增强型 Web 过滤
Web 过滤通过使用本地 Websense 服务器或基于 Internet 的 SurfControl 服务器提供 URL 过滤功能。有关详细信息,请参阅以下主题:
增强型 Web 筛选概述
使用 Websense 的增强型 Web 过滤 (EWF) 是一种集成的 URL 过滤解决方案。在设备上启用该解决方案时,它会拦截 HTTP 和 HTTPS 请求,并将 HTTP URL 或 HTTPS 源 IP 发送到 Websense ThreatSeeker Cloud (TSC)。TSC 将 URL 分类为一个或多个预定义的类别,并提供站点信誉信息。TSC 进一步将 URL 类别和站点信誉信息返回给设备。设备根据 TSC 提供的信息确定是否可以允许或阻止请求。
从 Junos OS 15.1X49-D40 版和 Junos OS 17.3R1 版开始,EWF 通过拦截通过 SRX 系列防火墙的 HTTPS 流量来支持 HTTPS 流量。来自设备的安全通道分为客户端和设备之间的一个 SSL 通道以及设备和 HTTPS 服务器之间的另一个 SSL 通道。SSL 转发代理充当两个通道的终端,并将明文流量转发到内容安全。内容安全从 HTTP 请求消息中提取 URL。
您可以将 EWF 解决方案视为基于现有 Surf-Control 解决方案构建的下一代 URL 过滤解决方案。
增强型 Web 筛选支持以下 HTTP 方法:
获取
发布
选项
头
放
删除
跟踪
连接
用于增强型 Web 筛选 (EWF) 的用户消息和重定向 URL
从 Junos OS 版本 15.1X49-D110 开始,为命令添加了custom-objects一个新选项 custom-message,使您能够配置用户消息和重定向 URL,以便在阻止或隔离每个 EWF 类别的 URL 时通知用户。该custom-message选项具有以下必需属性:
名称:自定义消息的名称;最大长度为 59 字节。
类型:自定义消息的类型:
user-message或redirect-url。内容:自定义消息的内容;最大长度为 1024 字节。
将用户消息或重定向 URL 配置为自定义对象,并将自定义对象分配给 EWF 类别。
用户消息指示组织的访问策略已阻止网站访问。要配置用户消息,请在层次结构级别包含
type user-message content message-text语句[edit security utm custom-objects custom-message message]。重定向 URL 将阻止或隔离的 URL 重定向到用户定义的 URL。要配置重定向 URL,请在层次结构级别包含
type redirect-url content redirect-url语句[edit security utm custom-objects custom-message message]。
该 custom-message 选项具有以下优点:
您可以为每个 EWF 类别配置单独的自定义消息或重定向 URL。
该
custom-message选项允许您微调邮件以支持您的策略,以了解哪个 URL 被阻止或隔离。每个类别仅应用一个
custom-message配置选项。该custom-message配置仅在增强型 Web 筛选 (EWF) 上受支持。因此,仅支持瞻博网络 EWF 引擎类型。
从 Junos OS 17.4R1 版开始,本地和 Websense 重定向配置文件支持自定义类别配置。
参见
了解增强的 Web 筛选过程
Web 过滤使您能够管理互联网访问,防止访问不适当的 Web 内容。增强型 Web 筛选 (EWF) 功能按以下方式拦截、扫描 HTTP 或 HTTPS 流量并对其执行操作:
该设备创建与 Websense ThreatSeeker Cloud (TSC) 的 TCP 套接字连接。
设备拦截 HTTP 或 HTTPS 连接,并提取 URL、主机名或 IP 地址以执行 Web 过滤。对于 HTTPS 连接,通过 SSL 转发代理支持 EWF。
从 Junos OS 12.3X48-D25 版和 Junos OS 17.3R1 版开始,通过 SSL 转发代理的增强型 Web 过滤 (EWF) 支持 HTTPS 流量。
设备会在用户配置的阻止列表或允许列表中查找 URL。
阻止列表或允许列表操作类型是用户定义的类别,其中始终阻止或允许并选择性地记录所有 URL 或 IP 地址。
如果 URL 在用户配置的阻止列表中,设备将阻止该 URL。
如果相应网址在用户配置的许可列表中,则设备会允许该网址。
设备检查用户定义的类别,并根据用户指定的类别操作阻止或允许 URL。
设备在本地缓存或云服务中查找 prefiend 类别。
如果 URL 在 URL 过滤缓存中不可用,设备将以 HTTP 格式将 URL 发送到 TSC,并请求进行分类。设备使用 TSC 可用的连接之一发送请求。
TSC 使用分类和信誉评分响应设备。
设备根据标识的类别执行以下操作:
如果允许该 URL,设备会将 HTTP 请求转发到 HTTP 服务器。
如果 URL 被阻止,设备将向 HTTP 客户端发送拒绝页面,并向 HTTP 服务器发送重置消息以关闭连接
如果 URL 被隔离,设备会向 HTTP 客户端发送包含 set-cookie 的隔离页面。如果客户端决定继续,设备将允许使用 cookie 进行新请求。
如果配置了类别并且类别操作可用,则设备将根据类别操作允许或阻止 URL。
如果未配置类别,设备将根据全局信誉操作允许或阻止 URL。
如果未配置全局信誉,设备将根据 Web 筛选配置文件中配置的默认操作允许或阻止 URL。
默认情况下,EWF 按阻止列表、允许列表、自定义类别和预定义类别的顺序处理 URL。
增强型 Web 筛选的功能要求
使用增强型 Web 筛选 (EWF) 需要以下各项:
License key— 您需要安装新的许可证才能升级到 EWF 解决方案。
您可以忽略警告消息“需要'wf_key_websense_ewf'许可证”,因为它是由例行 EWF 许可证验证检查生成的。
许可证密钥到期后,EWF 功能将提供 30 天的宽限期,与其他内容安全功能一致。
此功能需要许可证。有关许可证管理的一般信息,请参阅 许可指南 。有关详细信息,请参阅 SRX 系列防火墙 的产品介绍,或联系您的瞻博网络客户团队或瞻博网络合作伙伴。
当 EWF 功能的宽限期过后(或者如果尚未安装该功能),将禁用 Web 筛选,所有 HTTP 请求将绕过 Web 筛选,并且禁用与 TSC 的任何连接。安装有效许可证时,将再次建立与服务器的连接。
该
debug命令向设备上可用的每个 TCP 连接提供以下信息:已处理的请求数
待处理请求数
错误数(丢弃或超时的请求)
TCP connection between a Web client and a webserver—应用程序标识 (APPID) 模块用于标识 HTTP 连接。EWF 解决方案在设备收到第一个 SYN 数据包后识别 HTTP 连接。如果必须阻止 HTTP 请求,EWF 会将阻止消息从设备发送到 Web 客户端。EWF 进一步向客户端发送 TCP FIN 请求,并向服务器发送 TCP 重置 (RST) 以禁用连接。设备通过流会话发送所有消息。消息遵循整个服务链。
HTTP request interception- EWF 拦截设备上的第一个 HTTP 请求,并对 HTTP 1.0 和 HTTP 1.1 中定义的所有方法执行 URL 过滤。设备在等待 TSC 的响应时保留原始请求。如果 HTTP URL 中的第一个数据包已分段,或者设备由于某种原因无法提取 URL,则使用目标 IP 地址进行分类。如果打开
http-reassemble,EWF 可以从片段中恢复整个请求并获取 URL。对于 HTTP 1.1 持久连接,EWF 模块将忽略该会话上的后续请求。
如果设备长时间保留原始请求,则客户端将重新传输请求。URL 过滤代码将检测重新传输的数据包。如果原始 HTTP 请求已被转发,则 EWF 会将重新传输的数据包转发到服务器。但是,如果 EWF 正在处理第一个数据包或进行计算以阻止会话,则解决方案会丢弃重新传输的数据包。计数器跟踪设备接收的重新传输数据包的数量。
如果 TSC 未及时响应来自设备的分类请求,则会根据超时回退设置阻止或允许原始客户端请求。
HTTPS request interception— 从 Junos OS 15.1X49-D40 和 Junos OS 17.3R1 版开始,EWF 拦截通过 SRX 系列防火墙的 HTTPS 流量。来自设备的安全通道分为客户端和设备之间的一个 SSL 通道以及设备和 HTTPS 服务器之间的另一个 SSL 通道。SSL 转发代理充当两个通道的终端,并将明文流量转发到内容安全。内容安全从 HTTP 请求消息中提取 URL。
Blocking message- 发送到 Web 客户端的阻止消息可由用户配置,并且具有以下类型:
瞻博网络阻止消息是在设备中定义的可由用户修改的默认消息。默认阻止消息包含请求被阻止的原因和类别名称(如果由于类别而被阻止)。
系统日志消息。
例如,如果已将“Enhanced_Search_Engines_and_Portals 设置为阻止”操作,并尝试访问 www.example.com,则阻止消息的形式如下: Juniper Web Filtering:Juniper Web Filtering has been set to block this site. CATEGORY: Enhanced_Search_Engines_and_Portals REASON: BY_PRE_DEFINED 。但是,被测设备 (DUT) 上的相应系统日志消息为: WEBFILTER_URL_BLOCKED: WebFilter: ACTION="URL Blocked" 56.56.56.2(59418)->74.125.224.48(80) CATEGORY="Enhanced_Search_Engines_and_Portals" REASON="by predefined category" PROFILE="web-ewf" URL=www.example.com OBJ=/ 。
Monitoring the Websense server— URL 过滤模块使用两种方法来确定 TSC 是否处于活动状态:套接字连接和检测信号。EWF 维护到 TSC 的持久 TCP 套接字。如果启用了 TCP,服务器将使用 TCP 确认进行响应。EWF 将应用层 NOOP 保持连接发送到 TSC。如果设备在特定时间段内未收到对连续三次 NOOP 激活的响应,则会确定套接字处于非活动状态。EWF 模块尝试打开与 TSC 的新连接。如果所有套接字都处于非活动状态,则 TSC 被视为非活动状态。因此,将发生错误。将显示并记录错误。后续请求和挂起的请求将根据服务器连接回退设置被阻止或传递,直到再次打开与 TSC 的新连接。
HTTP protocol communication with the TSCEWF 使用 HTTP 1.1 协议与 TSC 通信。这可确保持久连接并通过同一连接传输多个 HTTP 请求。单个 HTTP 请求或响应用于客户端或服务器通信。TSC 可以处理排队的请求;为了获得最佳性能,使用了异步请求或响应机制。请求通过 TCP 发送,因此使用 TCP 重新传输来确保请求或响应传递。TCP 还可确保将有效的按顺序、未重新传输的 HTTP 流数据发送到设备上的 HTTP 客户端。
Responses- 响应遵循基本的 HTTP 约定。成功的响应包括 20 倍响应代码(通常为 200)。错误响应包括 4xx 或 5xx 代码。4xx 系列中的错误响应指示自定义代码中存在问题。5xx 系列中的错误响应指示服务存在问题。
错误代码和含义如下:
400 – 错误请求
403 禁止
404 – 未找到
408 – 请求已取消或响应为空
500 – 内部服务器错误
400 系列中的错误表示请求存在问题。500 系列中的错误表示 TSC 服务存在问题。Websense 会自动收到这些错误的通知并做出相应的响应。
您可以配置默认回退设置以确定是传递还是阻止请求:
set security utm feature-profile web-filtering juniper-enhanced profile juniper-enhanced fallback-settings default ?响应还包含站点分类和站点信誉信息。
Categories- 设备上提供类别列表。此列表由类别组成,每个类别都包含一个类别代码、一个名称和一个父 ID。类别也可以由用户定义。每个类别都包含一个 URL 或 IP 地址列表。类别不会动态更新,而是与 Junos OS 版本绑定,因为它们必须编译到 Junos OS 映像中。类别中的任何更新都需要与 Junos OS 发布周期同步。
从 Junos OS 17.4R1 版开始,您可以下载并动态加载新的 EWF 类别。下载和动态加载新的 EWF 类别不需要软件升级。Websense偶尔会发布新的EWF类别。EWF 根据主机、URL 或 IP 地址将网站分类,并根据类别执行过滤。
如果类别文件传输在主设备和辅助设备之间失败,则文件传输会导致升级错误,并生成错误日志。
在新类别文件安装期间,如果更改了类别文件名,则新类别文件将覆盖内部系统中的旧类别文件,并且所有相关的输出信息将替换为新类别名称。
从 Junos OS 17.4R1 版开始,各个 EWF 类别支持在类别文件中定义的预定义基本过滤器。每个 EWF 类别在基本筛选器中都有一个默认操作,该操作附加到用户配置文件以充当备份筛选器。如果未在用户配置文件中配置类别,则基本筛选器将执行操作。
基本筛选器是一个对象,其中包含类别文件中定义的所有类别的类别-操作对。基本筛选器是一个结构化对象,是在筛选器名称和类别操作对数组的帮助下定义的。
下面是具有类别操作对数组的基本筛选器的示例。对于Enhanced_Adult_Material类别,操作为阻止;对于Enhanced_Blog_Posting类别,操作是允许的;等等。
{ "predefined-filter": [ { "filter-name": "ewf-default-filter", "cat-action-table": [ {"name":"Enhanced_Adult_Material","action":"block"}, {"name":"Enhanced_Blog_Posting","action":"permit"}, {"name":"Enhanced_Blog_Commenting","action":"permit"} ] } ] }EWF 最多支持 16 个基本筛选器。Junos OS 17.4R1 版还支持在线升级基本过滤器。
如果用户配置文件与基本筛选器同名,则 Web 筛选器使用错误的配置文件。
Caching- 成功分类的响应将缓存在设备上。不缓存未分类的 URL。缓存的大小可以由用户配置。
Safe search (HTTP support only, not HTTPS)- 安全搜索解决方案用于确保嵌入对象(例如从搜索引擎接收的 URL 上的图像)是安全的,并且不会向客户端返回不需要的内容。
向 TSC 提供 URL 以提供分类信息。如果是搜索 URL,TSC 还会返回安全搜索字符串。例如,安全搜索字符串为 safe=active。此安全搜索字符串将追加到 URL,并打开重定向响应,以使用安全搜索重定向客户端的查询。这可确保不会向客户端返回不安全的内容。如果 TSC 指示需要安全搜索,则可以执行安全搜索重定向。
例如,客户端向 URL https://www.google.com/search?q=test 发出请求,这是 EWF 配置文件允许的。在数据包模式下,DUT 上的 EWF 将生成 HTTP 302 响应,重定向 URL: https://www.google.com/search?q=test&safe=active。此响应返回到客户端。客户端现在向此 URL 发送安全重定向请求。在流模式下,DUT 上的 EWF 重写 URL 以 https://www.google.com/search?q=test&safe=active 并转发它。
注意:安全搜索重定向仅支持 HTTP。您无法提取 HTTPS 的 URL。因此,无法为 HTTPS 搜索 URL 生成重定向响应。可以使用 CLI 选项
no-safe-search禁用安全搜索重定向。Site reputation— TSC 提供站点信誉信息。根据这些信誉,您可以选择阻止或允许操作。如果 URL 未由允许列表或阻止列表处理,并且不属于用户或预定义类别,则信誉可用于执行 URL 过滤决策。
从 Junos OS 17.4R1 版开始,信誉基础分数是可配置的。用户可以应用由 Websense ThreatSeeker Cloud (TSC) 提供的全球信誉值。对于非类别 URL,全局信誉值用于执行筛选,
声誉评分如下:
100-90–站点被认为非常安全。
80-89–站点被认为是中等安全的。
70-79–网站被认为相当安全。
60-69–网站被认为是可疑的。
0-59–网站被认为是有害的。
设备会根据站点信誉分数维护阻止或允许的 URL 的日志。
Profiles- URL 过滤配置文件定义为类别列表,每个配置文件都有一个与之关联的操作类型(允许、日志和许可、阻止、隔离)。如果用户选择不定义自己的配置文件,则会向用户提供预定义的配置文件 junos-wf-enhanced-default。
您还可以根据配置文件中的站点信誉定义操作,以便在传入 URL 不属于配置文件中定义的任何类别时指定操作。如果未配置站点信誉处理信息,则可以定义默认操作。所有在其配置文件中没有定义类别或已定义信誉操作的 URL 都将被阻止、允许、记录和允许或隔离,具体取决于配置文件中明确定义的默认操作的阻止或允许处理。如果未指定默认操作,则将允许使用 URL。对于搜索引擎请求,如果没有显式的用户定义配置,并且 URL 请求没有安全搜索选项,则 EWF 会生成重定向响应并将其发送到客户端。客户端将生成启用了安全搜索选项的新搜索请求。
URL 过滤配置文件可以包含以下项:
多个用户定义和预定义的类别,每个类别都有一个允许或阻止操作
多个站点信誉处理类别,每个类别都有允许或阻止操作
一个包含允许或阻止操作的默认操作
搜索顺序为阻止列表、允许列表、用户定义的类别、预定义类别、安全搜索、站点信誉和默认操作。
用于增强 Web 筛选的缓存预加载
从 Junos OS 23.2R1 版开始,缓存将加载评级最高、经常访问的 URL 列表以及系统启动阶段的分类信息。这对于互联网连接速度较慢的用户非常有用,由于远程分类服务,他们在访问 Web 时遇到高延迟。它确保即使发出第一个请求也没有延迟,因为 Web 筛选器策略决策基于缓存中预加载的 URL 类别信息。
默认情况下不启用缓存。确保已启用缓存以使用此功能。要为增强型 Web 过滤 (EWF) 启用缓存,需要以下配置,这些配置在 SRX 系列防火墙中可用。
-
security utm default-configuration web-filtering juniper-enhanced cache timeout -
security utm default-configuration web-filtering juniper-enhanced cache size
对增强型 Web 过滤的缓存预加载使用以下 CLI 配置语句选项:
security {
utm {
default-configuration {
web-filtering {
juniper-enhanced {
cache-preload {
feed-url <URL>;
automatic {
interval 1;
retry 1;
feed-type <server-names-feed>;
}
}
}
}
}
}
}
| 源网址 | 用于下载备用文件而不是默认的硬编码文件。这不是强制性的。如果未设置硬编码默认值,则使用硬编码默认值。 默认源网址: https://update.juniper-updates.net/EWF-CACHE-PRELOAD/ 根据源类型使用以下默认值之一: https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_feed.tgz https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_feed.tgz |
| 自动 | 用于自动设置下载和预加载缓存,无需用户交互。 |
| 自动间隔<以小时为单位> | 用于计划自动缓存预加载。如果指定了自动选项,则它是必需的。 |
| 自动重试<以小时为单位> | 用于计划在自动缓存预加载由于某种原因失败时重试。如果指定了自动选项,则它是必需的。 |
| 自动馈送类型 <abs-urls-feed 或 server-names-feed> | 用于指定供自动下载和预加载功能使用的源类型。如果指定了自动选项,则它是必需的。 |
您可以使用以下命令限制缓存中的最大条目数:
set security utm default-configuration web-filtering juniper-enhanced cache size ?
可能的完成:
<size> Juniper enhanced cache size (0..4096 kilobytes)
CLI 提供了增强型 Web 过滤缓存预加载功能的新操作命令。
您可以使用操作命令从远程服务器下载您选择的 URL 源。源 URL 选项可用于下载备用文件而不是默认的硬编码文件。即使使用“源 URL”选项,也需要服务器名称源选项和 abs-urls-feed 选项来指示您指定的包中可用的源类型。
-
request security utm web-filtering cache-preload download abs-urls-feed -
request security utm web-filtering cache-preload download server-names-feed -
request security utm web-filtering cache-preload download server-names-feed feed-url https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_fp_feed.tgz -
request security utm web-filtering cache-preload download abs-urls-feed feed-url https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_fp_feed.tgz
用户指定的包类型 server-names-feed 必须包含 server_names_feed.csv 和 server_names_feed.ver 文件。
用户指定的包abs-urls-feed must类型包含和abs_urls_feed.csvabs_urls_feed.ver文件。
以下是硬编码链接。程序根据源类型选择链接。
https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_feed.tgz
https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_feed.tgz
使用以下操作命令,使用系统中现有的 URL 源触发缓存预加载。如果已使用下载命令安装了包,则这些命令将加载缓存。使用服务器名称源选项预加载分类的服务器名称。使用 abs-urls-feed 预加载分类的网址 feed。
-
request security utm web-filtering cache-preload load-active-local server-names-feed -
request security utm web-filtering cache-preload load-active-local abs-urls-feed
使用以下命令从远程服务器下载、安装默认 URL 源,并加载缓存。使用服务器名称源选项下载分类的服务器名称。使用 abs-urls-feed 下载分类的 URL feed。
-
request security utm web-filtering cache-preload load-active server-names-feed -
request security utm web-filtering cache-preload load-active abs-urls-feed
要检查缓存预加载函数的状态,请使用以下命令:
user@host> show security utm web-filtering cache-preload status
用于增强型 Web 筛选 (EWF) 的用户消息和重定向 URL
从 Junos OS 版本 15.1X49-D110 开始,为语句添加了custom-objects一个新选项 custom-message,使您能够配置用户消息和重定向 URL,以便在阻止或隔离每个 EWF 类别的 URL 时通知用户。该custom-message选项具有以下必需属性:
名称:自定义消息的名称;最大长度为 59 个 ASCII 字符。
类型:自定义消息的类型:
user-message或redirect-url。内容:自定义消息的内容;最大长度为 1024 个 ASCII 字符。
将用户消息或重定向 URL 配置为自定义对象,并将自定义对象分配给 EWF 类别。
用户消息指示组织的访问策略已阻止网站访问。要配置用户消息,请在层次结构级别包含
type user-message content message-text语句[edit security utm custom-objects custom-message message]。重定向 URL 将阻止或隔离的 URL 重定向到用户定义的 URL。要配置重定向 URL,请在层次结构级别包含
type redirect-url content redirect-url语句[edit security utm custom-objects custom-message message]。
该 custom-message 选项具有以下优点:
您可以为每个 EWF 类别配置单独的自定义消息或重定向 URL。
该
custom-message选项允许您微调邮件以支持您的策略,以了解哪个 URL 被阻止或隔离。每个类别仅应用一个
custom-message配置选项。该custom-message配置仅在增强型 Web 筛选 (EWF) 上受支持。因此,仅支持瞻博网络 EWF 引擎类型。
从 Junos OS 17.4R1 版开始,本地和 Websense 重定向配置文件支持自定义类别配置。
智能 Web 过滤配置文件选择
从 Junos OS 23.2R1 版开始,JDPI 中的动态应用程序信息用于在完成最终策略匹配之前检索策略信息。在基于最终应用程序匹配的最终策略选择之后,Web 筛选器配置文件将再次更新。
基于动态应用信息检索的内容安全配置文件比应用默认配置文件(以前的方法)更准确。
基于应用的动态策略检测现在是默认行为。在 Web 筛选默认配置层次结构中添加了以下旋钮,以根据需要禁用动态应用配置文件检测功能。
set security utm default-configuration web-filtering disable-dynapp-profile-selection
要将其中一个内容安全策略设为默认策略,引入了以下命令:
set security utm default-policy <pol_name>
您可以使用此命令选择任何内容安全策略作为默认策略。如果在统一的多策略配置方案中配置了默认策略,则使用默认的内容安全 Web 筛选策略。如果未配置,则将 junos-default-utm-policy 用作默认策略。
默认策略更改仅适用于 Web 过滤,不适用于内容过滤、防病毒或反垃圾邮件。
以下 CLI 命令用于显示 dynapp 配置文件选择的配置:
show security utm web-filtering status
内容安全 Web 过滤状态:
Server status: Juniper Enhanced using Websense server UP
JDPI Parser : Enabled
Dynapp-profile-selection: Enabled
使用以下命令显示策略查找活动的调试计数器值:
show security utm l7-app-policy statistics
新计数器将添加到 Web 筛选统计信息中以进行调试。
| 与 dynapp 策略匹配的会话数 |
每当与uf_ng会话关联的策略根据新识别的应用 ID 进行更改时,都会增加。 |
| 与默认策略匹配的会话数 |
当为连接执行的内容安全策略操作基于用户配置的默认策略时增加。当用户配置的默认策略与新动态应用标识的策略相同时,或者当用户配置的默认策略具有有效的内容安全 Web 过滤配置文件且 no 策略与现有防火墙策略匹配时,此计数器会增加。 |
| 与最终策略匹配的会话数 |
在对内容安全策略执行操作且没有任何策略冲突的情况下增加。 |
使用 show services application-identification application-system-cache 命令检查 AppID 模块标识的动态应用程序。
参见
预定义类别升级和基本过滤器配置概述
您可以下载并动态加载新的增强型 Web 过滤 (EWF) 类别,而无需升级任何软件。单个 EWF 类别支持类别文件中定义的预定义基本筛选器。
要在不进行任何软件升级的情况下配置预定义的类别升级:
显示安全性 UTM 自定义对象
category-package{
automatic{
interval 60;
enable;
start-time "2017-09-05.08.08.08";
}
route-instance VRF;
url https://update.juniper-updates.net/EWF;
}
显示安全性 UTM 功能配置文件 Web 过滤 瞻博网络增强型
server {
host rp.cloud.threatseeker.com;
}
sockets 8;
profile ewf_p1 {
+ base-filter gov-filter;
default log-and-permit;
timeout 15;
}
+reputation {
reputation-very-safe 90;
reputation-moderately-safe 80;
reputation-fairly-safe 70;
reputation-suspicious 60;
}
参见
示例:配置增强型 Web 筛选
此示例说明如何配置增强型 Web 筛选 (EWF) 以管理网站访问。所有 SRX 系列防火墙都支持此功能。EWF 解决方案拦截 HTTP 和 HTTPS 请求,并将 HTTP URL 或 HTTPS 源 IP 发送到 Websense ThreatSeeker Cloud (TSC)。TSC 将 URL 分类为一个或多个预定义类别,并提供站点信誉信息。TSC 进一步将 URL 类别和站点信誉信息返回给设备。SRX 系列防火墙根据 TSC 提供的信息确定是允许还是阻止请求。
要求
此示例使用以下硬件和软件组件:
SRX5600设备
Junos OS 版本 12.1X46-D10 或更高版本
在开始之前,您应该熟悉 Web 筛选和增强型 Web 筛选 (EWF)。请参阅 Web 筛选概述 和 了解增强的 Web 筛选过程。
概述
Web 过滤用于监视和控制用户如何通过 HTTP 和 HTTPS 访问网站。在此示例中,您将配置要绕过的 URL 或地址的 URL 模式列表(允许列表)。创建 URL 模式列表后,定义自定义对象。定义自定义对象后,将它们应用于功能配置文件以定义每个配置文件上的活动,将功能配置文件应用于内容安全策略,最后将 Web 筛选内容安全策略附加到安全策略。 表 3 显示了有关此示例中使用的 EWF 配置类型、步骤和参数的信息。
配置类型 |
配置步骤 |
配置参数 |
|---|---|---|
URL pattern and custom objects |
配置要绕过的网址或地址的网址模式列表(允许列表)。 创建一个名为 urllist3 的自定义对象,其中包含模式 http://www.example.net 1.2.3.4 |
|
将 urllist3 自定义对象添加到自定义 URL 类别 custurl3。 |
|
|
Feature profiles |
配置 Web 过滤功能配置文件: |
|
|
|
|
|
|
|
|
|
|
|
|
配置
此示例说明如何配置自定义 URL 模式、自定义对象、功能配置文件和安全策略。
配置增强型 Web 过滤自定义对象和 URL 模式
CLI 快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set security utm custom-objects url-pattern urllist3 value http://www.example.net set security utm custom-objects url-pattern urllist3 value 1.2.3.4 set security utm custom-objects url-pattern urllistblack value http://www.untrusted.com set security utm custom-objects url-pattern urllistblack value 13.13.13.13 set security utm custom-objects url-pattern urllistwhite value http://www.trusted.com set security utm custom-objects url-pattern urllistwhite value 11.11.11.11 set security utm custom-objects custom-url-category custurl3 value urllist3 set security utm custom-objects custom-url-category custblacklist value urllistblack set security utm custom-objects custom-url-category custwhiltelist value urllistwhite
从 Junos OS 版本 15.1X49-D110 开始,为 Web 过滤配置文件创建 URL 模式所需的通配符语法中的“* ”匹配所有子域。例如,*.example.net 匹配:
http://a.example.net
http://example.net
a.b.example.net
当自定义类别与预定义类别之一同名时,它不会优先于预定义类别。不要对自定义类别使用与用于预定义类别相同的名称。
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要在增强型 Web 过滤中配置自定义对象和 URL 模式,请执行以下操作:
配置要绕过的网址或地址的网址模式列表(允许列表)。创建 URL 模式列表后,创建自定义 URL 类别列表并向其中添加模式列表。通过创建列表名称并向其添加值来配置 URL 模式列表自定义对象,如下所示:
注意:由于您使用 URL 模式列表创建自定义 URL 类别列表,因此必须先配置 URL 模式列表自定义对象,然后再配置自定义 URL 类别列表。
[edit security utm] user@host# set custom-objects url-pattern urllist3 value [http://www. example.net 1.2.3.4]
注意:使用 URL 模式通配符的准则如下:使用 \*\.[]\?* 并在所有通配符 URL 前面加上 http://。仅当“*”位于 URL 的开头且后跟“.”时,才能使用它。您只能在 URL 末尾使用“?”。
支持以下通配符语法:http://*。example.net,http://www.example.ne?,http://www.example.n??。不支持以下通配符语法:*.example.???, http://*example.net, http://?。
创建一个名为 urllist3 的自定义对象,其中包含模式 http://www.example.net,然后将 urllist3 自定义对象添加到自定义 URL 类别 custurl3。
[edit security utm] user@host# set custom-objects custom-url-category custurl3 value urllist3
创建不受信任和受信任站点的列表。
[edit security utm] user@host# set custom-objects url-pattern urllistblack value [http://www.untrusted.com 13.13.13.13] user@host# set custom-objects url-pattern urllistwhite value [http://www.trusted.com 11.11.11.11]
使用不受信任和受信任站点的 URL 模式列表配置自定义 URL 类别列表自定义对象。
[edit security utm] user@host# set custom-objects custom-url-category custblacklist value urllistblack user@host# set custom-objects custom-url-category custwhitelist value urllistwhite
结果
在配置模式下,输入 show security utm custom-objects 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明进行更正。
[edit]
user@host# show security utm custom-objects
url-pattern {
urllist3 {
value [ 1.2.3.4 http://www.example.net ];
}
urllistblack {
value [ 13.13.13.13 http://www.untrusted.com ];
}
urllistwhite {
value [ 11.11.11.11 http://www.trusted.com ];
}
}
custom-url-category {
custurl3 {
value urllist3;
}
custblacklist {
value urllistblack;
}
custwhiltelist {
value urllistwhite;
}
}
如果完成设备配置,请从配置模式输入 commit 。
配置增强型 Web 过滤功能配置文件
CLI 快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
从 Junos OS 版本 12.3X48-D25 开始,提供了新的 CLI 选项。 http-reassemble 和 http-persist 选项将添加到命令中 show security utm feature-profile web-filtering 。
set security utm default-configuration web-filtering juniper-enhanced set security utm default-configuration web-filtering juniper-enhanced cache size 500 set security utm default-configuration web-filtering juniper-enhanced cache timeout 1800 set security utm default-configuration web-filtering juniper-enhanced server host rp.cloud.threatseeker.com set security utm default-configuration web-filtering juniper-enhanced server port 80 set security utm default-configuration web-filtering http-reassemble set security utm default-configuration web-filtering http-persist set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile category Enhanced_Hacking action log-and-permit set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile category Enhanced_Government action quarantine set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile site-reputation-action very-safe permit set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile default block set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile fallback-settings server-connectivity block set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile fallback-settings timeout block set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile fallback-settings too-many-requests block set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile timeout 10 set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile no-safe-search set security utm utm-policy mypolicy web-filtering http-profile ewf_my_profile set security policies from-zone utm_clients to-zone mgmt policy 1 then permit application-services utm-policy mypolicy
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要配置 EWF 功能配置文件,请执行以下操作:
-
配置 EWF 引擎并设置缓存大小和缓存超时参数。
[edit security utm default-configuration web-filtering] user@host# set juniper-enhanced cache size 500 user@host# set juniper-enhanced cache timeout 1800
设置用于与服务器通信的服务器名称或 IP 地址以及端口号。系统中的默认主机值为 rp.cloud.threatseeker.com。
[edit security utm default-configuration web-filtering] user@host# set juniper-enhanced server host rp.cloud.threatseeker.com user@host# set juniper-enhanced server port 80
http-reassemble设置语句以重组所请求的数据包,将http-persist语句设置为检查同一会话中的每个 HTTP 请求数据包。如果未针对明文 HTTP 流量配置语句http-reassemble,则 EWF 不会重组分段的 HTTP 请求,以避免在基于数据包的检查中完成解析。如果未为明文 HTTP 流量配置语句http-persist,则 EWF 不会检查同一会话中的每个 HTTP 请求数据包。[edit security utm default-configuration web-filtering] user@host# set http-reassemble user@host# set http-persist
如果未找到类别匹配项,则根据为 URL 返回的站点信誉指定要执行的操作。
[edit security utm feature-profile web-filtering] user@host#set juniper-enhanced profile ewf_my_profile site-reputation-action very-safe permit
-
当没有其他显式配置的操作匹配时,为配置文件指定默认操作。
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf_my_profile default block
为此配置文件配置回退设置(阻止或日志和允许)。
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf_my_profile fallback-settings default block user@host# set juniper-enhanced profile ewf_my_profile fallback-settings server-connectivity block user@host# set juniper-enhanced profile ewf_my_profile fallback-settings timeout block user@host# set juniper-enhanced profile ewf_my_profile fallback-settings too-many-requests block
输入超时值(以秒为单位)。达到此限制时,将应用回退设置。此示例将超时值设置为 10。您也可以禁用安全搜索功能。默认情况下,搜索请求附加了安全搜索字符串,并发送重定向响应以确保所有搜索请求都是安全或严格的。
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf_my_profile timeout 10 user@host# set juniper-enhanced profile ewf_my_profile no-safe-search
注意:SRX210、SRX220、SRX240、SRX300、SRX320、SRX345、SRX380、SRX550、SRX1500、SRX4100 和 SRX4200 的超时值范围为 0 到 1800 秒,默认值为 15 秒。SRX3400 和 SRX3600 的超时值范围为 1 到 120 秒,默认值为 3 秒。
-
为 Web 过滤 HTTP 协议配置内容安全策略
mypolicy,与内容安全策略相关联ewf_my_profile,并将此策略附加到安全配置文件以实施它。[edit security utm] user@host# set utm-policy mypolicy web-filtering http-profile ewf_my_profile
-
将内容安全策略
mypolicy附加到安全策略1。[edit] user@host# set security policies from-zone utm_clients to-zone mgmt policy 1 then permit application-services utm-policy mypolicy
结果
在配置模式下,输入 show security utm feature-profile 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明进行更正。
[edit]
user@host# show security utm
default-configuration {
web-filtering {
http-reassemble;
http-persist;
juniper-enhanced {
cache {
timeout 1800;
size 500;
}
server {
host rp.cloud.threatseeker.com;
port 80;
}
}
}
}
feature-profile {
web-filtering {
http-reassemble;
http-persist;
juniper-enhanced {
profile ewf_my_profile {
category {
Enhanced_Hacking {
action log-and-permit;
}
Enhanced_Government {
action quarantine;
}
}
site-reputation-action {
very-safe permit;
}
default block;
fallback-settings {
server-connectivity block;
timeout block;
too-many-requests block;
}
timeout 10;
no-safe-search;
}
utm-policy mypolicy {
web-filtering {
http-profile ewf_my_profile;
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
将 Web 过滤内容安全策略附加到安全策略
CLI 快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set security policies from-zone trust to-zone untrust policy sec_policy match source-address any set security policies from-zone trust to-zone untrust policy sec_policy match destination-address any set security policies from-zone trust to-zone untrust policy sec_policy match application any set security policies from-zone trust to-zone untrust policy sec_policy then permit application-services utm-policy mypolicy
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要将内容安全策略附加到安全策略,请执行以下操作:
创建安全策略sec_policy。
[edit] user@host# set security policies from-zone trust to-zone untrust policy sec_policy
指定秒策略的匹配条件。
[edit security policies from-zone trust to-zone untrust policy sec_policy] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any
-
将内容安全策略 mypolicy 附加到安全策略sec_policy。
[edit security policies from-zone trust to-zone untrust policy sec_policy] user@host# set then permit application-services utm-policy mypolicy
结果
在配置模式下,输入 show security policies 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
sec_policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
utm-policy mypolicy;
}
}
}
}
}
default-policy {
permit-all;
}
完成设备配置后,从配置模式输入 commit 。
验证
要确认配置工作正常,请执行以下任务:
验证 Web 筛选服务器的状态
目的
验证 Web 筛选服务器状态。
行动
在操作模式下,从 show security utm web-filtering status 配置顶部输入命令。
user@host> show security utm web-filtering status
UTM web-filtering status:
Server status: Juniper Enhanced using Websense server UP
意义
命令输出显示 Web 筛选服务器连接已启动。
验证 Web 筛选统计信息是否已增加
目的
验证 Web 过滤统计信息的增加。初始计数器值为 0;如果存在 HTTP 请求 URL 命中,则 Web 过滤统计信息会增加。
行动
在操作模式下,从 show security utm web-filtering statistics 配置顶部输入命令。
user@host> show security utm web-filtering statistics
UTM web-filtering statistics:
Total requests: 0
white list hit: 0
Black list hit: 0
Queries to server: 0
Server reply permit: 0
Server reply block: 0
Server reply quarantine: 0
Server reply quarantine block: 0
Server reply quarantine permit: 0
Custom category permit: 0
Custom category block: 0
Custom category quarantine: 0
Custom category qurantine block: 0
Custom category quarantine permit: 0
Site reputation permit: 0
Site reputation block: 0
Site reputation quarantine: 0
Site reputation quarantine block: 0
Site reputation quarantine permit: 0
Site reputation by Category 0
Site reputation by Global 0
Cache hit permit: 0
Cache hit block: 0
Cache hit quarantine: 0
Cache hit quarantine block: 0
Cache hit quarantine permit: 0
Safe-search redirect: 0
SNI pre-check queries to server: 1
SNI pre-check server responses: 1
Web-filtering sessions in total: 128000
Web-filtering sessions in use: 0
Fallback: log-and-permit block
Default 0 0
Timeout 0 0
Connectivity 0 0
Too-many-requests 0 0
意义
输出显示连接的 Web 筛选统计信息,包括允许列表和阻止列表命中以及自定义类别命中。如果存在 HTTP 请求 URL 命中,则 Web 筛选统计信息会比之前的值增加。
验证 Web 过滤内容安全策略是否已附加到安全策略
目的
验证 Web 过滤内容安全策略 mypolicy 是否已附加到安全策略sec_policy。
行动
在操作模式下,输入 show security policy 命令。
user@host> show security policies global policy-name mypolicy detail
node0:
-
Global policies:
Policy: mypolicy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1
From zones: zone1, zone2
To zones: zone3, zone4
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Unified Threat Management: enabled
意义
输出显示设备上配置的所有安全策略的摘要。如果指定了特定策略,则会显示特定于该策略的信息。如果启用了内容安全性,则 mypolicy 将附加到sec_policy。
了解增强型 Web 筛选的隔离操作
内容安全增强型 Web 过滤支持 HTTP/HTTPS 请求的阻止、记录和允许以及允许操作。除此之外,内容安全增强型 Web 筛选现在还支持隔离操作,该操作根据用户对邮件的响应允许或拒绝对被阻止站点的访问。
以下顺序说明隔离操作如何拦截、重定向和处理 HTTP 或 HTTPs 请求:
HTTP 客户端请求 URL 访问。
设备拦截 HTTP 请求,并将提取的 URL 发送到 Websense Thread Seeker Cloud (TSC)。
TSC 将 URL 类别和站点信誉信息返回到设备。
如果为类别配置的操作是隔离,设备将记录隔离操作并向 HTTP 客户端发送重定向响应。
URL 将发送到 HTTP 服务器进行重定向。
设备会显示一条警告消息,指出根据组织的安全策略阻止对 URL 的访问,并提示用户做出响应。
如果用户响应为“否”,则会话终止。如果用户的回答为“是”,则允许用户访问站点,并将记录此类访问并报告给管理员。
隔离操作仅支持内容安全增强型 Web 过滤或瞻博网络增强型 Web 过滤。
Quarantine Message
发送到 HTTP 客户端的隔离消息是用户可配置的,并且具有以下类型:
默认消息
当用户尝试访问隔离的网站时,将显示默认隔离消息,其中包含以下信息:
网址名称
隔离原因
类别(如果可用)
站点信誉(如果可用)
例如,如果已将“Enhanced_Search_Engines_and_Portals”操作设置为隔离,并尝试访问 www.search.example.com,则隔离消息如下所示:
***The requested webpage is blocked by your organization's access policy***.
系统日志消息。
当用户访问已被隔离并标记为阻止或允许的网页时,系统将记录系统日志消息。
被测设备上的相应系统日志消息为:
Jan 25 15:10:40 rodian utmd[3871]: WEBFILTER_URL_BLOCKED: WebFilter: ACTION="URL Blocked" 99.99.99.4(60525)->74.125.224.114(80) CATEGORY="Enhanced_Search_Engines_and_Portals" REASON="by predefined category(quarantine)" PROFILE="ewf-test-profile" URL=www.search.example.com OBJ=/
从 Junos OS 12.1X47-D40 和 Junos OS 17.3R1 版开始,结构化日志字段已更改。内容安全 Web 筛选器日志WEBFILTER_URL_BLOCKED、WEBFILTER_URL_REDIRECTED和WEBFILTER_URL_PERMITTED中的结构化日志字段更改如下所示:
name -> categoryerror-message -> reasonprofile-name -> profileobject-name -> urlpathname -> obj
用于增强型 Web 筛选 (EWF) 的用户消息和重定向 URL
从 Junos OS 版本 15.1X49-D110 开始,为语句添加了custom-objects一个新选项 custom-message,使您能够配置用户消息和重定向 URL,以便在阻止或隔离每个 EWF 类别的 URL 时通知用户。该custom-message选项具有以下必需属性:
名称:自定义消息的名称;最大长度为 59 个 ASCII 字符。
类型:自定义消息的类型:
user-message或redirect-url。内容:自定义消息的内容;最大长度为 1024 个 ASCII 字符。
将用户消息或重定向 URL 配置为自定义对象,并将自定义对象分配给 EWF 类别。
用户消息指示组织的访问策略已阻止网站访问。要配置用户消息,请在层次结构级别包含
type user-message content message-text语句[edit security utm custom-objects custom-message message]。重定向 URL 将阻止或隔离的 URL 重定向到用户定义的 URL。要配置重定向 URL,请在层次结构级别包含
type redirect-url content redirect-url语句[edit security utm custom-objects custom-message message]。
该 custom-message 选项具有以下优点:
您可以为每个 EWF 类别配置单独的自定义消息或重定向 URL。
通过该
custom-message选项,您可以微调邮件以支持您的策略,以了解哪个 URL 被阻止或隔离。每个类别仅应用一个自定义消息配置选项。自定义消息配置仅在增强型 Web 筛选 (EWF) 上受支持。因此,仅支持瞻博网络 EWF 引擎类型。
从 Junos OS 17.4R1 版开始,本地和 Websense 重定向配置文件支持自定义类别配置。
参见
示例:为增强型 Web 过滤配置站点信誉操作
此示例说明如何为分类和未分类 URL 配置网站信誉操作。
要求
在开始之前,您应该熟悉 Web 筛选和增强型 Web 筛选。请参阅 Web 筛选概述 和 了解增强的 Web 筛选过程。
概述
在此示例中,您将使用站点信誉操作根据定义的类别配置 Web 筛选配置文件到 URL。将 URL 允许列表过滤类别 url-cat-white 设置为 ,将 Web 过滤引擎 juniper-enhanced的类型设置为 。然后,将 Web 过滤的缓存大小参数和缓存超时参数设置为 1。
然后,创建 juniper-enhanced 一个名为配置文件 ewf-test-profile的配置文件,将 URL 允许列表类别 cust-cat-quarantine设置为 ,并将信誉操作设置为隔离。
输入要在隔离 HTTP 请求时发送的自定义消息。在此示例中,发送以下消息: The requested webpage is blocked by your organization's access policy。
您可以屏蔽“Enhanced_News_and_Media”类别中的网址,并允许“Enhanced_Education”类别中的网址。然后隔离Enhanced_Streaming_Media类别中的 URL,并将设备配置为发送以下消息: The requested webpage is blocked by your organization's access policy。
在此示例中,您将默认操作设置为允许。为此配置文件选择回退设置(阻止或日志和允许),以防每个配置的类别中发生错误。最后,将回退设置设置为阻止。
配置
配置站点信誉操作
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set security utm feature-profile web-filtering juniper-enhanced cache size set security utm feature-profile web-filtering juniper-enhanced reputation reputation-very-safe 85 set security utm feature-profile web-filtering juniper-enhanced reputation reputation-moderately-safe 75 set security utm feature-profile web-filtering juniper-enhanced reputation reputation-fairly-safe 65 set security utm feature-profile web-filtering juniper-enhanced reputation reputation-suspicious 55 set security utm feature-profile web-filtering juniper-enhanced cache timeout 1 set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category cust-cat-quarantine action quarantine set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category Enhanced_News_and_Media action block set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category Enhanced_Education action permit set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category Enhanced_Education reputation-action harmful block set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category Enhanced_Streaming_Media action quarantine set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile default permit set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile default quarantine-message “*** The requested webpage is blocked by your organization’s access policy***”. set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile fallback-settings server-connectivity block set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile fallback-settings timeout block
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要配置站点信誉操作,请执行以下操作:
-
指定增强型 Web 筛选引擎,并设置缓存大小参数。
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced cache size
配置基本信誉分数。
[edit security utm feature-profile web-filtering] set juniper-enhanced reputation reputation-very-safe 85 set juniper-enhanced reputation reputation-moderately-safe 75 set juniper-enhanced reputation reputation-fairly-safe 65 set juniper-enhanced reputation reputation-suspicious 55
注意:必须订购基本信誉值。
设置缓存超时参数。
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced cache timeout 1
创建配置文件名称,然后从允许列表类别中选择一个类别。
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile category cust-cat-quarantine action quarantine
创建配置文件名称,然后从允许列表类别中选择一个类别。
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile category Enhanced_News_and_Media action block [edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile category Enhanced_Education action permit user@host# set juniper-enhanced profile ewf-test-profile category Enhanced_Education action harmful block [edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile category Enhanced_Streaming_Media action quarantine
输入隔离 HTTP 请求时要发送的警告消息。
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile quarantine-custom-message "***The requested webpage is blocked by your organization's access policy ***"
当没有其他显式配置的操作(阻止列表、允许列表、自定义类别、预定义类别或站点信誉)匹配时,为配置文件选择默认操作(允许、记录和允许、阻止或隔离)。
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile default permit
为此配置文件选择回退设置(阻止或日志和允许)。
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile fallback-settings server-connectivity block user@host# set juniper-enhanced profile ewf-test-profile fallback-settings timeout block
结果
在配置模式下,输入 show security utm 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明进行更正。
[edit]
user@host# show security utm
feature-profile{
web-filtering {
type juniper-enhanced;
traceoptions;
flag all;
}
juniper-enhanced {
reputation {
reputation-very-safe 85
reputation-moderately-safe 75
reputation-fairly-safe 65
reputation-suspicious 55
cache {
timeout 1
}
profile ewf-test-profile {
category {
cust-cat-quarantine {
action quarantine;
}
Enhanced_News_and_Media {
action block;
reputation-action;
}
Enhanced_Education {
action permit;
reputation-action;
{
harmful block;
}
}
Enhanced_Streaming_Media {
action quarantine;
}
}
default permit;
quarantine-custom-message "***The requested webpage is blocked by your organization's access policy***".
fallback-settings {
server-connectivity block;
timeout block;
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证
确认配置工作正常。
验证内容安全服务的状态
目的
验证内容安全服务状态。
行动
在操作模式下,输入 show security utm status 命令。
示例输出
命令名称
user@host>show security utm status UTM service status: Running
验证内容安全会话的状态
目的
验证内容安全会话状态。
行动
在操作模式下,输入 show security utm session 命令。
示例输出
命令名称
user@host>show security utm session UTM session info: Maximum sessions: 4000 Total allocated sessions: 0 Total freed sessions: 0 Active sessions: 0
验证内容安全 Web 过滤的状态
目的
验证内容安全 Web 过滤状态。
行动
在操作模式下,输入 show security utm web-filtering status 命令。
示例输出
命令名称
user@host>show security utm web-filtering status
UTM web-filtering status:
Server status: Juniper Enhanced using Websense server UP
验证内容安全 Web 过滤的统计信息
目的
验证连接的 Web 筛选统计信息,包括允许列表和阻止列表命中以及自定义类别命中。
行动
在操作模式下,输入 show security utm web-filtering statistics 命令。
示例输出
命令名称
user@host>show security utm web-filtering statistics
UTM web-filtering statistics:
Total requests: 2594
white list hit: 0
Black list hit: 0
Queries to server: 2407
Server reply permit: 1829
Server reply block: 0
Server reply quarantine: 517
Server reply quarantine block: 0
Server reply quarantine permit: 8
Custom category permit: 0
Custom category block: 0
Custom category quarantine: 0
Custom category qurantine block: 0
Custom category quarantine permit: 0
Site reputation permit: 0
Site reputation block: 0
Site reputation quarantine: 0
Site reputation quarantine block: 0
Site reputation quarantine permit: 0
Site reputation by Category 0
Site reputation by Global 0
Cache hit permit: 41
Cache hit block: 0
Cache hit quarantine: 144
Cache hit quarantine block: 0
Cache hit quarantine permit: 1
Safe-search redirect: 0
Web-filtering sessions in total: 16000
Web-filtering sessions in use: 0
Fallback: log-and-permit block
Default 0 0
Timeout 0 0
Connectivity 0 1
Too-many-requests 0 0
使用日志文件验证 URL 状态
目的
使用日志文件验证阻止和允许的 URL 状态。
行动
要查看阻止和允许的 URL,请使用流模式将内容安全日志发送到系统日志服务器。有关更多信息,请参阅: 配置异机二进制安全日志文件。
在操作模式下,输入 show log messages | match RT_UTM 命令。
示例输出
命令名称
user@host>show log messages | match RT_UTM RT_UTM: WEBFILTER_URL_BLOCKED: WebFilter: ACTION="URL Blocked" source-zone="trust" destination-zone="untrust" 4.0.0.3(59466)->5.0.0.3(80) SESSION_ID=268436912 APPLICATION="UNKNOWN" NESTED-APPLICATION="UNKNOWN" CATEGORY="URL_Blacklist" REASON="BY_BLACK_LIST" PROFILE="ewf" URL=www.example1.com OBJ=/ username N/A roles N/A application-sub-category N/A urlcategory-risk 0
内容安全的 TAP 模式支持概述
在 TAP 模式下,SRX 系列防火墙将连接到交换机的镜像端口,该端口提供遍历交换机的流量副本。TAP 模式下的 SRX 系列防火墙处理来自 TAP 接口的传入流量并生成安全日志,以显示有关检测到的威胁、应用程序使用情况和用户详细信息的信息。
从 Junos OS 19.1R1 版开始,您可以在内容安全模块上启用 TAP 模式。在内容安全模块上启用 TAP 模式时,SRX 系列防火墙将检查与已启用的内容安全服务匹配的一个或多个防火墙策略匹配的传入和传出流量。TAP 模式无法阻止流量,但会生成安全日志、报告和统计信息,以显示检测到的威胁数量、应用程序使用情况和用户详细信息。如果某些数据包在 TAP 接口中丢失,内容安全性将终止连接,并且 TAP 模式不会为此连接生成任何安全日志、报告和统计信息。内容安全配置与非 TAP 模式相同。
在 SRX 系列防火墙上配置的内容安全功能将继续工作并从服务器交换信息。要在 TAP 模式下配置 SRX 系列防火墙时使用内容安全功能,必须配置 DNS 服务器以解析云服务器的 IP 地址。
要使用 TAP 模式,SRX 系列防火墙将连接到交换机的镜像端口,该端口提供遍历交换机的流量副本。SRX 系列防火墙处理来自 TAP 接口的传入流量并生成安全日志信息,以显示有关检测到的威胁、应用程序使用情况和用户详细信息的信息。
在 TAP 模式下运行时,SRX 系列防火墙将执行以下操作:
镜像 HTTP 流量的增强型 Web 筛选 (EWF)。
Sophos 防病毒 (SAV),用于镜像 HTTP/FTP/SMTP/POP3/IMAP 流量。
镜像 SMTP 通信的反垃圾邮件 (AS)。
参见
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。
custom-objects一个新选项
custom-message,使您能够配置用户消息和重定向 URL,以便在阻止或隔离每个 EWF 类别的 URL 时通知用户。
custom-objects一个新选项
custom-message,使您能够配置用户消息和重定向 URL,以便在阻止或隔离每个 EWF 类别的 URL 时通知用户。
custom-objects一个新选项
custom-message,使您能够配置用户消息和重定向 URL,以便在阻止或隔离每个 EWF 类别的 URL 时通知用户。