文件的类别也支持此选项 custom-message
。用户可以创建多个 URL 列表(自定义类别),并使用允许、允许和日志、阻止和隔离等操作将它们应用于内容安全 Web 筛选配置文件。要创建全局允许列表或阻止列表,请将本地 Web 过滤配置文件应用于内容安全策略并将其附加到全局规则。
用于 Web 过滤的用户消息和重定向 URL
从 Junos OS 17.4R1 版开始,为语句添加了custom-objects
一个新选项 custom-message
,使您能够配置用户消息和重定向 URL,以便在阻止或隔离每个 EWF 类别的 URL 时通知用户。该custom-message
选项具有以下必需属性:
名称:自定义消息的名称;最大长度为 59 个 ASCII 字符。
类型:自定义消息的类型:
user-message
或redirect-url
。内容:自定义消息的内容;最大长度为 1024 个 ASCII 字符。
将用户消息或重定向 URL 配置为自定义对象,并将自定义对象分配给 EWF 类别。
用户消息指示组织的访问策略已阻止网站访问。要配置用户消息,请在层次结构级别包含
type user-message content message-text
语句[edit security utm custom-objects custom-message message]
。重定向 URL 将阻止或隔离的 URL 重定向到用户定义的 URL。要配置重定向 URL,请在层次结构级别包含
type redirect-url content redirect-url
语句[edit security utm custom-objects custom-message message]
。
该 custom-message
选项具有以下优点:
您可以为每个 EWF 类别配置单独的自定义消息或重定向 URL。
通过该
custom-message
选项,您可以微调邮件以支持您的策略,以了解哪个 URL 被阻止或隔离。
配置文件匹配优先级
当配置文件采用多个类别进行 URL 匹配时,将按以下顺序检查这些类别的匹配项:
如果存在,则首先检查全局阻止列表。如果进行了匹配,则会阻止该 URL。如果未找到匹配项...
接下来检查全局允许列表。如果进行了匹配,则允许使用该 URL。如果未找到匹配项...
接下来检查用户定义的类别。如果进行了匹配,则会按指定阻止或允许该 URL。
参见
示例:配置本地 Web 过滤
此示例说明如何配置本地 Web 筛选以管理网站访问。
要求
概述
在此示例中,您将配置本地 Web 筛选自定义对象、本地 Web 筛选功能配置文件和本地 Web 筛选内容安全策略。您还可以将本地 Web 过滤内容安全策略附加到安全策略。 表 1 显示了有关此示例中使用的本地 Web 筛选配置类型、步骤和参数的信息。
配置类型 |
配置步骤 |
配置参数 |
---|---|---|
URL pattern and custom objects |
配置要绕过的 URL 或地址的 URL 模式列表。 创建一个名为 urllis1 的自定义对象,其中包含模式 [http://www.example1.net 192.0.2.0] 创建一个名为 urllist2 的自定义对象,其中包含模式 [http://www.example2.net 192.0.2.3] 创建一个名为 urllist3 的自定义对象,其中包含模式 [http://www.example3.net 192.0.2.9] 创建一个名为 urllist4 的自定义对象,其中包含模式 [http://www.example4.net 192.0.2.8] |
|
然后,urllist1 和 urllist2 自定义对象将分别添加到自定义网址类别 cust-blocklist 和 cust-permit-list 中。 |
|
|
Feature profiles |
配置 Web 过滤功能配置文件: |
|
|
|
|
|
|
|
|
|
|
Content Security policies |
创建内容安全策略 |
|
配置
配置本地 Web 过滤自定义对象和 URL 模式
CLI 快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入 commit
。
set security utm custom-objects url-pattern urllist1 value http://www.example1.net set security utm custom-objects url-pattern urllist1 value 192.0.2.0 set security utm custom-objects url-pattern urllist2 value http://www.example2.net set security utm custom-objects url-pattern urllist2 value 192.0.2.3 set security utm custom-objects url-pattern urllist3 value http://www.example3.net set security utm custom-objects url-pattern urllist3 value 192.0.2.9 set security utm custom-objects url-pattern urllist4 value http://www.example4.net set security utm custom-objects url-pattern urllist4 value 192.0.2.8 set security utm custom-objects custom-url-category cust-black-list value urllist1 set security utm custom-objects custom-url-category cust-permit-list value urllist2 set security utm custom-objects custom-url-category custurl3 value urllist3 set security utm custom-objects custom-url-category custurl4 value urllist4
从 Junos OS 版本 15.1X49-D110 开始,通配符语法中的“* ”(用于 URL 模式 Web 过滤配置文件)匹配所有子域。例如,*.example.net 匹配:
http://a.example.net
http://example.net
aaa.example.net
分步过程
要使用 CLI 配置本地 Web 过滤,请执行以下操作:
通过创建列表名称并向其添加值来配置 URL 模式列表自定义对象,如下所示:
注意:由于您使用 URL 模式列表创建自定义 URL 类别列表,因此必须先配置 URL 模式列表自定义对象,然后再配置自定义 URL 类别列表。
[edit] user@host# set security utm custom-objects url-pattern urllist1 value [http://www.example1.net 192.0.2.0] user@host# set security utm custom-objects url-pattern urllist2 value [http://www.example2.net 192.0.2.3] user@host# set security utm custom-objects url-pattern urllist3 value [http://www.example3.net 192.0.2.9] user@host# set security utm custom-objects url-pattern urllist4 value [http://www.example4.net 192.0.2.8]
注意:使用 URL 模式通配符的准则如下:使用 \ *\.[]\?* 并在所有通配符 URL 前面加上 http://。仅当“*”位于 URL 的开头且后跟“.”时,才能使用它。您只能在 URL 末尾使用“?”。
支持以下通配符语法:http://*。example.net,http://www.example.ne?,http://www.example.n??。不支持以下通配符语法:*.example.???, http://*example.net, http://?。
将网址模式应用于自定义网址类别。
[edit] user@host# set security utm custom-objects custom-url-category cust-black-list value urllist1 user@host# set security utm custom-objects custom-url-category cust-permit-list value urllist2 user@host# set security utm custom-objects custom-url-category custurl3 value urllist3 user@host# set security utm custom-objects custom-url-category custurl4 value urllist4
结果
在配置模式下,输入 show security utm custom-objects
命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit] userhost#show security utm custom-objects url-pattern { urllist1 { value [ http://www.example1.net 192.0.2.0 ]; } urllist2 { value [ http://www.example2.net 192.0.2.3 ]; } urllist3 { value [ http://www.example3.net 192.0.2.9 ]; } urllist4 { value [ http://www.example4.net 192.0.2.8 ]; } } custom-url-category { cust-black-list { value urllist1; } cust-permit-list { value urllist2; } custurl3 { value urllist3; } custurl4 { value urllist4; } }
如果完成设备配置,请从配置模式输入 commit
。
将自定义对象应用于功能配置文件
CLI 快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入 commit
。
set security utm feature-profile web-filtering juniper-local profile localprofile1 category cust-black-list action block set security utm feature-profile web-filtering juniper-local profile localprofile1 category cust-permit-list action log-and-permit set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message type custom-redirect-url set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message url http://192.0.2.10 set security utm feature-profile web-filtering juniper-local profile localprofile1 custom-block-message "Access to this site is not permitted." set security utm feature-profile web-filtering juniper-local profile localprofile1 default log-and-permit set security utm feature-profile web-filtering juniper-local profile localprofile1 fallback-settings default block set security utm feature-profile web-filtering juniper-local profile localprofile1 fallback-settings too-many-requests block
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
创建配置文件名称,然后从包含的允许和阻止列表类别中选择一个类别。自定义类别操作可以是阻止、允许、日志和允许以及隔离。
[edit security utm feature-profile web-filtering] user@host# set juniper-local profile localprofile1 category cust-black-list action block user@host# set juniper-local profile localprofile1 category cust-permit-list action log-and-permit
定义重定向 URL 服务器,以便设备不再发送带有纯文本 HTML 的阻止页面,而是将 HTTP 302 重定向发送到此重定向服务器,并在 HTTP 重定向位置字段中嵌入特殊变量。这些特殊变量由重定向服务器解析,并用作带有图像和明文格式的客户端的特殊块页面。
[edit security utm feature-profile web-filtering] user@host# set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message type custom-redirect-url user@host# set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message url http://192.0.2.10
-
输入在阻止 HTTP 或 HTTPS 请求时要发送的自定义消息。
[edit security utm feature-profile web-filtering] user@host# set juniper-local profile localprofile1 custom-block-message “Access to this site is not permitted”
当没有其他显式配置的操作(阻止列表、允许列表、自定义类别、预定义类别操作或站点信誉操作)匹配时,为配置文件指定默认操作(允许、记录和允许、阻止或隔离)。
[edit security utm feature-profile web-filtering] user@host# set juniper-local profile localprofile1 default log-and-permit
为此配置文件配置回退设置(阻止或记录和允许)。
[edit security utm feature-profile web-filtering] user@host# set juniper–local profile localprofile1 fallback-settings default block user@host# set juniper–local profile localprofile1 fallback-settings too-many-requests block
结果
在配置模式下,输入 show security utm feature-profile
命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit] userhost#show security utm feature-profile web-filtering { juniper-local { profile localprofile1 { default log-and-permit; category { cust-black-list { action block; } cust-permit-list { action log-and-permit; } } custom-block-message "Access to this site is not permitted."; block-message { type custom-redirect-url; url http://192.0.2.10; } fallback-settings { default block; too-many-requests block; } } } } } }
如果完成设备配置,请从配置模式输入 commit
。
将 Web 过滤内容安全策略附加到安全策略
CLI 快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入 commit
。
set security utm utm-policy utmp5 web-filtering http-profile localprofile1
分步过程
要配置内容安全策略,请执行以下操作:
-
创建引用配置文件的内容安全策略。将 Web 筛选配置文件应用于内容安全策略。
[edit] user@host# set security utm utm-policy utmp5 web-filtering http-profile localprofile1
结果
在配置模式下,输入 show security utm
命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。
[edit] userhost# show security utm utm-policy utmp5 { web-filtering { http-profile localprofile1; } }
如果完成设备配置,请从配置模式输入 commit
。
将本地 Web 过滤内容安全策略附加到安全策略
CLI 快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入 commit
。
set security policies from-zone trust to-zone untrust policy p5 match source-address any set security policies from-zone trust to-zone untrust policy p5 match destination-address any set security policies from-zone trust to-zone untrust policy p5 match application junos-http set security policies from-zone trust to-zone untrust policy p5 then permit application-services utm-policy utmp5
分步过程
要将内容安全策略附加到安全策略,请执行以下操作:
创建并配置安全策略。
[edit security policies from-zone trust to-zone untrust policy p5] user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-http
-
将内容安全策略应用于安全策略。
[edit security policies from-zone trust to-zone untrust policy p5] user@host# set then permit application-services utm-policy utmp5
结果
在配置模式下,输入 show security policies
命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit] userhost# show security policies from-zone trust to-zone untrust { policy p5 { match { source-address any; destination-address any; application junos-http; } then { permit { application-services { utm-policy utmp5; } } } } }
如果完成设备配置,请从配置模式输入 commit
。
验证
要确认配置工作正常,请执行以下任务:
验证内容安全 Web 过滤的统计信息
目的
验证连接的 Web 筛选统计信息,包括允许列表和阻止列表命中以及自定义类别命中。
行动
在操作模式下,输入 show security utm web-filtering statistics
命令。
示例输出
命令名称
user@host>show security utm web-filtering statistics UTM web-filtering statistics: Total requests: 0 white list hit: 0 Black list hit: 0 Custom category permit: 0 Custom category block: 0 Custom category quarantine: 0 Custom category qurantine block: 0 Custom category quarantine permit: 0 Web-filtering sessions in total: 0 Web-filtering sessions in use: 0 Fallback: log-and-permit block Default 0 0 Timeout 0 0 Connectivity 0 0 Too-many-requests 0 0
custom-message
。用户可以创建多个 URL 列表(自定义类别),并使用允许、允许和日志、阻止和隔离等操作将它们应用于内容安全 Web 筛选配置文件。要创建全局允许列表或阻止列表,请将本地 Web 过滤配置文件应用于内容安全策略并将其附加到全局规则。
custom-objects
一个新选项
custom-message
,使您能够配置用户消息和重定向 URL,以便在阻止或隔离每个 EWF 类别的 URL 时通知用户。