Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

通过使用 J-Web 集成的内容安全 Web 过滤来允许或阻止网站

总结 了解 Web 过滤以及如何使用 J-Web 过滤支持内容安全的 SRX 系列防火墙上的 URL。Web 过滤可帮助您允许或阻止访问 Web 并监控网络流量。

内容安全 URL 过滤概述

如今,我们大多数人都花在网络上的时间。我们会浏览我们最喜欢的网站,访问通过电子邮件发送给我们的有趣链接,并为我们的办公网络使用各种基于 Web 的应用程序。网络使用量的增加对我们个人和专业都有帮助。但是,它还会将组织暴露在各种安全和业务风险中,例如潜在的数据丢失、缺乏合规性以及恶意软件、病毒等威胁。在风险增加的环境中,企业实施 Web 或 URL 过滤器来控制网络威胁是明智的。您可以使用 Web 或 URL 过滤器对互联网上的网站进行分类,并允许或阻止用户访问。

以下是办公室网络用户访问被阻止的网站的典型情况示例:

在 Web 浏览器上,用户键入 www.game.co.uk,一个流行的游戏网站。用户将收到一条消息,如 Access DeniedThe Website is blocked。显示此类消息意味着贵组织已为游戏网站插入过滤器,无法从工作场所访问该网站。

瞻博网络 Web (J-Web) 设备管理器支持 SRX 系列防火墙上的内容安全 Web 过滤。

注意:

从 Junos OS 22.2R1 开始:

  • 在 J-Web GUI 中,UTM 术语被内容安全取代。

  • 在 Junos CLI 命令中,我们继续使用传统术语 UTM 来实现内容安全。

在 J-Web 中,Web 过滤配置文件根据网站类别预定义的 Web 连接定义一组权限和操作。您还可以为 Web 过滤配置文件创建自定义 URL 类别和 URL 模式列表。

注意:

您无法使用 J-Web 内容安全 Web 过滤检查电子邮件中的 URL。

内容安全 Web 过滤的优势

  • 本地 Web 过滤:

    • 不需要许可证。

    • 允许您定义自己的允许站点(允许列表)或要实施策略的阻止站点(阻止列表)列表。

  • 增强型 Web 过滤:

    • 是最强大的集成过滤方法,包括一个精细的 URL 类别列表、对 Google 安全搜索的支持和声誉引擎。

    • 不需要其他服务器组件。

    • 提供每个 URL 的实时威胁分数。

    • 允许您将用户从被阻止的 URL 重定向到用户定义的 URL,而不仅仅是阻止用户访问被阻止的 URL。

  • 重定向 Web 过滤:

    • 在本地跟踪所有查询,因此无需互联网连接。

    • 使用独立 Websense 解决方案的日志记录和报告功能。

Web 过滤工作流程

范围

在本示例中,您将:

  1. 创建自定义 URL 模式列表和 URL 类别。

  2. 使用本地引擎类型创建 Web 过滤配置文件。在这里,您可以定义自己的 URL 类别,可以是在 SRX 系列防火墙上评估的允许站点(允许列表)或阻止站点(阻止列表)。为受阻止站点添加的所有 URL 均会被拒绝,而为允许的站点添加的所有 URL 均被允许。

  3. 阻止不适当的游戏网站,允许合适的网站(例如 ,www.juniper.net)。

  4. 定义在用户访问游戏网站时显示的自定义消息。

  5. 将 Web 过滤配置文件应用到内容安全策略。

  6. 将内容安全策略分配给安全策略规则。

注意:

Web 过滤和 URL 过滤的含义相同。我们将在整个示例中使用 Web 过滤 一词。

开始之前

  • 我们假设您的设备已设置基本配置。如果不是,请参阅 配置设置向导

  • 如果使用本地引擎类型,则不需要许可证即可配置 Web 过滤配置文件。这是因为您将负责定义自己的 URL 模式列表和 URL 类别。

  • 如果您想尝试用于 Web 过滤配置文件的瞻博网络增强型引擎类型,您需要一个有效的许可证 (wf_key_websense_ewf)。重定向 Web 过滤不需要许可证。

  • 确保您在本示例中使用的 SRX 系列防火墙运行 Junos OS 22.2R1 及更高版本。

    注意:

    从 Junos OS 22.2R1 开始:

    • 在 J-Web GUI 中,内容安全术语替换为内容安全。

    • 在 Junos CLI 命令中,我们继续使用传统术语“内容安全”来保障内容安全。

拓扑

在此拓扑中,我们将一台 PC 连接到了支持内容安全的 SRX 系列防火墙,该防火墙可以访问互联网。让我们使用 J-Web 过滤使用此简单设置发送到互联网的 HTTP/HTTPS 请求。

Topology

偷偷查看 – J-Web 内容安全 Web 过滤步骤

Sneak Peek – J-Web Content Security Web Filtering Steps

步骤 1:列出要允许或阻止的 URL

在这一步中,我们将定义自定义对象(URL 和模式),以处理要允许或阻止的 URL。

您在此处(在 J-Web UI 中): 安全服务>Content Security>Custom 对象

列出 URL:

  1. 单击 URL 模式列表选项卡。
  2. 单击 add 图标 (+) 以添加 URL 模式列表。

    将显示添加 URL 模式列表页面。请参阅 图 1

  3. 完成下表中的“操作”列中列出的任务:

    领域

    行动

    名字

    键入 allowed-sitesblocked-sites

    注意:

    使用以字母或下划线开头的字符串,该字符串由字母数字字符和特殊字符(如破折号和下划线)组成。最大长度为 29 个字符。

    价值

    1. 单击 + 以添加 URL 模式值。

    2. 键入以下内容:

      • 对于允许的站点,www.juniper.netwww.google.com

      • 对于被阻止的站点—www.gematsu.comwww.game.co.uk

    3. 单击滴答图标

    图 1:添加 URL 模式列表 Add URL Pattern List
  4. 单击 OK 保存更改。

    干得好!配置结果如下:

步骤 2:对要允许或阻止的 URL 进行分类

现在,我们将创建的 URL 模式分配给 URL 类别列表类别列表定义了与关联 URL 关联的操作。例如,应阻止 “赌博 ”类别。

您在这里: 安全服务>Content Security>Custom 对象

要对 URL 分类:

  1. 单击 URL 类别列表选项卡。
  2. 单击 add 图标 (+), 以添加 URL 类别列表。

    将显示添加 URL 类别列表页面。请参阅 图 2

  3. 完成下表中的“操作”列中列出的任务:

    领域

    行动

    名字

    键入 URL 类别列表名称,以 good-sites 用于允许的站点 URL 模式或 stop-sites 阻止的站点 URL 模式。

    注意:

    使用以字母或下划线开头的字符串,该字符串由字母数字字符和特殊字符(如破折号和下划线)组成。最大长度为 59 个字符。

    URL 模式

    1. 从“可用”列中选择 允许的站点阻止的站点 的 URL 模式值,以便将 URL 模式值分别与 URL 类别的好站点或停止站点相关联。

    2. 单击右箭头,将 URL 模式值移动到“选定”列。

    图 2:添加 URL 类别列表 Add URL Category List
  4. 单击 OK 保存更改。

    干得好!配置结果如下:

步骤 3:添加 Web 过滤配置文件

现在,让我们将创建的 URL 对象(模式和类别)链接到内容安全 Web 过滤配置文件。您可以通过此映射为过滤行为设置不同的值。

您在此处: 安全服务>内容安全性> Web 过滤配置文件

要创建 Web 过滤配置文件:

  1. 单击 add 图标 (+) 以添加 Web 过滤配置文件。

    将显示“创建 Web 过滤配置文件”页面。请参阅 图 3

  2. 完成下表中的“操作”列中列出的任务:

    领域

    行动

    一般

    名字

    Web 过滤配置文件的类型 wf-local

    注意:

    最大长度为 29 个字符。

    超时

    键入 30 (以秒为单位),以等待本地引擎的响应。

    最大值为 1800 秒。默认值为 15 秒。

    引擎类型

    选择用于 Web 过滤的 本地 引擎类型。单击 “下一步”。

    注意:

    默认值为 Juniper Enhanced。

    URL 类别

    +

    单击 add 图标以打开“选择 URL 类别”窗口。

    选择要应用于列表的 URL 类别

    选择 有效站点停止站点

    行动

    从列表中选择好站点类别的 日志和允许

    从列表中选择 阻止 ,用于停止站点类别。

    图 3:创建 Web 过滤配置文件 Create Web Filtering Profile
  3. 单击 完成。查看配置摘要,然后单击 OK 保存更改。

    干得好!配置结果如下:

  4. 在看到成功配置消息后单击“ 关闭 ”。

步骤 4:引用内容安全策略中的 Web 过滤配置文件

我们现在需要将 Web 过滤配置文件 (wf-local) 分配给可应用于安全策略的内容安全策略。

您的位置: 安全服务>内容安全>内容安全策略

要创建内容安全策略:

  1. 单击 add 图标 (+) 以添加内容安全策略。

    此时将显示创建内容安全策略页面。

  2. 完成下表中的“操作”列中列出的任务:

    领域

    行动

    常规 – 常规信息

    名字

    内容安全策略的类型 wf-custom-policy

    注意:

    最大长度为 29 个字符。

    单击 “下一步 ”,然后单击“ 下一步 ”以跳过防病毒配置。

    Web 过滤 - 按流量协议的 Web 过滤配置文件

    HTTP

    从列表中选择 wf-local ,然后单击 Next (直到工作流程结束)。

  3. 单击完成。查看配置摘要,然后单击 OK 保存更改。

    快到了!配置结果如下:

  4. 在看到成功消息后单击“关闭”。

    快要搞定了!现在,您创建一个默认 UTM Web 过滤策略,用于引用您的有效站点和停止站点列表。

    您的位置: 安全服务>内容安全性>默认配置> Web 过滤

  5. 单击编辑图标以修改默认的 Web 过滤策略。

    此时将显示 Web 过滤页面。

  6. 完成下表中的“操作”列中列出的任务:

    领域

    行动

    类型

    从列表中选择 Juniper Local,以配置本地内容安全过滤数据库的使用。

    URL 阻止列表

    从列表中选择 停止站点 ,以链接到不允许(阻止)的 URL 列表。

    URL 允许列表

    从列表中选择 好站点 ,以链接到允许的 URL 列表。

    瞻博网络本地>全球

    自定义阻止消息

    进入 已设置瞻博网络 Web 过滤以阻止此站点

    默认操作

    从列表中选择 “阻止 ”。

    跳过其他字段,然后单击 OK

  7. 单击 OK 保存更改。

    快到了!以下是内容安全默认 Web 过滤配置的结果。

    好消息!您已完成内容安全 Web 过滤配置。

步骤 5:为安全策略分配内容安全策略

您尚未将内容安全配置分配给从 TRUST 区域到互联网区域的安全策略。只有在将内容安全策略分配给用作匹配标准的安全策略规则之后,才会执行过滤操作。

注意:

如果安全策略规则被允许,SRX 系列防火墙:

  1. 拦截 HTTP/HTTPS 连接并提取每个 URL(HTTP/HTTPS 请求中)或 IP 地址。

    注意:

    对于 HTTPS 连接,通过 SSL 转发代理支持 Web 过滤。

  2. 在用户配置的阻止列表中或 Web 过滤(安全服务>Content Security>默认配置)下的允许列表中搜索 URL。如果 URL 位于:

    1. 用户配置的阻止列表,设备将阻止 URL。

    2. 用户配置的允许列表,设备允许 URL。

  3. 检查用户定义的类别和阻止,或者基于用户为类别指定的操作允许 URL。

  4. 基于在 Web 过滤配置文件中配置的默认操作,允许或阻止 URL(如果未配置类别)。

您在此处: 安全策略 & 对象>安全策略

要为内容安全策略创建安全策略规则:

  1. 单击 add 图标 (+)。
  2. 完成 表 1 中“操作”列中列出的任务。
    表 1:规则设置

    领域

    行动

    常规 – 常规信息

    规则名称

    键入 wf-local-policy 允许好站点类别和拒绝停止站点类别的安全策略。

    规则说明

    输入安全策略规则的描述。

    源区域

    1. 单击 +

      此时将显示“选择源”页面。

    2. 区域 — 从列表中选择 TRUST

    3. 地址 - 将此字段保留为默认值 Any

    4. 单击 OK

    目标区域

    1. 单击 +

      此时将显示“选择目标”页面。

    2. 区域 — 从列表中选择 互联网

    3. 地址 - 将此字段保留为默认值 Any

    4. 服务 - 将此字段保留为默认值 Any

    5. URL 类别 — 将此字段留空。

    6. 单击 OK

    行动

    默认情况下, 已选择“允许 ”。保留一如二。

    高级安全

    1. 单击 +

      此时将显示“选择高级安全”页面。

    2. 内容安全 — 从列表中选择 wf-自定义策略

    3. 单击 OK

    注意:

    导航至 安全策略和对象>区/筛选 以创建区域。创建区域不在本文档的范围之外。

  3. 单击滴答图标 ,然后单击 保存 以保存更改。
    注意:

    创建新规则时,如果内联滴答和取消图标不可用,请向后滚动水平栏。

    干得好!配置结果如下:

  4. 单击提交图标(位于顶部横幅右侧),并选择 “提交”。

    将显示成功提交消息。

    祝贺!我们已经准备好过滤 URL 请求了。

步骤 6:验证服务器是否允许或阻止 URL

让我们验证我们的配置和安全策略是否与拓扑中定义的 URL 一起工作:

  • 如果输入 www.gematsu.comwww.game.co.uk,则 SRX 系列防火墙应阻止 URL 并发送配置的被阻止站点消息。

    注意:

    大多数站点使用 HTTPS。被阻止的站点混乱仅适用于 HTTP 站点。对于 HTTPS,可能会收到安全连接失败的错误消息,例如 An error occurred during a connection to <blocked-siteurl> PR_CONNECT_RESET_ERROR

  • 如果输入 www.juniper.netwww.google.com,则 SRX 系列防火墙应允许显示主页的 URL。

下一步

该怎么做?

在哪里?

监控内容安全 Web 过滤信息和统计信息。

在 J-Web 中,转到 Monitor>Security Services>Content Security> Web 过滤

生成和查看允许和阻止的 URL 的报告。

在 J-Web 中,转至 报告。通过 Webfilter 日志为威胁评估报告和被阻止的应用程序生成报告。

详细了解内容安全功能。

内容安全用户指南

示例配置输出

在本节中,我们将展示允许和阻止此示例中定义的网站的配置示例。

您可以在层级配置以下内容安全配置 [edit security utm]

创建自定义对象:

创建 Web 过滤配置文件:

创建内容安全策略:

您可以在层次结构级别配置安全策略规则 [edit security policies]

创建安全策略规则: