Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

本地 Web 过滤

Web 过滤允许您通过阻止访问不适当的 Web 内容来管理 Internet 使用情况。有四种类型的 Web 过滤解决方案。有关详细信息,请参阅以下主题:

了解本地 Web 过滤

本地 Web 过滤允许您定义自定义 URL 类别,这些类别可包含在 SRX 系列防火墙上评估的阻止列表和允许列表中。阻止列表中每个类别的所有 URL 都将被拒绝,而允许列表中每个类别的所有 URL。

通过本地 Web 过滤,防火墙会拦截 TCP 连接中的每个 HTTP 和 HTTPS 请求并提取 URL。设备在查找 URL 后做出决定,以根据其用户定义的类别确定该 URL 是否在允许列表中或阻止列表中。首先将 URL 与阻止列表 URL 进行比较。如果找到匹配项,则会阻止请求。如果未找到匹配项,系统会将该网址与许可名单进行比较。如果找到匹配项,则允许该请求。如果 URL 不在任一列表中,则会采用自定义类别(阻止、记录并允许或允许)。如果 URL 不在自定义类别中,则会执行定义的默认操作(阻止、日志并允许或允许)。通过将 Web 筛选配置文件绑定到防火墙策略,可以允许或阻止对所请求站点的访问。本地 Web 过滤提供基本的 Web 过滤,无需额外的许可证或外部类别服务器。

本主题包含以下部分:

本地 Web 过滤进程

以下部分介绍如何通过 Web 过滤模块拦截和处理 Web 流量。

  1. 设备拦截 TCP 连接。

  2. 设备会拦截 TCP 连接中的每个 HTTP 和 HTTPS 请求。

  3. 设备提取 HTTP 和 HTTPS 请求中的每个 URL,并根据用户定义的允许列表和阻止列表检查其 URL。

  4. 如果在阻止列表中找到该 URL,则不允许该请求,并将拒绝页面发送到 http 或 https 客户端。如果在允许列表中找到该 URL,则允许该请求。

  5. 如果在允许列表或阻止列表中找不到该 URL,则会应用配置的默认回退操作。如果未定义回退操作,则允许请求。

用户定义的自定义 URL 类别

要执行本地 Web 过滤,您必须定义可应用于配置文件的阻止列表和允许列表内容。

定义自己的 URL 类别时,您可以对 URL 进行分组并创建特定于您需求的类别。每个类别最多可以包含 20 个网址。创建类别时,可以添加站点的 URL 或 IP 地址。将 URL 添加到用户定义的类别时,设备将执行 DNS 查找,将主机名解析为 IP 地址,并缓存此信息。当用户尝试使用站点的 IP 地址访问站点时,设备会检查缓存的 IP 地址列表并尝试解析主机名。许多站点具有动态 IP 地址,这意味着它们的 IP 地址会定期更改。尝试访问站点的用户可以键入不在设备上缓存列表中的 IP 地址。因此,如果您知道要添加到类别的站点的 IP 地址,请输入站点的 URL 和 IP 地址。

您可以使用 URL 模式列表和自定义 URL 类别列表自定义对象定义自己的类别。定义后,您可以将类别分配给全局用户定义的 url 阻止列表(阻止)或 url 允许列表(允许)类别。

对 HTTP 1.0 和 HTTP 1.1 中定义的所有方法执行 Web 过滤。

本地 Web 过滤配置文件

您可以配置 Web 筛选配置文件,以根据定义的自定义类别允许或阻止 URL。Web 过滤配置文件由一组分配了以下操作之一的 URL 类别组成:

  • 阻止列表 — 设备始终阻止访问此列表中的网站。只有用户定义的类别才能用于本地 Web 筛选。

  • 允许列表 — 设备始终允许访问此列表中的网站。只有用户定义的类别才能用于本地 Web 筛选。

Web 过滤配置文件可以包含一个阻止列表,也可以包含一个具有多个用户定义类别的允许列表,每个类别都有一个允许或阻止操作。当传入 URL 不属于配置文件中定义的任何类别时,您可以定义默认回退操作。如果默认类别的操作为“阻止”,则当传入 URL 与配置文件中显式定义的任何类别不匹配时,将阻止传入 URL。如果未指定默认操作的操作,则默认操作“允许”将应用于与任何类别都不匹配的传入 URL。

从 Junos OS 17.4R1 版开始,本地 Web 过滤支持自定义类别配置。本地 Web 筛选和 Websense 重定向配置文件的类别也支持此选项 custom-message 。用户可以创建多个 URL 列表(自定义类别),并使用允许、允许和日志、阻止和隔离等操作将它们应用于内容安全 Web 筛选配置文件。要创建全局允许列表或阻止列表,请将本地 Web 过滤配置文件应用于内容安全策略并将其附加到全局规则。

用于 Web 过滤的用户消息和重定向 URL

从 Junos OS 17.4R1 版开始,为语句添加了custom-objects一个新选项 custom-message,使您能够配置用户消息和重定向 URL,以便在阻止或隔离每个 EWF 类别的 URL 时通知用户。该custom-message选项具有以下必需属性:

  • 名称:自定义消息的名称;最大长度为 59 个 ASCII 字符。

  • 类型:自定义消息的类型: user-messageredirect-url

  • 内容:自定义消息的内容;最大长度为 1024 个 ASCII 字符。

将用户消息或重定向 URL 配置为自定义对象,并将自定义对象分配给 EWF 类别。

  • 用户消息指示组织的访问策略已阻止网站访问。要配置用户消息,请在层次结构级别包含 type user-message content message-text 语句 [edit security utm custom-objects custom-message message]

  • 重定向 URL 将阻止或隔离的 URL 重定向到用户定义的 URL。要配置重定向 URL,请在层次结构级别包含 type redirect-url content redirect-url 语句 [edit security utm custom-objects custom-message message]

custom-message 选项具有以下优点:

  • 您可以为每个 EWF 类别配置单独的自定义消息或重定向 URL。

  • 通过该 custom-message 选项,您可以微调邮件以支持您的策略,以了解哪个 URL 被阻止或隔离。

配置文件匹配优先级

当配置文件采用多个类别进行 URL 匹配时,将按以下顺序检查这些类别的匹配项:

  1. 如果存在,则首先检查全局阻止列表。如果进行了匹配,则会阻止该 URL。如果未找到匹配项...

  2. 接下来检查全局允许列表。如果进行了匹配,则允许使用该 URL。如果未找到匹配项...

  3. 接下来检查用户定义的类别。如果进行了匹配,则会按指定阻止或允许该 URL。

示例:配置本地 Web 过滤

此示例说明如何配置本地 Web 筛选以管理网站访问。

要求

此示例使用以下硬件和软件组件:

  • SRX1500设备

  • Junos OS 版本 12.1X46-D10 或更高版本

在开始之前,请详细了解 Web 过滤。请参阅 Web 过滤概述

概述

在此示例中,您将配置本地 Web 筛选自定义对象、本地 Web 筛选功能配置文件和本地 Web 筛选内容安全策略。您还可以将本地 Web 过滤内容安全策略附加到安全策略。 表 1 显示了有关此示例中使用的本地 Web 筛选配置类型、步骤和参数的信息。

表 1:本地 Web 过滤配置类型、步骤和参数

配置类型

配置步骤

配置参数

URL pattern and custom objects

配置要绕过的 URL 或地址的 URL 模式列表。

创建一个名为 urllis1 的自定义对象,其中包含模式 [http://www.example1.net 192.0.2.0]

创建一个名为 urllist2 的自定义对象,其中包含模式 [http://www.example2.net 192.0.2.3]

创建一个名为 urllist3 的自定义对象,其中包含模式 [http://www.example3.net 192.0.2.9]

创建一个名为 urllist4 的自定义对象,其中包含模式 [http://www.example4.net 192.0.2.8]

  • [http://www.example1.net 192.0.2.0]

  • [http://www.example2.net 192.0.2.3]

  • [http://www.example3.net 192.0.2.9]

  • [http://www.example4.net 192.0.2.8]

  • value urllist3

  • value urllist4

然后,urllist1 和 urllist2 自定义对象将分别添加到自定义网址类别 cust-blocklist 和 cust-permit-list 中。

  • value urllist1

  • value urllist2

Feature profiles

配置 Web 过滤功能配置文件:

 
  • 将 URL 阻止列表过滤类别设置为 custurl4,将 URL 允许列表过滤类别设置为 custurl3。将 Web 过滤引擎的类型设置为瞻博网络本地。

  • custurl3

  • custurl4

  • type juniper-local

  • 创建一个名为 localprofile1 的瞻博网络本地配置文件名称。为此配置文件为遇到错误的请求选择默认操作(允许、日志和允许、阻止)。此示例将默认操作设置为允许。添加具有日志和允许操作的类别客户允许列表和具有阻止操作的客户阻止列表。

  • localprofile1

  • Action: block

  • Action: log-and-permit

  • cust-black-list

  • cust-permit-list

  • 定义重定向 URL。输入在阻止 HTTP 和 HTTPS 请求时要发送的自定义消息。

  • 为此配置文件选择回退设置(阻止或日志和允许),以防每个配置的类别中发生错误。此示例将回退设置设置为阻止。

  • block-message type custom-redirect-url

  • block-message url 192.0.2.10

  • custom-block-message “**Access to this site is not permitted**”.

  • fallback-settings:

    • block

    • log-and-permit

Content Security policies

创建内容安全策略utmp5并将其附加到配置文件 localprofile1。在最终配置示例中,将内容安全策略附加到安全策略utmp5p5

  • utm policy utmp5

  • policy p5

配置

配置本地 Web 过滤自定义对象和 URL 模式

CLI 快速配置

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

从 Junos OS 版本 15.1X49-D110 开始,通配符语法中的“* ”(用于 URL 模式 Web 过滤配置文件)匹配所有子域。例如,*.example.net 匹配:

  • http://a.example.net

  • http://example.net

  • aaa.example.net

分步过程

要使用 CLI 配置本地 Web 过滤,请执行以下操作:

  1. 通过创建列表名称并向其添加值来配置 URL 模式列表自定义对象,如下所示:

    注意:

    由于您使用 URL 模式列表创建自定义 URL 类别列表,因此必须先配置 URL 模式列表自定义对象,然后再配置自定义 URL 类别列表。

    注意:
    • 使用 URL 模式通配符的准则如下:使用 \ *\.[]\?* 并在所有通配符 URL 前面加上 http://。仅当“*”位于 URL 的开头且后跟“.”时,才能使用它。您只能在 URL 末尾使用“”。

    • 支持以下通配符语法:http://*example.net,http://www.example.nehttp://www.example.n??。不支持以下通配符语法:*.example.???, http://*example.net, http://?。

  2. 将网址模式应用于自定义网址类别。

结果

在配置模式下,输入 show security utm custom-objects 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

如果完成设备配置,请从配置模式输入 commit

将自定义对象应用于功能配置文件

CLI 快速配置

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

分步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置本地 Web 过滤功能配置文件,请执行以下操作:
  1. 创建配置文件名称,然后从包含的允许和阻止列表类别中选择一个类别。自定义类别操作可以是阻止、允许、日志和允许以及隔离。

  2. 定义重定向 URL 服务器,以便设备不再发送带有纯文本 HTML 的阻止页面,而是将 HTTP 302 重定向发送到此重定向服务器,并在 HTTP 重定向位置字段中嵌入特殊变量。这些特殊变量由重定向服务器解析,并用作带有图像和明文格式的客户端的特殊块页面。

  3. 输入在阻止 HTTP 或 HTTPS 请求时要发送的自定义消息。

  4. 当没有其他显式配置的操作(阻止列表、允许列表、自定义类别、预定义类别操作或站点信誉操作)匹配时,为配置文件指定默认操作(允许、记录和允许、阻止或隔离)。

  5. 为此配置文件配置回退设置(阻止或记录和允许)。

结果

在配置模式下,输入 show security utm feature-profile 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

如果完成设备配置,请从配置模式输入 commit

将 Web 过滤内容安全策略附加到安全策略

CLI 快速配置

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

分步过程

要配置内容安全策略,请执行以下操作:

  1. 创建引用配置文件的内容安全策略。将 Web 筛选配置文件应用于内容安全策略。

结果

在配置模式下,输入 show security utm 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。

如果完成设备配置,请从配置模式输入 commit

将本地 Web 过滤内容安全策略附加到安全策略

CLI 快速配置

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

分步过程

要将内容安全策略附加到安全策略,请执行以下操作:

  1. 创建并配置安全策略。

  2. 将内容安全策略应用于安全策略。

结果

在配置模式下,输入 show security policies 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

要确认配置工作正常,请执行以下任务:

验证内容安全 Web 过滤的统计信息

目的

验证连接的 Web 筛选统计信息,包括允许列表和阻止列表命中以及自定义类别命中。

行动

在操作模式下,输入 show security utm web-filtering statistics 命令。

示例输出
命令名称
版本历史记录表
释放
描述
17.4R1
从 Junos OS 17.4R1 版开始,本地 Web 过滤支持自定义类别配置。本地 Web 筛选和 Websense 重定向配置文件的类别也支持此选项 custom-message 。用户可以创建多个 URL 列表(自定义类别),并使用允许、允许和日志、阻止和隔离等操作将它们应用于内容安全 Web 筛选配置文件。要创建全局允许列表或阻止列表,请将本地 Web 过滤配置文件应用于内容安全策略并将其附加到全局规则。
17.4R1
从 Junos OS 17.4R1 版开始,为语句添加了 custom-objects一个新选项 custom-message,使您能够配置用户消息和重定向 URL,以便在阻止或隔离每个 EWF 类别的 URL 时通知用户。
15.1X49-D110
从 Junos OS 版本 15.1X49-D110 开始,通配符语法中的“ * ”(用于 URL 模式 Web 过滤配置文件)匹配所有子域。