内容安全支持的功能
内容安全功能的 WELF 日志记录
了解内容安全功能的 WELF 日志记录
内容安全功能支持 WELF 标准。WELF 参考定义了 WebTrends 行业标准日志文件交换格式。此格式的任何系统日志记录都与 Firewall Suite 2.0 及更高版本、Firewall Reporting Center 1.0 及更高版本以及 Security Reporting Center 2.0 及更高版本兼容。
WELF 日志文件由记录组成。每条记录都是文件中的一行。记录始终按时间顺序排列。最早的记录是文件中的第一条记录;最近的记录是文件中的最后一条记录。WELF 对日志文件名或日志文件轮换策略没有限制。
每个 WELF 记录都由字段组成。记录标识符字段 (id=) 必须是记录中的第一个字段。所有其他字段可以按任意顺序显示。
以下是示例 WELF 记录:
id=firewall time="2000-2-4 12:01:01" fw=192.168.0.238 pri=6 rule=3 proto=http
src=192.168.0.23 dst=6.1.0.36 rg=www.example.com/index.html op=GET result=0
rcvd=1426
示例 WELF 记录中的字段包括以下必需元素(所有其他字段均为可选):
id(记录标识符)time(日期/时间)fw(防火墙 IP 地址或名称)pri(记录的优先权)
示例:为内容安全功能配置 WELF 日志记录
此示例说明如何为内容安全功能配置 WELF 日志记录。
要求
开始之前,请查看用于创建 WELF 日志文件和记录的字段。请参阅 内容安全概述。
概述
WELF 日志文件由记录组成。每条记录都是文件中的一行。记录始终按时间顺序排列。最早的记录是文件中的第一条记录;最近的记录是文件中的最后一条记录。WELF 对日志文件名或日志文件轮换策略没有限制。在此示例中,严重性级别为紧急,安全日志流的名称为 utm-welf。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set security log source-address 1.2.3.4 stream utm-welf set security log source-address 1.2.3.4 stream utm-welf format welf set security log source-address 1.2.3.4 stream utm-welf format welf category content-security set security log source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency set security log source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency host 5.6.7.8
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要为内容安全功能配置 WELF 日志记录,请执行以下作:
设置安全日志源 IP 地址。
[edit security log] user@host# set source-address 1.2.3.4
注意:您必须将 WELF 日志记录消息保存到专用的 WebTrends 服务器。
命名安全日志流。
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf
设置日志消息的格式。
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf
设置发送的日志消息的类别。
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security
设置已发送日志消息的严重性级别。
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency
输入要将日志消息发送到的专用 WebTrends 服务器的主机地址。
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency host 5.6.7.8
结果
在配置模式下,输入 show security log 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security log
stream utm-welf {
severity emergency;
format welf;
category content—
security;
host {
5.6.7.8;
}
}
如果完成设备配置,请从配置模式输入 commit 。
内容安全的显式代理
内容安全支持对基于云的连接使用显式代理,以增强 Web 过滤 (EWF) 和 Sophos 防病毒软件 (SAV) 对内容安全。显式代理会隐藏源设备的身份,并与目标设备建立连接。
- 了解显式代理
- 在瞻博网络增强型服务器上配置显式代理
- 验证瞻博网络增强型服务器上的显式代理配置
- 使用显式代理配置预定义类别升级和基本过滤器配置
- 验证预定义的类别升级和基本过滤器配置
- 配置 Sophos Antivirus 模式更新
- 验证 Sophos Antivirus 模式更新
了解显式代理
显式代理隐藏源设备的身份,直接与 Websense Threatseeker Cloud (TSC) 服务器通信,并与目标设备建立连接。显式代理配置由端口地址和直接 IP 地址或主机名组成。
要使用显式代理,请创建一个或多个代理配置文件并参考这些配置文件:
在 EWF 中,显式代理通过引用层次结构中
security utm default-configuration web-filtering juniper-enhanced server创建proxy-profile的代理来配置。与 TSC 服务器建立连接。在 EWF 预定义类别升级和基本筛选器中,显式代理通过引用层次结构中
security utm custom-objects category-package proxy-profile创建proxy-profile的代理来配置。您可以下载并动态加载新的 EWF 类别,而无需任何软件升级。proxy-profile将安装类别文件并用于传输流量。SRX 系列防火墙向代理服务器发送 CONNECT 请求,SRX 系列防火墙和 TSC 服务器通过 HTTP 连接进行通信。然后,代理服务器应识别配置的 IP 地址、列入允许列表,并允许 SRX 系列防火墙通过代理将流量发送到云中的 TSC 服务器。代理过滤后,它将创建与真实 TSC 服务器的连接。
在 Sophos Antivirus (SAV) 中,显式代理通过引用层次结构中的
security utm default-configuration anti-virus sophos-engine pattern-update创建proxy-profile来配置。utmd 进程连接到代理主机,而不是云上的 SAV 模式更新服务器。
在 EWF 上,如果在 Content Security Web 过滤配置中配置了代理配置文件,则 TSC 服务器连接将与代理主机(而不是云上的内容安全服务器)建立连接。
在 SAV 上,如果配置了代理配置文件, 则 utmd 进程将连接到代理主机,而不是云上的 SAV 模式更新服务器。
如果配置了代理服务器身份验证, proxy-profile 则不支持代理服务器身份验证。
在瞻博网络增强型服务器上配置显式代理
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
创建包含主机和端口信息的代理配置文件,并在瞻博网络增强型服务器中引用该配置文件,以建立与内容安全云服务器的连接。
以下配置显示了如何在瞻博网络增强型服务器上配置显式代理。
Results
在配置模式下,输入和 show services 命令,show security以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security
default-configuration {
web-filtering {
type juniper-enhanced;
juniper-enhanced {
server {
proxy-profile proxy1;
}
}
}
}
[edit]
user@host# show services
proxy {
profile proxy1 {
protocol {
http {
host 192.0.2.1;
port 3128;
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证瞻博网络增强型服务器上的显式代理配置
使用显式代理配置预定义类别升级和基本过滤器配置
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
使用主机和端口信息创建代理配置文件,并在预定义的类别升级和基本筛选器中引用它以下载和动态加载新的 EWF 类别,而无需任何软件升级。
以下配置显示了如何在预定义的类别升级和基本筛选器上配置显式代理。
Results
在配置模式下,输入和 show services 命令,show security以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security
custom-objects {
category-package {
proxy-profile proxy1;
}
}
[edit]
user@host# show services
proxy {
profile proxy1 {
protocol {
http {
host 203.0.113.1;
port 3128;
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证预定义的类别升级和基本过滤器配置
目的
显示增强型 Web 过滤 (EWF) 预定义类别包下载、安装和更新状态。
行动
在作模式下,输入 show security utm web-filtering category status CLI 命令以查看 Web 过滤类别状态。
在执行 show security utm web-filtering category status CLI 命令之前,必须执行 request security utm web-filtering category download-install CLI 命令才能获得结果。
user@host> show security utm web-filtering category status
UTM category status:
Installed version: 1
Download version: 0
Update status: Done
意义
此命令提供有关已安装和下载的类别数量以及更新状态的信息。
配置 Sophos Antivirus 模式更新
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
使用主机和端口信息创建代理配置文件,并在 Sophos Antivirus (SAV) 模式更新中引用它。 utmd 进程连接到代理主机,而不是云上的 SAV 模式更新服务器。
以下配置显示如何在 SAV 模式更新时配置显式代理。
Results
在配置模式下,输入和 show services 命令,show security以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security
default-configuration {
anti-virus {
sophos-engine {
pattern-update {
proxy-profile proxy1;
}
}
}
}
[edit]
user@host# show services
proxy {
profile proxy1 {
protocol {
http {
host 203.0.113.1;
port 3128;
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证 Sophos Antivirus 模式更新
目的
显示 Sophos Antivirus (SAV) 更新模式状态。
行动
在作模式下,输入 show security utm anti-virus status CLI 命令以查看内容安全防病毒状态。
user@host> show security utm anti-virus status
UTM anti-virus status:
Anti-virus key expire date: 2018-08-02 00:00:00
Update server: https://host2.example.com/SAV/
Interval: 1000 minutes
Pattern update status: next update in 979 minutes
Pattern update via proxy server: 203.0.113.1:3128
Last result: already have latest database
Anti-virus signature version: 1.13 (1.02)
Scan engine type: sophos-engine
Scan engine information: last action result: No error
意义
此命令提供有关 Sophos 防病毒 (SAV) 模式更新服务器、更新状态、防病毒签名版本、防病毒引擎类型和防病毒引擎的信息。
内容安全统一策略
了解统一策略 [内容安全]
SRX 系列防火墙现在支持统一策略,从而可以在传统安全策略中精细控制和实施动态第 7 层应用。
统一策略是一种安全策略,您可以在其中使用动态应用程序作为匹配条件以及现有的 5 元组或 6 元组匹配条件(通过用户防火墙)来检测应用程序随时间的变化。通过使用统一策略,您可以为传输流量强制实施一组规则。它使用匹配标准,即源区域、目标区域、源地址、目标地址和应用程序名称。这会导致潜在的匹配策略。
统一策略配置可处理所有应用防火墙 (AppFW) 功能,并简化配置防火墙策略以允许或阻止来自网络的应用流量的任务。作为统一策略的一部分,SRX 系列防火墙中添加了新的动态应用策略匹配条件,以便管理员能够更有效地控制第 7 层应用的行为。
为了在内容安全中适应第 7 层基于应用程序的策略,引入了命令 [edit security utm default-configuration] 。如果未配置特定内容安全功能配置文件配置中的任何参数,则应用内容安全默认配置中的相应参数。
此外,在识别动态应用之前进行的初始策略查找阶段,如果潜在策略列表中存在多个策略且包含不同的内容安全配置文件,则 SRX 系列防火墙将应用默认内容安全配置文件,直到发生更明确的匹配。
了解默认内容安全策略
新的预定义默认内容安全策略可在出厂默认配置中使用,以提供默认内容安全配置。此预定义的全局内容安全策略继承了默认内容安全配置文件的配置。
如果定义了现有内容安全策略,则该策略将继续用于根据现有安全策略配置评估流量。
执行策略查找时,将先评估现有内容安全策略,然后再评估全局策略。在内容安全会话创建过程中,如果潜在策略列表中存在多个内容安全策略,则利用预定义的内容安全默认策略。
预定义的内容安全默认策略参数包含在层次结构级别下 [edit security utm default-configuration] 。这些参数可用于 Web 过滤、内容过滤、防病毒和反垃圾邮件配置文件。如果未配置内容安全功能配置文件(Web 过滤、内容过滤、防病毒和反垃圾邮件),则应用预定义的全局内容安全配置中的参数。
预定义的内容安全默认策略在 [edit groups junos-defaults security utm]中可用。您可以修改 Web 过滤、内容过滤、防病毒和反垃圾邮件的某些参数。您还可以修改 Web 过滤、内容过滤、防病毒和反垃圾邮件功能配置文件的 [edit security utm default-configuration]默认内容安全配置文件参数。
从 Junos OS 23.1R1 版开始,我们已为与统一策略中提及的 URL 类别匹配的流量启用了安全日志。在此版本之前,系统不会为与统一策略中提及的 URL 类别匹配的流量生成安全日志。
另见
机箱群集的内容安全支持
主动/主动机箱群集和主动/备份机箱群集配置支持内容安全。有关更多信息,请参阅以下主题:
了解主动/主动机箱群集的内容安全性支持
内容安全要求机箱群集设置中的每台设备都有许可证。有关如何购买软件许可证的信息,请通过 https://www.juniper.net/in/en/contact-us/ 与您瞻博网络销售代表联系,有关更多信息,请参阅 许可指南。
主动/主动机箱群集支持以下所有内容安全功能:
反垃圾邮件过滤
内容筛选
Sophos Antivirus 扫描
增强型 Web 筛选
本地 Web 过滤
Websense 重定向 Web 过滤
本机/Avira AV
内容安全支持从 Junos OS 19.4R1 版开始的主动/主动机箱群集配置。主动/主动群集是接口可以同时在两个群集节点上处于活动状态的群集。当存在多个数据平面冗余组(即冗余组 1 及更高级别)时,或者在群集节点上使用本地(非 reth)接口时,都会出现这种情况。
增强型 Web 筛选 云连接不支持故障切换,旧连接停用后会自动创建新连接。
了解主动/备份机箱群集的内容安全性支持
内容安全要求机箱群集设置中的每台设备都有许可证。有关如何购买软件许可证的信息,请通过 https://www.juniper.net/in/en/contact-us/ 与您瞻博网络销售代表联系。
机箱群集中支持以下内容安全功能:
内容筛选
URL (Web) 过滤
反垃圾邮件过滤
基于文件的完整防病毒扫描
Sophos 防病毒扫描
主动/主动群集是一个群集,其中接口可以同时在两个群集节点上处于活动状态。当存在多个数据平面冗余组(即冗余组 1 及更高级别)时,或者在群集节点上使用本地(非 reth)接口时,都会出现这种情况。
如果配置了多个数据平面冗余组,则仅当单个节点中的所有冗余组都处于活动状态时,内容安全才有效。如果其中一个冗余组自动故障转移到另一个节点,则内容安全将不起作用。
另见
白名单
URL 允许列表定义为特定类别列出的所有 URL,以始终绕过扫描过程。允许列表包括您希望免于进行 SSL 代理处理的主机名。有关更多信息,请参阅以下主题:
了解 MIME 允许列表
网关设备使用 MIME(多用途 Internet 邮件扩展)类型来决定哪些流量可以绕过防病毒扫描。MIME 允许列表定义 MIME 类型列表,可以包含一个或多个 MIME 条目。
MIME 条目不区分大小写。空 MIME 是无效条目,不应出现在 MIME 列表中。如果 MIME 条目以 / 字符结尾,则会进行前缀匹配。否则,将发生完全匹配。
有两种类型的 MIME 列表用于配置 MIME 类型防病毒扫描绕过:
MIME 允许列表 - 这是可以绕过防病毒扫描的 MIME 类型的完整列表。
exception list - 例外列表是用于从 mime 允许列表列表中排除某些 MIME 类型的列表。此列表是在 MIME 允许列表中找到的 MIME 类型的子集。
例如,如果 mime 允许列表包含该条目,
video/并且异常列表包含该条目video/x-shockwave-flash,则通过使用这两个列表,可以绕过具有“video/”MIME 类型的对象,但不能绕过“video/x-shockwave-flash”MIME 类型。您应该注意,MIME 允许列表条目有如下限制:
MIME 列表中的最大 MIME 项数为 50。
每个 MIME 条目的最大长度限制为 40 个字节。
MIME 列表名称字符串的最大长度限制为 40 个字节。
示例:配置 MIME 允许列表以绕过防病毒扫描
此示例说明如何配置 MIME 允许列表以绕过防病毒扫描。
要求
开始之前,请确定用于配置 MIME 类型防病毒扫描绕过的 MIME 列表的类型。请参阅 了解 MIME 允许列表。
概述
在此示例中,您将创建名为 avmime2 和 ex-avmime2 的 MIME 列表,并向其添加模式。
配置
程序
分步过程
要配置 MIME 允许列表以绕过防病毒扫描,请执行以下作:
创建 MIME 列表并向列表添加模式。
[edit] user@host# set security utm custom-objects mime-pattern avmime2 value [video/quicktime image/x-portable-anymap x-world/x-vrml] user@host# set security utm custom-objects mime-pattern ex-avmime2 value [video/quicktime-inappropriate]
如果完成设备配置,请提交配置。
[edit] user@host# commit
了解 URL 允许列表
URL 允许列表定义为特定类别列出的所有 URL,以始终绕过扫描过程。允许列表包括您希望免于进行 SSL 代理处理的主机名。还有法律要求豁免金融和银行网站;此类豁免是通过在 URL 允许列表下配置与这些主机名相对应的 URL 类别来实现的。如果有任何 URL 不需要扫描,则可以将相应的类别添加到此允许列表中。
从 Junos OS 15.1X49-D80 版和 Junos OS 17.3R1 版开始,允许列表功能得到扩展,可在 SSL 转发代理的允许列表配置中包括内容安全支持的 URL 类别。更多信息,请参阅 安全设备应用安全用户指南。
从 Junos OS 17.4R1 版开始,允许列表功能得到扩展,可以在 SSL 转发代理的允许列表配置中支持内容安全支持的自定义 URL 类别。
配置 URL 允许列表以绕过防病毒扫描(CLI 过程)
要配置 URL 允许列表,请使用以下 CLI 配置语句:
security utm custom-objects {
custom-url-category { ; set of list
name url-category-name; #mandatory
value url-pattern-name;
}
}
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。