Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

内容安全支持的功能

内容安全功能的 WELF 日志记录

了解内容安全功能的 WELF 日志记录

内容安全功能支持 WELF 标准。WELF 参考定义了 WebTrends 行业标准日志文件交换格式。以这种格式进行的任何系统日志记录都与 Firewall Suite 2.0 及更高版本、防火墙报告中心 1.0 及更高版本以及安全报告中心 2.0 及更高版本兼容。

WELF 日志文件由记录组成。每个记录都是文件中的一行。记录始终按时间顺序排列。最早的记录是文件中的第一条记录;最近记录是文件中的最后一条记录。WELF 对日志文件名或日志文件轮换策略没有限制。

注意:

每个 WELF 记录都由字段组成。记录标识符字段 (id=) 必须是记录中的第一个字段。所有其他字段都可以按任意顺序显示。

以下是 WELF 记录示例:

示例 WELF 记录中的字段包括以下必需元素(所有其他字段均为可选):

  • id (记录标识符)

  • time (日期/时间)

  • fw (防火墙 IP 地址或名称)

  • pri (记录的优先级)

示例:为内容安全功能配置 WELF 日志记录

此示例说明如何为内容安全功能配置 WELF 日志记录。

要求

开始之前,请查看用于创建 WELF 日志文件和记录的字段。请参阅 内容安全概述

概述

WELF 日志文件由记录组成。每个记录都是文件中的一行。记录始终按时间顺序排列。最早的记录是文件中的第一条记录;最近记录是文件中的最后一条记录。WELF 对日志文件名或日志文件轮换策略没有限制。在此示例中,严重级别为紧急,安全日志流的名称为 utm-welf

配置

程序
CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要为内容安全功能配置 WELF 日志记录:

  1. 设置安全日志源 IP 地址。

    注意:

    您必须将 WELF 日志记录消息保存到专用的 WebTrends 服务器。

  2. 命名安全日志流。

  3. 设置日志消息的格式。

  4. 设置发送的日志消息的类别。

  5. 设置发送的日志消息的严重性级别。

  6. 输入日志消息要发送到的专用 WebTrends 服务器的主机地址。

结果

在配置模式下,输入命令以确认 show security log 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证

验证安全日志
目的

验证内容安全功能的 WELF 日志是否完整。

行动

在操作模式下,输入 show security utm status 命令以验证内容安全服务是否正在运行。

内容安全的显式代理

内容安全支持使用显式代理实现基于云的连接,以实现增强型 Web 过滤 (EWF) 和内容安全的 Sophos 防病毒 (SAV)。显式代理会隐藏源设备的身份,并与目标设备建立连接。

了解显式代理

显式代理会隐藏源设备的身份,直接与 Websense Threatseeker 云 (TSC) 服务器通信,并与目标设备建立连接。显式代理配置由端口地址和直接 IP 地址或主机名组成。

要使用显式代理,请创建一个或多个代理配置文件并参考以下配置文件:

  • 在 EWF 中,通过引用在层次结构中创建proxy-profilesecurity utm default-configuration web-filtering juniper-enhanced server的代理来配置显式代理。与 TSC 服务器建立连接。

  • 在 EWF 预定义的类别升级和基本过滤器中,通过引用在层次结构中创建proxy-profilesecurity utm custom-objects category-package proxy-profile的代理来配置显式代理。您可以下载并动态加载新的 EWF 类别,无需任何软件升级。类别proxy-profile文件已安装并用于传输流量。

    SRX 系列防火墙向代理服务器发送 CONNECT 请求,SRX 系列防火墙和 TSC 服务器通过 HTTP 连接进行通信。然后,代理服务器需要识别配置的 IP 地址,列入允许名单,并允许 SRX 系列防火墙通过代理向云中的 TSC 服务器发送流量。代理过滤后,它将创建与实际 TSC 服务器的连接。

  • 在 Sophos 防病毒 (SAV) 中,显式代理是通过引用在层次结构中创建security utm default-configuration anti-virus sophos-engine pattern-updateproxy-profile代理来配置的。utmd 进程连接到代理主机,而不是连接到云端的 SAV 模式更新服务器。

在 EWF 上,如果在内容安全 Web 过滤配置中配置了代理配置文件,则与代理主机(而非云端的内容安全服务器)建立 TSC 服务器连接。

在 SAV 上,如果配置了代理配置文件, utmd 进程将连接到代理主机,而不是连接到云上的 SAV 模式更新服务器。

注意:

如果配置了代理服务器身份验证,则 proxy-profile 不支持。

在瞻博网络增强型服务器上配置显式代理

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

创建一个包含主机和端口信息的代理配置文件,并在瞻博网络增强型服务器中引用它,以建立与内容安全云服务器的连接。

以下配置说明如何在瞻博网络增强型服务器上配置显式代理。

  1. 为代理配置文件分配主机 IP 地址。
  2. 为代理配置文件分配端口地址。
  3. 将代理配置文件分配给 Web 过滤瞻博网络增强型服务器。

Results

在配置模式下,输入 and show services 命令以确认show security您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证瞻博网络增强型服务器上的显式代理配置

目的

显示瞻博网络增强型服务器上的显式服务器状态。

行动

在操作模式下,输入 show security utm web-filtering status 命令。

user@host> show security utm web-filtering statusUTM web-filtering status: Server status: Juniper Enhanced using Websense server UP

意义

此命令提供有关使用 Websense Threatseeker Cloud (TSC) 的增强型 Web 过滤 (EWF) 服务器状态的信息。

使用显式代理配置预定义的类别升级和基本过滤器配置

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

创建一个包含主机和端口信息的代理配置文件,并在预定义的类别升级和基本过滤器中引用该配置文件,以下载并动态加载新的 EWF 类别,无需任何软件升级。

以下配置说明如何在预定义的类别升级和基本过滤器上配置显式代理。

  1. 为代理配置文件分配主机 IP 地址。
  2. 为代理配置文件分配端口地址。
  3. 将代理配置文件分配给自定义对象中的类别包。

Results

在配置模式下,输入 and show services 命令以确认show security您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证预定义的类别升级和基本过滤器配置

目的

显示增强型 Web 过滤 (EWF) 预定义类别包的下载、安装和更新状态。

行动

在操作模式下,输入 show security utm web-filtering category status CLI 命令以查看 Web 过滤类别状态。

注意:

在执行 show security utm web-filtering category status CLI 命令之前,必须执行 request security utm web-filtering category download-install CLI 命令才能获得结果。

意义

此命令提供有关已安装和下载的类别数量以及更新状态的信息。

配置 Sophos 防病毒模式更新

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

创建一个包含主机和端口信息的代理配置文件,并在 Sophos 防病毒 (SAV) 模式更新中引用。 utmd 进程连接到代理主机,而不是连接到云端的 SAV 模式更新服务器。

以下配置说明如何在 SAV 模式更新时配置显式代理。

  1. 为代理配置文件分配主机 IP 地址。
  2. 为代理配置文件分配端口地址。
  3. 将代理配置文件分配给 Sophos 防病毒模式更新。

Results

在配置模式下,输入 and show services 命令以确认show security您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证 Sophos 防病毒模式更新

目的

显示 Sophos 防病毒 (SAV) 更新模式状态。

行动

在操作模式下,输入 show security utm anti-virus status CLI 命令,查看 Content Security 防病毒状态。

意义

此命令提供有关 Sophos 防病毒 (SAV) 模式更新服务器、更新状态、防病毒签名版本、防病毒引擎类型和防病毒引擎的信息。

统一内容安全策略

了解统一策略 [内容安全]

SRX 系列防火墙现在支持统一策略,从而允许在传统安全策略中对动态第 7 层应用程序进行细粒度控制和实施。

统一策略是一种安全策略,您可以在其中使用动态应用程序作为匹配条件,以及现有的 5 元或 6 元匹配条件(带有用户防火墙)来检测应用程序随时间推移的更改。使用统一策略使您能够为传输流量实施一组规则。它使用匹配标准,即源区域、目标区域、源地址、目标地址和应用程序名称。这会产生潜在的匹配策略。

统一策略配置可处理所有应用程序防火墙 (AppFW) 功能,并简化了配置防火墙策略以允许或阻止来自网络的应用程序流量的任务。作为统一策略的一部分,SRX 系列防火墙增加了一个新的动态应用程序策略匹配条件,使管理员能够更有效地控制第 7 层应用程序的行为。

为了在内容安全中适应第 7 层基于应用程序的策略,引入了命令 [edit security utm default-configuration] 。如果未配置特定内容安全功能配置文件配置中的任何参数,则应用内容安全默认配置中的相应参数。

此外,在动态应用程序识别之前进行的初始策略查找阶段,如果潜在策略列表中存在多个策略,其中包含不同的内容安全配置文件,则 SRX 系列防火墙将应用默认内容安全配置文件,直到发生更明确的匹配。

了解默认内容安全策略

出厂默认配置可提供新的预定义默认内容安全策略,以提供默认内容安全配置。此预定义的全局内容安全策略继承了默认内容安全配置文件中的配置。

如果定义了现有内容安全策略,则它将继续用于根据现有安全策略配置评估流量。

执行策略查找时,会先评估现有内容安全策略,再评估全局策略。如果在内容安全会话创建过程中,潜在策略列表中存在多个内容安全策略,则使用预定义的内容安全默认策略。

预定义的内容安全默认策略参数包含在层次结构级别下 [edit security utm default-configuration] 。这些参数可用于 Web 过滤、内容过滤、防病毒和反垃圾邮件配置文件。如果未配置内容安全功能配置文件(Web 过滤、内容过滤、防病毒和反垃圾邮件),将应用预定义全局内容安全配置中的参数。

预定义的内容安全默认策略在中 [edit groups junos-defaults security utm]可用。您可以修改 Web 过滤、内容过滤、防病毒和反垃圾邮件的某些参数。您还可以修改 [edit security utm default-configuration]Web 过滤、内容过滤、防病毒和反垃圾邮件功能配置文件的默认内容安全配置文件参数。

机箱群集的内容安全支持

主动/主动机箱群集和主动/备份机箱群集配置支持内容安全。有关更多信息,请参阅以下主题:

了解主动/主动机箱群集的内容安全支持

内容安全需要机箱群集设置中每个设备的许可证。有关如何购买软件许可证的信息,请通过 https://www.juniper.net/in/en/contact-us/ 联系您的瞻博网络销售代表。有关更多信息,请参阅 许可指南

主动/主动机箱群集支持以下所有内容安全功能:

  • 反垃圾邮件过滤

  • 内容过滤

  • Sophos 防病毒扫描

  • 增强型 Web 过滤

  • 本地 Web 过滤

  • Websense 重定向 Web 过滤

  • 本机/Avira 防病毒

内容安全支持 Junos OS 19.4R1 版起的主动/主动机箱群集配置。主动/主动群集是一个群集,其中接口可以同时在两个群集节点上处于活动状态。如果存在多个数据平面冗余组(冗余组 1 及更高版本),或者在群集节点上使用本地(非 reth)接口,则会出现这种情况。

增强型 Web 过滤云连接不支持故障切换,将在旧连接停用后自动创建新连接。

了解主动/备份机箱群集的内容安全支持

内容安全需要机箱群集设置中每个设备的许可证。有关如何购买软件许可证的信息,请通过 https://www.juniper.net/in/en/contact-us/ 联系您的瞻博网络销售代表。

机箱群集支持以下内容安全功能:

  • 内容过滤

  • URL (Web) 过滤

  • 反垃圾邮件过滤

  • 完全基于文件的防病毒扫描

  • Sophos 防病毒扫描

主动/主动群集是一种群集,其中接口可以同时在两个群集节点上处于活动状态。如果存在多个数据平面冗余组,即冗余组 1 及更高版本,或在群集节点上使用本地(非 reth)接口,则会出现这种情况。

如果配置了多个数据平面冗余组,则只有当所有冗余组在单个节点中处于活动状态时,内容安全才会起作用。如果其中一个冗余组自动故障转移到另一个节点,则内容安全将不起作用。

允许列表

URL 允许列表定义了为特定类别列出的所有 URL,以便始终绕过扫描过程。允许列表包括要免除 SSL 代理处理的主机名。有关更多信息,请参阅以下主题:

了解 MIME 允许列表

网关设备使用 MIME(多用途互联网邮件扩展)类型来确定哪些流量可以绕过防病毒扫描。MIME 允许列表定义 MIME 类型列表,可以包含一个或多个 MIME 条目。

MIME 条目不区分大小写。空 MIME 是无效条目,不应显示在 MIME 列表中。如果 MIME 条目以 / 字符结尾,将进行前缀匹配。否则,将发生完全匹配。

有两种类型的 MIME 列表用于配置 MIME 类型的防病毒扫描旁路:

  • mime-allowlist 列表 — 这是可以绕过防病毒扫描的 MIME 类型的综合列表。

  • 例外列表 — 例外列表是从 mime-allow 列表中排除某些 MIME 类型的列表。此列表是 MIME 允许列表中发现的 MIME 类型的子集。

    例如,如果 mime-allowlist 包含该条目,video/ 而例外列表包含该条目 video/x-shockwave-flash,则通过使用这两个列表,您可以绕过具有“video/”MIME 类型的对象,但不能绕过“video/x-shockwave-flash”MIME 类型。

    您应该注意,mime-allowlist 条目有如下限制:

    • MIME 列表中的最大 MIME 项目数为 50。

    • 每个 MIME 条目的最大长度限制为 40 个字节。

    • MIME 列表名称字符串的最大长度限制为 40 个字节。

示例:配置 MIME 允许列表以绕过防病毒扫描

此示例说明如何配置 MIME 允许列表以绕过防病毒扫描。

要求

开始之前,请确定用于配置 MIME 类型防病毒扫描旁路的 MIME 列表类型。请参阅 了解 MIME 允许列表

概述

在此示例中,您将创建称为 avmime2 和 ex-avmime2 的 MIME 列表,并为其添加模式。

配置

程序
逐步过程

要配置 MIME 允许列表以绕过防病毒扫描:

  1. 创建 MIME 列表,并为列表添加模式。

  2. 完成设备配置后,提交配置。

验证

验证 MIME 允许列表配置
目的

验证 MIME 允许列表配置是否工作正常。

行动

在操作模式下,输入 show security utm 命令。

了解 URL 允许列表

URL 允许列表定义了为特定类别列出的所有 URL,以便始终绕过扫描过程。允许列表包括要免除 SSL 代理处理的主机名。还有法律要求豁免金融和银行网站:可以通过在 URL 允许列表下配置与这些主机名对应的 URL 类别来实现此类豁免。如果任何 URL 不需要扫描,则可以将相应的类别添加到此允许列表。

从 Junos OS 15.1X49-D80 版和 Junos OS 17.3R1 版开始,允许列表功能扩展为在 SSL 转发代理的允许列表配置中包括内容安全支持的 URL 类别。有关更多信息,请参阅 安全设备的应用程序安全用户指南

从 Junos OS 17.4R1 版开始,允许列表功能得到扩展,支持在 SSL 转发代理的允许列表配置中由内容安全支持的自定义 URL 类别。

配置 URL 允许列表以绕过防病毒扫描(CLI 过程)

要配置 URL 允许列表,请使用以下 CLI 配置语句:

版本历史记录表
释放
描述
17.4R1
从 Junos OS 17.4R1 版开始,允许列表功能得到扩展,支持在 SSL 转发代理的允许列表配置中由内容安全支持的自定义 URL 类别。
15.1X49-D80
从 Junos OS 15.1X49-D80 版和 Junos OS 17.3R1 版开始,允许列表功能扩展为在 SSL 转发代理的允许列表配置中包括内容安全支持的 URL 类别。有关更多信息,请参阅 安全设备的应用程序安全用户指南