Web 过滤的安全搜索增强
总结 了解我们的内容安全 Web 过滤解决方案的安全搜索增强功能,以在默认情况下实施最安全的 Web 浏览模式。
下一步
您已经了解了 Web 过滤的安全搜索增强功能,接下来,您需要了解如何禁用安全搜索功能。查看 瞻博网络本地、 Websense-重定向和 瞻博网络增强版 ,了解更多信息。
Web 过滤的安全搜索增强功能概述
Web 过滤安全搜索增强的优势
默认提供最安全的 Web 浏览模式。
保护基于 HTTPS 的搜索引擎缓存。对于在教育、金融、医疗保健、银行和公司领域拥有多个 Web 用户的组织而言,这种保护是一项关键安全功能要求。在园区或分支机构中,为所有用户启用默认安全搜索解决方案并阻止搜索引擎缓存,即可提供安全、舒适的 Web 浏览。
Web 过滤安全搜索增强功能
您可以通过阻止访问不适当的 Web 内容,使用内容安全 Web 过滤来管理 Web 浏览。为此,您可以使用以下 Web 过滤解决方案:
重定向 Web 过滤
本地 Web 过滤
增强型 Web 过滤 (EWF)
我们增强了这些内容安全 Web 过滤解决方案的安全搜索功能,为 Web 用户提供极其安全的搜索环境。 表 1 介绍了安全搜索增强功能。
安全搜索功能 |
描述 |
---|---|
默认安全搜索 |
通过启用安全搜索增强功能,即可在众所周知的搜索引擎上实施默认可用的最安全的 Web 浏览模式。这样做有助于未使用最严格的安全搜索设置的用户。 如果在安全设备上启用安全搜索功能,它将通过 URL 查询重写将搜索服务强制实施至最严格的模式,这对您是透明的。例如,当您对搜索引擎 Google、Bing、Yahoo 或 Yandex 执行搜索请求时,安全搜索功能会将请求的 URL 重写为最安全的搜索 URL。 以下是请求和转换的几个 URL 示例:
|
阻止搜索引擎缓存 |
如果您是在教育、金融、医疗保健、银行和企业细分领域拥有多个 Web 用户的组织的一部分,则通过阻止知名搜索引擎上的搜索引擎缓存,可以对其他用户隐藏您的 Web 浏览活动。 要阻止搜索引擎缓存,请为搜索引擎缓存服务配置常规 URL 块模式和类别。 |
您可以在 Web 过滤级别和配置文件级别配置中禁用安全搜索选项。请参阅 juniper-local、 websense-重定向和 juniper-enhanced。
Web 过滤安全搜索增强的限制
要实现 HTTP 安全搜索增强,必须在层级启用选项
[edit security utm default-configuration web-filtering]
,http-reassemble
从而启用流模式。如果未启用流模式,将无法使用安全搜索功能。因此,系统会向用户发送 HTTP 302 重定向消息。要实现 HTTPS 安全搜索增强,必须在安全策略上启用 SSL 代理服务。如果 SSL 代理绕过 HTTPS 流量,则安全搜索功能也会绕过 HTTPS 流量。
通过安全搜索配置 Web 过滤
总结 使用此示例配置内容安全 Web 过滤解决方案,并验证内容安全 Web 过滤的安全搜索增强功能。
要求
概述
在此示例中,您可以在安全设备上配置以下策略和 Web 过滤配置文件:
内容安全策略
安全策略
Web 过滤配置文件
SSL 代理
配置策略和配置文件后,生成 Web 过滤统计信息并验证安全搜索增强功能的性能。
图 1 显示了内容安全 Web 过滤的基本拓扑结构。使用安全搜索功能启用安全设备后,设备会将来自用户的搜索请求重写为搜索引擎最安全的搜索模式。云引擎或本地引擎在转发到互联网或外部 Web 服务器之前,对搜索请求执行 Web 过滤。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit]
CLI 中,然后从配置模式进入 commit
。
set security utm default-configuration web-filtering type juniper-enhanced set security utm default-configuration web-filtering http-reassemble set security utm default-configuration web-filtering juniper-enhanced default log-and-permit set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category Enhanced_Search_Engines_and_Portals action log-and-permit set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 default log-and-permit set security utm utm-policy utmpolicy1 web-filtering http-profile ewf_my_profile1 set security policies from-zone trust to-zone internet policy sec_policy match source-address any set security policies from-zone trust to-zone internet policy sec_policy match destination-address any set security policies from-zone trust to-zone internet policy sec_policy match application junos-ping set security policies from-zone trust to-zone internet policy sec_policy match application junos-http set security policies from-zone trust to-zone internet policy sec_policy then permit application-services utm-policy utmpolicy1 set security policies default-policy deny-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces xe-5/0/0.0 set security zones security-zone internet host-inbound-traffic system-services all set security zones security-zone internet host-inbound-traffic protocols all set security zones security-zone internet interfaces xe-5/0/2.0 set interfaces xe-5/0/0 unit 0 family inet address 192.0.2.254/24 set interfaces xe-5/0/2 unit 0 family inet address 203.0.113.254/24
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要配置内容安全 Web 过滤:
-
配置内容安全 Web 过滤解决方案。
[edit security utm] user@host# default-configuration web-filtering type juniper-enhanced user@host# default-configuration web-filtering http-reassemble user@host# default-configuration web-filtering juniper-enhanced default log-and-permit user@host# feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category Enhanced_Search_Engines_and_Portals action log-and-permit user@host# feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 default log-and-permit user@host# utm-policy utmpolicy1 web-filtering http-profile ewf_my_profile1
配置安全策略以控制从信任区域到互联网区域的 HTTP 或 HTTPS 流量。
[edit security policies] user@host# from-zone trust to-zone internet policy sec_policy match source-address any user@host# from-zone trust to-zone internet policy sec_policy match destination-address any user@host# from-zone trust to-zone internet policy sec_policy match application junos-ping user@host# from-zone trust to-zone internet policy sec_policy match application junos-http user@host# from-zone trust to-zone internet policy sec_policy then permit application-services utm-policy utmpolicy1 user@host# default-policy deny-all
配置安全区域。
[edit security zones security-zone] user@host# trust host-inbound-traffic system-services all user@host# trust host-inbound-traffic protocols all user@host# trust interfaces xe-5/0/0.0 user@host# internet host-inbound-traffic system-services all user@host# internet host-inbound-traffic protocols all user@host# internet interfaces xe-5/0/2.0
配置接口。
[edit interfaces] user@host# xe-5/0/0 unit 0 family inet address 192.0.2.254/24 user@host# xe-5/0/2 unit 0 family inet address 203.0.113.254/24
结果
在配置模式下,输入 、 show security utm
和show interfaces
命令,show security policies
以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
user@host# show security policies from-zone trust to-zone internet { policy sec_policy { match { source-address any; destination-address any; application [ junos-ping junos-http ]; } then { permit { application-services { utm-policy utmpolicy1; } } } } } default-policy { deny-all; }
user@host# show security utm default-configuration { web-filtering { http-reassemble; type juniper-enhanced; juniper-enhanced { default log-and-permit; } } } feature-profile { web-filtering { juniper-enhanced { profile ewf_my_profile1 { category { Enhanced_Search_Engines_and_Portals { action log-and-permit; } } default log-and-permit; } } } } utm-policy utmpolicy1 { web-filtering { http-profile ewf_my_profile1; } }
user@host# show interfaces xe-5/0/0 { unit 0 { family inet { address 192.0.2.254/24; } } } xe-5/0/2 { unit 0 { family inet { address 203.0.113.254/24; } } }
完成设备上功能配置后,请从配置模式进入 commit
。
验证
验证安全搜索功能
目的
验证是否已为内容安全 Web 过滤解决方案启用安全搜索功能。
行动
在操作模式下,输入 show security utm web-filtering statistics
命令以查看 Web 过滤统计信息。在输出中 Safe-search redirect
,和 Safe-search rewrite
字段显示增强的安全搜索重定向和重写统计信息。
user@host> show security utm web-filtering statistics UTM web-filtering statistics: Total requests: 0 white list hit: 0 Black list hit: 0 No license permit: 0 Queries to server: 0 Server reply permit: 0 Server reply block: 0 Server reply quarantine: 0 Server reply quarantine block: 0 Server reply quarantine permit: 0 Custom category permit: 0 Custom category block: 0 Custom category quarantine: 0 Custom category qurantine block: 0 Custom category quarantine permit: 0 Site reputation permit: 0 Site reputation block: 0 Site reputation quarantine: 0 Site reputation quarantine block: 0 Site reputation quarantine permit: 0 Site reputation by Category 0 Site reputation by Global 0 Cache hit permit: 0 Cache hit block: 0 Cache hit quarantine: 0 Cache hit quarantine block: 0 Cache hit quarantine permit: 0 Safe-search redirect: 0 +Safe-search rewrite: 0 SNI pre-check queries to server: 0 SNI pre-check server responses: 0 Web-filtering sessions in total: 64000 Web-filtering sessions in use: 0 Fallback: log-and-permit block Default 0 0 Timeout 0 0 Connectivity 0 0 Too-many-requests 0 0
意义
输出显示安全搜索功能已启用,没有安全搜索重定向和安全搜索重写。