Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

URL-Filterung

Übersicht über die URL-Filterung

Sie können die URL-Filterung verwenden, um zu bestimmen, welche Webinhalte für Benutzer nicht zugänglich sind.

Zu den Komponenten dieser Funktion gehören die folgenden:

  • URL-Filter-Datenbankdatei

  • Konfiguration einer oder mehrerer Vorlagen (bis zu acht pro Profil)

  • URL-Filter-Plug-in (jservices-urlf)

  • URL-Filter-Daemon (URL-gefiltert)

Die URL-Filterdatenbankdatei wird in der Routing-Engine gespeichert und enthält alle unzulässigen URLs. Konfigurierte Vorlagen definieren, welcher Datenverkehr überwacht, welche Kriterien erfüllt und welche Maßnahmen ergriffen werden sollen. Sie konfigurieren die Vorlagen und den Speicherort der URL-Filter-Datenbankdatei in einem Profil.

Ab Junos OS Version 17.2R2 und 17.4R1 können Sie für Adaptive Services die Filterung von HTTP-Datenverkehr deaktivieren, der eine eingebettete IP-Adresse (z. B. http:/10.1.1.1) enthält, die zu einem nicht zulässigen Domänennamen in der URL-Filterdatenbank gehört. Ab Junos OS Version 19.3R2 wird dieselbe Funktionalität für Services der nächsten Generation auf MX240, MX480 und MX960 unterstützt.

Um die URL-Filterfunktion zu aktivieren, müssen Sie die auf package-name Hierarchieebene [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] konfigurierenjservices-urlf. Nach der Aktivierung behält jservices-urlf das URL-Filterprofil bei und empfängt den gesamten zu filternden Datenverkehr, die Filterkriterien und die Aktion, die für den gefilterten Datenverkehr ausgeführt werden soll.

Hinweis:

MX-SPC3 benötigt jservices-urlf nicht explizit als auf package-name [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] Hierarchieebene. Es wird standardmäßig unterstützt.

Der URL-Filter-Daemon (url-filterd), der sich auch auf der Routing-Engine befindet, löst den Domänennamen jeder URL in der URL-Filterdatenbank in eine Liste von IPv4- und IPv6-Adressen auf. Anschließend lädt es die Liste der IP-Adressen in den Dienst PIC herunter, auf dem jservices-urlf ausgeführt wird. Dann interagiert url-filterd mit dem Dynamic Firewall Process (dfwd), um Filter auf der Packet Forwarding Engine zu installieren und den ausgewählten Datenverkehr von der Packet Forwarding Engine an das Service-PIC zu übertragen.

Wenn neuer HTTP- und HTTPS-Datenverkehr den Router erreicht, wird eine Entscheidung auf der Grundlage der Informationen in der URL-Filterdatenbankdatei getroffen. Die Filterregeln werden geprüft und entweder der Router akzeptiert den Datenverkehr und leitet ihn weiter oder blockiert den Datenverkehr. Wenn der Datenverkehr blockiert wird, wird eine der folgenden konfigurierten Aktionen ausgeführt:

  • Eine HTTP-Umleitung wird an den Benutzer gesendet.

  • Eine benutzerdefinierte Seite wird an den Benutzer gesendet.

  • Ein HTTP-Statuscode wird an den Benutzer gesendet.

  • Es wird ein TCP-Reset gesendet.

Akzeptieren ist auch eine Option. In diesem Fall wird der Datenverkehr nicht blockiert.

Abbildung 1 veranschaulicht die URL-Filterung für HTTP-Sitzungen.

Abbildung 1: Paket-Flow-URL-Filterung für HTTP-Sitzungen Packet Flow-URL Filtering for HTTP Sessions

Abbildung 2 veranschaulicht die URL-Filterung für HTTPS-Sitzungen.

Abbildung 2: Paket-Flow-URL-Filterung für HTTPS-Sitzungen Packet Flow-URL Filtering for HTTPS Sessions

Weitere Informationen zur URL-Filterfunktion finden Sie in den folgenden Abschnitten:

URL-Filter-Datenbankdatei

Die URL-Filter-Datenbankdatei enthält Einträge von URLs und IP-Adressen. Erstellen Sie die URL-Filterdatenbankdatei im in Tabelle 1 angegebenen Format, und suchen Sie sie auf der Routing-Engine im Verzeichnis /var/db/url-filterd .

Tabelle 1: URL-Filter-Datenbankdateiformat

Eintritt

Beschreibung

Beispiel

FQDN

Vollständig qualifizierter Domainname.

www.badword.com/jjj/bad.jpg

URL

Vollständige Zeichenfolgen-URL ohne Layer-7-Protokoll.

www.srch.com/*Badword*/

www.srch.com

www.srch.com/xyz

www.srch.com/xyz*

IPv4-Adresse

HTTP-Anfrage für eine bestimmte IPv4-Adresse.

10.1.1.199

IPv6-Adresse

HTTP-Anfrage an eine bestimmte IPv6-Adresse.

1::1

Sie müssen eine benutzerdefinierte URL-Filterdatenbank im Profil angeben. Bei Bedarf können Sie auch eine benutzerdefinierte URL-Filter-Datenbankdatei mit einer beliebigen Vorlage zuweisen, und diese Datenbank hat Vorrang vor der auf Profilebene konfigurierten Datenbank.

Wenn Sie den Inhalt der URL-Filterdatenbankdatei ändern, verwenden Sie den request services (url-filter | web-filter) update Befehl. Weitere Befehle zur Verwaltung der URL-Filterdatenbankdatei sind die folgenden:

  • request services (url-filter | web-filter) delete

  • request services (url-filter | web-filter) force

  • request services (url-filter | web-filter) validate

URL-Filterprofil Vorbehalte

Das URL-Filterprofil besteht aus einer bis acht Vorlagen. Jede Vorlage besteht aus einer Reihe konfigurierter logischer Schnittstellen, in denen der Datenverkehr für URL-Filterung und einen oder mehrere Begriffe überwacht wird.

Ein Begriff ist eine Reihe von Übereinstimmungskriterien mit Aktionen, die ausgeführt werden sollen, wenn die Übereinstimmungskriterien erfüllt sind. Sie müssen mindestens einen Begriff konfigurieren, um die URL-Filterung zu konfigurieren. Jeder Begriff besteht aus einer from Anweisung und einer then Anweisung, wobei die from Anweisung die Quell-IP-Präfixe und Zielports definiert, die überwacht werden. Die then Anweisung gibt die zu ergreifende Aktion an. Wenn Sie die from Anweisung weglassen, werden alle Quell-IP-Präfixe und alle Zielports als übereinstimmend betrachtet. Sie können aber nur eine from Anweisung pro Vorlage oder pro Profil weglassen.

Beispielkonfiguration mehrerer Begriffe ohne from-Anweisungen

Wenn Sie mehr als eine from Anweisung pro Vorlage weglassen, erhalten Sie beim Commit die folgende Fehlermeldung:

Siehe auch

Konfigurieren der URL-Filterung

Um die URL-Filterfunktion zu konfigurieren, müssen Sie zuerst auf package-name Hierarchieebene [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] konfigurierenjservices-urlf. Weitere Informationen zum Konfigurieren der extension-provider package package-name Konfigurationsanweisung finden Sie in der Anweisung package (Loading on PIC).

Hinweis:

MX-SPC3 benötigt jservices-urlf nicht explizit als auf package-name [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] Hierarchieebene. Es wird standardmäßig unterstützt.

Die URL-Filterung ist auf einem Service-PIC konfiguriert. Bei den Schnittstellen, mit denen Sie es zu tun haben, handelt es sich um Serviceschnittstellen (die das ms Präfix verwenden) oder aggregierte Multiservices-Schnittstellen (AMS) (die das ams Präfix verwenden). Weitere Informationen zu AMS-Schnittstellen finden Sie im Benutzerhandbuch für Adaptive Services-Schnittstellen für Routing-Geräte , beginnend mit Grundlegendes zu aggregierten Multiservices-Schnittstellen.

Ein URL-Filterprofil ist eine Sammlung von Vorlagen. Jede Vorlage besteht aus einer Reihe von Kriterien, die definieren, welche URLs nicht zulässig sind und wie der Empfänger benachrichtigt wird.

So konfigurieren Sie das URL-Profil:

  1. Weisen Sie dem URL-Profil einen Namen zu.

    Ab Junos OS Version 18.3R1 für adaptive Services. Konfigurieren Sie das Profil auf Hierarchieebene [edit services web-filter] . Konfigurieren Sie das Profil vor Junos OS Version 18.3R1 auf Hierarchieebene [edit services url-filter] . Ab Junos OS Version 19.3R2 ist dieselbe Funktionalität für Services der nächsten Generation auf MX240, MX480 und MX960 verfügbar.

  2. Geben Sie den Namen der zu verwendenden URL-Filterdatenbank an.
  3. Konfigurieren Sie eine oder mehrere Vorlagen für das Profil.

    So konfigurieren Sie die einzelnen Vorlagen:

    1. Benennen Sie die Vorlage.
      Hinweis:

      Konfigurieren Sie ab Junos OS Version 18.3R1 die Vorlage mit der url-filter-template Anweisung. Konfigurieren Sie vor Junos OS Version 18.3R1 die Vorlage mit der template Anweisung.
    2. Wechseln Sie zu dieser neuen Vorlagenhierarchieebene.
    3. Geben Sie den Namen der zu verwendenden URL-Filterdatenbank an.
    4. Geben Sie die Loopback-Schnittstelle an, für die die Quell-IP-Adresse zum Senden von DNS-Abfragen ausgewählt wird.
    5. Deaktivieren Sie die Filterung von HTTP-Datenverkehr, der eine eingebettete IP-Adresse (z. B. http:/10.1.1.1) enthält, die zu einem nicht zulässigen Domänennamen in der URL-Filterdatenbank gehört.
    6. Konfigurieren Sie das Zeitintervall für die DNS-Auflösung in Minuten.
    7. Konfigurieren Sie die Anzahl der Wiederholungen für eine DNS-Abfrage, falls die Abfrage fehlschlägt oder ein Timeout auftritt.
    8. Geben Sie die IP-Adressen (IPv4 oder IPv6) der DNS-Server an, an die die DNS-Abfragen gesendet werden.
    9. Geben Sie die clientseitigen logischen Schnittstellen an, auf denen die URL-Filterung konfiguriert ist.
    10. Geben Sie die serverorientierten logischen Schnittstellen an, auf denen die URL-Filterung konfiguriert ist.
    11. Geben Sie die Routing-Instanz an, auf der die URL-Filterung konfiguriert ist.
    12. Geben Sie die Routinginstanz an, auf der der DNS-Server erreichbar ist.
  4. Konfigurieren Sie die Begriffsinformationen.

    Begriffe werden in Filtern verwendet, um die Richtlinie zu segmentieren oder in kleine Übereinstimmungs- und Aktionspaare zu filtern.

    1. Nennen Sie den Begriff.
    2. Wechseln Sie zur neuen Termhierarchieebene.
    3. Geben Sie die Quell-IP-Adresspräfixe für Datenverkehr an, den Sie filtern möchten.
    4. Geben Sie die Zielports für den Datenverkehr an, den Sie filtern möchten.
    5. Konfigurieren Sie eine auszuführende Aktion.

      Die Aktion kann eine der folgenden sein:

      custom-page custom-page

      Senden Sie eine benutzerdefinierte Seitenzeichenfolge an den Benutzer.
      http-status-code http-status-code

      Senden Sie einen HTTP-Statuscode an den Benutzer.
      redirect-url redirect-url

      Senden Sie eine HTTP-Umleitung an den Benutzer.
      tcp-reset

      Senden Sie einen TCP-Reset an den Benutzer.
  5. Verknüpfen Sie das URL-Profil mit einem Next Hop-Service-Set.
    Hinweis:

    Für die URL-Filterung müssen Sie den Service-Satz als Next-Hop-Service-Satz konfigurieren.
    Hinweis:

    Die Serviceschnittstelle kann auch das ams Präfix haben. Wenn Sie Schnittstellen auf Hierarchieebene [edit services service-set service-set-name] für den URL-Filter verwendenams, müssen Sie die load-balancing-options hash-keys Anweisung auch auf Hierarchieebene [edit interfaces ams-interface-name unit number] konfigurieren.
    Hinweis:

    Konfigurieren Sie ab Junos OS Version 18.3R1 den Dienstsatz mit der web-filter-profile Anweisung. Konfigurieren Sie vor Junos OS Version 18.3R1 den Dienstsatz mit der url-filter-profile Anweisung.

Siehe auch

DNS-Anforderungsfilterung für nicht zugelassene Website-Domänen

Übersicht über die DNS-Anforderungsfilterung

Ab Junos OS Version 18.3R1 können Sie die DNS-Filterung konfigurieren, um DNS-Anforderungen für nicht zulässige Websitedomänen zu identifizieren. Ab Junos OS Version 19.3R2 können Sie die DNS-Filterung konfigurieren, wenn Sie Services der nächsten Generation mit der MX-SPC3-Servicekarte ausführen. Services der nächsten Generation werden auf den Routern MX240, MX480 und MX960 unterstützt. Für die DNS-Anforderungstypen A, AAAA, MX, CNAME, TXT, SRV und ANY konfigurieren Sie die Aktion, die für eine DNS-Anforderung für eine nicht zulässige Domäne ausgeführt werden soll. Sie können entweder:

  • Blockieren Sie den Zugriff auf die Website, indem Sie eine DNS-Antwort senden, die die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) eines DNS-Sinkhole-Servers enthält. Dadurch wird sichergestellt, dass der Datenverkehr des Clients, wenn er versucht, Datenverkehr an die nicht zulässige Domäne zu senden, stattdessen an den Sinkhole-Server weitergeleitet wird (siehe Abbildung 3).

  • Protokollieren Sie die Anforderung und erlauben Sie den Zugriff.

Ab Junos OS Version 21.1R1 können Sie auch die folgenden Aktionen für eine DNS-Anforderung für eine nicht zulässige Domäne konfigurieren:

  • Warnung
  • Akzeptieren
  • Tropfen
  • Drop-no-log

Bei anderen DNS-Anforderungstypen für eine nicht zulässige Domäne wird die Anforderung protokolliert und der Zugriff wird zugelassen.

Die Aktionen, die der Sinkhole-Server ausführt, werden nicht durch die DNS-Anforderungsfilterfunktion gesteuert. Sie sind für die Konfiguration der Sinkhole-Server-Aktionen verantwortlich. Beispielsweise könnte der Sinkhole-Server eine Nachricht an den Anforderer senden, dass die Domäne nicht erreichbar ist, und den Zugriff auf die nicht zulässige Domäne verhindern.

Abbildung 3: DNS-Anfrage für eine nicht zulässige Domäne DNS Request for Disallowed Domain

Vorteile

Die DNS-Filterung leitet DNS-Anfragen für nicht zulässige Website-Domänen an Sinkhole-Server weiter und verhindert, dass jemand, der das System betreibt, die Liste der unzulässigen Domänen sieht. Dies liegt daran, dass die unzulässigen Domainnamen in einem verschlüsselten Format vorliegen.

Unzulässige Domain-Filter-Datenbankdatei

Das DNS-Anforderungsfiltern erfordert eine Datenbank .txt Datei für nicht zulässige Domänenfilter, die jeden nicht zulässigen Domänennamen, die Aktion, die bei einer DNS-Anforderung für die nicht zulässige Domäne ausgeführt werden soll, und die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) eines DNS-Sinkhole-Servers identifiziert.

DNS-Filterprofil

Sie konfigurieren ein DNS-Filterprofil, um anzugeben, welche nicht zulässige Domänenfilter-Datenbankdatei verwendet werden soll. Sie können auch die Schnittstellen angeben, auf denen die DNS-Anforderungsfilterung ausgeführt wird, die Filterung auf Anforderungen für bestimmte DNS-Server beschränken und die Filterung auf Anforderungen von bestimmten Quell-IP-Adresspräfixen beschränken.

So konfigurieren Sie die DNS-Anforderungsfilterung

Gehen Sie wie folgt vor, um DNS-Anfragen nach nicht zulässigen Websitedomänen zu filtern:

Konfigurieren einer Domänenfilterdatenbank

Erstellen Sie eine oder mehrere Domain-Filter-Datenbankdateien, die einen Eintrag für jede unzulässige Domain enthalten. Jeder Eintrag gibt an, was mit einer DNS-Anfrage für eine nicht zulässige Website-Domain geschehen soll.

So konfigurieren Sie eine Domänenfilter-Datenbankdatei:

  1. Erstellen Sie den Namen für die Datei. Der Name der Datenbankdatei darf maximal 64 Zeichen lang sein und muss eine .txt Erweiterung haben.
  2. Fügen Sie einen Dateiheader mit einem Format wie 20170314_01:domain,sinkhole_ip,v6_sinkhole,sinkhole_fqdn,id,action hinzu.
  3. Fügen Sie der Datei für jede nicht zulässige Domäne einen Eintrag hinzu. Sie können maximal 10.000 Domäneneinträge einschließen. Jeder Eintrag in der Datenbankdatei enthält die folgenden Elemente:

    gehashter Domainname, IPv4-Sinkhole-Adresse, IPv6-Sinkhole-Adresse, Sinkhole-FQDN, ID, Aktion

    Dabei gilt:

    • hashed-domain-name ist ein Hashwert des unzulässigen Domänennamens (64 Hexadezimalzeichen). Die Hashmethode und der Hashschlüssel, die Sie zum Erzeugen des Hashdomänenwerts verwenden, werden benötigt, wenn Sie die DNS-Filterung mit der Junos OS CLI konfigurieren.

    • IPv4 sinkhole address ist die Adresse des DNS-Sinkhole-Servers für IPv4-DNS-Anfragen.

    • IPv6 sinkhole address ist die Adresse des DNS-Sinkhole-Servers für IPv6-DNS-Anfragen.

    • sinkhole FQDN ist der vollqualifizierte Domänenname des DNS-Sinkhole-Servers.

    • ID ist eine 32-Bit-Zahl, die den Eintrag eindeutig mit dem gehashten Domänennamen verknüpft.

    • action ist die Aktion, die auf eine DNS-Anforderung angewendet werden soll, die mit dem nicht zulässigen Domänennamen übereinstimmt. Wenn Sie eingeben :

      • replace, sendet der Router der MX-Serie dem Client eine DNS-Antwort mit der IP-Adresse oder dem FQDN des DNS-Sinkhole-Servers. Wenn Sie reporteingeben, wird die DNS-Anfrage protokolliert und dann an den DNS-Server gesendet.
      • reportwird die DNS-Anforderung protokolliert und dann an den DNS-Server gesendet.
      • alert, wird die DNS-Anforderung protokolliert und die Anforderung an den DNS-Server gesendet.
      • accept, wird die DNS-Anforderung protokolliert und die Anforderung an den DNS-Server gesendet.
      • drop, wird die DNS-Anfrage gelöscht und die Anfrage protokolliert. Die DNS-Anforderung wird nicht an den DNS-Server gesendet.
      • drop-no-log, wird die DNS-Anforderung verworfen, und es wird kein Syslog generiert. Die DNS-Anforderung wird nicht an den DNS-Server gesendet.
  4. Fügen Sie in der letzten Zeile der Datei den Dateihash ein, den Sie mit demselben Schlüssel und derselben Hashmethode berechnen, die Sie zum Erzeugen der gehashten Domänennamen verwendet haben.
  5. Speichern Sie die Datenbankdateien auf der Routing-Engine im Verzeichnis /var/db/url-filterd .
  6. Überprüfen Sie die Domänenfilter-Datenbankdatei.
  7. Wenn Sie Änderungen an der Datenbankdatei vornehmen, wenden Sie die Änderungen an.

So konfigurieren Sie ein DNS-Filterprofil

Ein DNS-Filterprofil enthält allgemeine Einstellungen zum Filtern von DNS-Anfragen für nicht zugelassene Websitedomänen und enthält bis zu 32 Vorlagen. Die Vorlageneinstellungen gelten für DNS-Anforderungen auf bestimmten logischen Uplink- und Downlink-Schnittstellen oder Routinginstanzen oder für DNS-Anforderungen von bestimmten Quell-IP-Adresspräfixen und überschreiben die entsprechenden Einstellungen auf DNS-Profilebene. Sie können bis zu acht DNS-Filterprofile konfigurieren.

So konfigurieren Sie ein DNS-Filterprofil:

  1. Konfigurieren Sie den Namen für ein DNS-Filterprofil:

    Die maximale Anzahl von Profilen beträgt 8.

  2. Konfigurieren Sie das Intervall für die Protokollierung von Statistiken pro Client für die DNS-Filterung. Der Bereich liegt zwischen 0 und 60 Minuten, der Standardwert ist 5 Minuten.
  3. Konfigurieren Sie allgemeine DNS-Filtereinstellungen für das Profil. Diese Werte werden verwendet, wenn eine DNS-Anforderung nicht mit einer bestimmten Vorlage übereinstimmt.
    1. Geben Sie den Namen der Domänenfilterdatenbank an, die beim Filtern von DNS-Anforderungen verwendet werden soll.
    2. (Optional) Um die DNS-Filterung auf DNS-Anforderungen zu beschränken, die für bestimmte DNS-Server bestimmt sind, geben Sie bis zu drei IP-Adressen (IPv4 oder IPv6) an.
    3. Geben Sie das Format für den Hash-Schlüssel an.
    4. Geben Sie den Hashschlüssel an, den Sie zum Erstellen des Hashdomänennamens in der Domänenfilterdatenbankdatei verwendet haben.
    5. Geben Sie die Hashmethode an, die zum Erstellen des gehashten Domänennamens in der Domänenfilter-Datenbankdatei verwendet wurde.

      Die einzige unterstützte Hash-Methode ist hmac-sha2-256.

    6. Konfigurieren Sie das Intervall für die Protokollierung von Statistiken für DNS-Anforderungen und für Sinkhole-Aktionen, die für jede Kunden-IP-Adresse ausgeführt werden. Der Bereich liegt zwischen 1 und 60 Minuten, der Standardwert ist 5 Minuten.
    7. Konfigurieren Sie die Gültigkeitsdauer beim Senden der DNS-Antwort, nachdem Sie die DNS-Sinkhole-Aktion ausgeführt haben. Der Bereich liegt zwischen 0 und 86.400 Sekunden, und der Standardwert ist 1800.
    8. Konfigurieren Sie die Ebene der Subdomains, die nach einer Übereinstimmung durchsucht werden. Der Bereich liegt zwischen 0 und 10. Der Wert 0 gibt an, dass Subdomänen nicht durchsucht werden.

      Wenn Sie z. B. den wildcarding-level Wert auf 4 festlegen und die Datenbankdatei einen Eintrag für example.com enthält, werden die folgenden Vergleiche für eine DNS-Anforderung durchgeführt, die mit der Domäne 198.51.100.0.example.com eintrifft:

      • 198.51.100.0.example.com: keine Übereinstimmung

      • 51.100.0.example.com: kein Match für eine Ebene tiefer

      • 100.0.example.com: kein Match für zwei Ebenen tiefer

      • 0.example.com: kein Match für drei Ebenen tiefer

      • example.com: Match für vier Stufen tiefer

  4. Konfigurieren Sie eine Vorlage. Sie können maximal 8 Vorlagen in einem Profil konfigurieren. Jede Vorlage identifiziert Filtereinstellungen für DNS-Anforderungen auf bestimmten logischen Uplink- und Downlink-Schnittstellen oder Routing-Instanzen oder für DNS-Anforderungen von bestimmten Quell-IP-Adresspräfixen.
    1. Konfigurieren Sie den Namen für die Vorlage.
    2. (Optional) Geben Sie die clientorientierten logischen Schnittstellen (Uplink) an, auf die die DNS-Filterung angewendet wird.
    3. (Optional) Geben Sie die serverorientierten logischen Schnittstellen (Downlink) an, auf die die DNS-Filterung angewendet wird.
    4. (Optional) Geben Sie die Routing-Instanz für die clientseitige logische Schnittstelle an, auf die die DNS-Filterung angewendet wird.
    5. (Optional) Geben Sie die Routing-Instanz für die serverseitige logische Schnittstelle an, auf die die DNS-Filterung angewendet wird.
      Hinweis:

      Wenn Sie die Client- und Serverschnittstellen oder die Client- und Serverroutinginstanzen konfigurieren, werden implizite Filter auf den Schnittstellen oder Routinginstanzen installiert, um DNS-Datenverkehr für die DNS-Filterung an die Service-PIC zu leiten. Wenn Sie weder die Client- und Serverschnittstellen noch die Routinginstanzen konfigurieren, müssen Sie eine Möglichkeit bereitstellen, DNS-Datenverkehr an die Service-PIC zu leiten (z. B. über Routen).
    6. Geben Sie den Namen der Domänenfilterdatenbank an, die beim Filtern von DNS-Anforderungen verwendet werden soll.
    7. (Optional) Um die DNS-Filterung auf DNS-Anforderungen zu beschränken, die für bestimmte DNS-Server bestimmt sind, geben Sie bis zu drei IP-Adressen (IPv4 oder IPv6) an.
    8. Geben Sie die Hashmethode an, die zum Erstellen des gehashten Domänennamens in der Domänenfilter-Datenbankdatei verwendet wurde.

      Die einzige unterstützte Hash-Methode ist hmac-sha2-256.

    9. Geben Sie den Hashschlüssel an, der zum Erstellen des Hashdomänennamens in der Datenbankdatei des Domänenfilters verwendet wurde.
    10. Konfigurieren Sie das Intervall für die Protokollierung von Statistiken für DNS-Anforderungen und für Sinkhole-Aktionen, die für jede Kunden-IP-Adresse ausgeführt werden. Der Bereich liegt zwischen 1 und 60 Minuten, der Standardwert ist 5 Minuten.
    11. Konfigurieren Sie die Gültigkeitsdauer beim Senden der DNS-Antwort, nachdem Sie die DNS-Sinkhole-Aktion ausgeführt haben. Der Bereich liegt zwischen 0 und 86.400 Sekunden, und der Standardwert ist 1800.
    12. Konfigurieren Sie die Ebene der Subdomains, die nach einer Übereinstimmung durchsucht werden. Der Bereich liegt zwischen 0 und 10. Der Wert 0 gibt an, dass Subdomänen nicht durchsucht werden.

      Wenn Sie beispielsweise den wildcarding-level Wert auf 4 festlegen und die Datenbankdatei einen Eintrag für example.com enthält, werden die folgenden Vergleiche für eine DNS-Anforderung durchgeführt, die mit der Domäne 198.51.100.0.example.com eingeht:

      • 198.51.100.0.example.com: keine Übereinstimmung

      • 51.100.0.example.com: kein Match für eine Ebene tiefer

      • 100.0.example.com: kein Match für zwei Ebenen tiefer

      • 0.example.com: kein Match für drei Ebenen tiefer

      • example.com: Match für vier Stufen tiefer

    13. (Optional) Geben Sie den Antwortfehlercode für SRV- und TXT-Abfragetypen an.

      (Optional) Geben Sie den Antwortfehlercode für SRV- und TXT-Abfragetypen an.

    14. Konfigurieren Sie einen Begriff für die Vorlage. Sie können maximal 64 Begriffe in einer Vorlage konfigurieren.
    15. (Optional) Geben Sie die Quell-IP-Adresspräfixe von DNS-Anforderungen an, die Sie filtern möchten. Sie können maximal 64 Präfixe in einem Term konfigurieren.
    16. Geben Sie an, dass die in der Domänenfilterdatenbank identifizierte Sinkhole-Aktion bei nicht zulässigen DNS-Anforderungen ausgeführt wird.

Konfigurieren eines Service-Sets für die DNS-Filterung

Ordnen Sie das DNS-Filterprofil einem Next-Hop-Servicesatz zu und aktivieren Sie die Protokollierung für die DNS-Filterung. Die Serviceschnittstelle kann eine ms- oder vms-Schnittstelle (Next Gen Services with MX-SPC3 services card) oder eine aggregierte Multiservices-Schnittstelle (AMS) sein.

Mandantenfähige Unterstützung für DNS-Filterung

Überblick

Ab Junos OS Version 21.1R1 können Sie benutzerdefinierte Domain-Feeds pro Kunde oder IP-Untergruppe konfigurieren. Sie können:

  • Konfigurieren Sie Domänennamen und -aktionen für mehrere Mandanten so, dass Domänenfeeds auf Mandantenbasis verwaltet werden können.
  • Konfigurieren Sie die hierarchische Domänenfeedverwaltung pro Profil, per DNS-Filtervorlage oder pro DNS-Filterterm.
  • Ausgenommen Domänen-Feeds auf IP-, Subnetz- oder CIDR-Ebene.

Um die mutiltenant-Unterstützung für die DNS-Filterung zu implementieren, ist das Erstellen der Domänenfilter-Datenbankdatei auf Vorlagen- oder Profilebene deaktiviert. Sie müssen keine Datei auf Vorlagen- oder Profilebene angeben. Ab Junos OS 21.1R1 ist standardmäßig eine globale Datei mit einem festen Namen, nsf_multi_tenant_dn_custom_file.txt (Nur-Text-Format ) oder dnsf_multi_tenant_dn_custom_file_hashed.txt (verschlüsselte Datei) verfügbar.

Jeder Eintrag in der Datenbankdatei enthält die folgenden Elemente:

hashed-domain-name, IPv4-Sinkhole-Adresse, IPv6-Sinkhole-Adresse, Sinkhole-FQDN, ID, Aktion, Feed-Name.

Der Dateihash wird berechnet und an die Liste der Domainnameneinträge in der Datei angehängt. Der Dateihash wird mit einem globalen Schlüssel und einer globalen Methode berechnet, die mit dem Dateihash überprüft werden, der mit dem in der [edit services web-filter] Hierarchie konfigurierten Hashschlüssel berechnet wird. Die Dateivalidierung ist nur dann erfolgreich, wenn der berechnete Dateihash mit dem in der Datei vorhandenen Dateihash übereinstimmt.

Jeder Eintrag in nsf_multi_tenant_dn_custom_file.txt Datei besteht aus einem zusätzlichen Feld namens feed-name. Dieser Feedname wird als Indikator verwendet, um eine Gruppe von Domänennamen zu gruppieren und sie einem Mandanten (Profil, Vorlage, Begriff oder IP-Adresse) zuzuordnen.

Wenn die DNS-Pakete von einer bestimmten SRC-IP-Adresse empfangen werden, wird der entsprechende Feed-Name abgerufen und es erfolgt eine Suche nach den Domainnamen, die dem mit dem Begriff verknüpften Feed-Namen zugeordnet sind. Wenn der Feedname nicht für diese IP-Adresse bereitgestellt wird, wird auf den auf Vorlagenebene konfigurierten Feednamen zurückgegriffen, und die Suche erfolgt anhand der Domänennamen, die dem Feednamen zugeordnet sind, der der Vorlage zugeordnet ist. Wenn der Feedname nicht in der Vorlage konfiguriert ist, erfolgt die Suche nach den Domainnamen, die dem mit dem Profil verknüpften Feednamen zugeordnet sind.

Konfigurieren der mandantenfähigen Unterstützung für DNS-Filterung

  1. Konfigurieren Sie den Webfilter.
  2. Unterstützung mehrerer Mandanten ermöglichen
  3. Konfigurieren Sie den globalen Dateihashschlüssel und die Hashmethode.
    Hinweis:

    Wenn multi-tenant-hashdiese Option konfiguriert ist, gibt sie an, dass die globale DNS-Feeddatei nur aus verschlüsselten Feeds besteht. Wenn multi-tenant-hash s nicht konfiguriert ist, zeigt dies an, dass die globale DNS-Feeddatei Feeds im Nur-Text-Format enthält.

  4. Konfigurieren Sie den Namen für ein DNS-Filterprofil, und ordnen Sie den Domänenfeed auf Profilebene zu. Der auf Profilebene konfigurierte Feednamenindikator wird auf alle Vorlagen und Begriffe unter dem Profil angewendet, für die der Feednamenindikator nicht konfiguriert ist.
  5. Konfigurieren Sie allgemeine DNS-Filtereinstellungen für das Profil. Diese Werte werden verwendet, wenn eine DNS-Anforderung nicht mit einer bestimmten Vorlage übereinstimmt.
    1. (Optional) Um die DNS-Filterung auf DNS-Anforderungen zu beschränken, die für bestimmte DNS-Server bestimmt sind, geben Sie bis zu drei IP-Adressen (IPv4 oder IPv6) an.
    2. Konfigurieren Sie das Intervall für die Protokollierung von Statistiken für DNS-Anforderungen und für Sinkhole-Aktionen, die für jede Kunden-IP-Adresse ausgeführt werden. Der Bereich liegt zwischen 1 und 60 Minuten, der Standardwert ist 5 Minuten.
    3. Konfigurieren Sie die TTL (Time to Live), um die DNS-Antwort zu senden, nachdem Sie die DNS-Sinkhole-Aktion ausgeführt haben. Der Bereich liegt zwischen 0 und 86.400 Sekunden, und der Standardwert ist 1800.
    4. Konfigurieren Sie die Ebene der Subdomains, die nach einer Übereinstimmung durchsucht werden. Der Bereich liegt zwischen 0 und 10. Der Wert 0 gibt an, dass Subdomänen nicht durchsucht werden.
    5. (Optional) Geben Sie den Antwortfehlercode für den TXT-Abfragetyp an.
  6. Konfigurieren Sie eine Vorlage. Sie können maximal 8 Vorlagen in einem Profil konfigurieren. Jede Vorlage identifiziert Filtereinstellungen für DNS-Anforderungen auf bestimmten logischen Uplink- und Downlink-Schnittstellen oder Routing-Instanzen oder für DNS-Anforderungen von bestimmten Quell-IP-Adresspräfixen.
    1. Konfigurieren Sie den Namen für die Vorlage.
    2. Konfigurieren Sie den Feednamen. Im mehrmandantenfähigen Format können Sie unter Profil oder Vorlage keinen Dateinamen mehr hinzufügen. Der unter dem Profil angegebene Feedname hat im Vergleich zu dem in der Vorlage konfigurierten eine geringere Priorität.
    3. (Optional) Geben Sie die clientorientierten logischen Schnittstellen (Uplink) an, auf die die DNS-Filterung angewendet wird.
    4. (Optional) Geben Sie die serverorientierten logischen Schnittstellen (Downlink) an, auf die die DNS-Filterung angewendet wird.
    5. (Optional) Geben Sie die Routing-Instanz für die clientseitige logische Schnittstelle an, auf die die DNS-Filterung angewendet wird.
    6. (Optional) Geben Sie die Routing-Instanz für die serverseitige logische Schnittstelle an, auf die die DNS-Filterung angewendet wird.
      Hinweis:

      Wenn Sie die Client- und Serverschnittstellen oder die Client- und Serverroutinginstanzen konfigurieren, werden implizite Filter auf den Schnittstellen oder Routinginstanzen installiert, um DNS-Datenverkehr für die DNS-Filterung an die Service-PIC zu leiten. Wenn Sie weder die Client- und Serverschnittstellen noch die Routinginstanzen konfigurieren, müssen Sie eine Möglichkeit bereitstellen, DNS-Datenverkehr an die Service-PIC zu leiten (z. B. über Routen).
    7. Konfigurieren Sie das Intervall für die Protokollierung von Statistiken für DNS-Anforderungen und für Sinkhole-Aktionen, die für jede Kunden-IP-Adresse ausgeführt werden. Der Bereich liegt zwischen 1 und 60 Minuten, der Standardwert ist 5 Minuten.
    8. Konfigurieren Sie die Gültigkeitsdauer beim Senden der DNS-Antwort, nachdem Sie die DNS-Sinkhole-Aktion ausgeführt haben. Der Bereich liegt zwischen 0 und 86.400 Sekunden, und der Standardwert ist 1800.
    9. Konfigurieren Sie die Ebene der Subdomains, die nach einer Übereinstimmung durchsucht werden. Der Bereich liegt zwischen 0 und 10. Der Wert 0 gibt an, dass Subdomänen nicht durchsucht werden.
    10. Konfigurieren Sie einen Begriff für die Vorlage. Sie können maximal 64 Begriffe in einer Vorlage konfigurieren.
    11. Konfigurieren Sie den Feednamen. Der für den Begriff konfigurierte Feedname hat eine höhere Priorität als der unter der Vorlage konfigurierte. Wenn die Sinkhole-Domäne jedoch mit der einzigen Domäne übereinstimmt, die im Feednamen unter Vorlage erwähnt wird, wird die für diesen Eintrag angegebene Aktion implementiert.
    12. (Optional) Geben Sie die Quell-IP-Adresspräfixe von DNS-Anforderungen an, die Sie filtern möchten. Sie können maximal 64 Präfixe in einem Term konfigurieren.
    13. Konfigurieren Sie, dass die in der Domänenfilterdatenbank identifizierte Sinkhole-Aktion für nicht zulässige DNS-Anforderungen ausgeführt wird.
  7. Ordnen Sie das DNS-Filterprofil einem Next-Hop-Servicesatz zu und aktivieren Sie die Protokollierung für die DNS-Filterung. Die Serviceschnittstelle kann eine Multiservices- (ms) oder eine virtuelle Multiservice-Schnittstelle (vms) (Next Gen Services mit MX-SPC3-Servicekarte) oder eine aggregierte Multiservices-Schnittstelle (AMS) sein.
  8. Wenn Sie Next Gen Services auf der MX-SPC3 Services Card ausführen, konfigurieren Sie die vms-Schnittstelle so, dass die FPC- und PIC-Informationen im Syslog abgerufen werden.

Beispiel: Konfigurieren der Unterstützung für mehrere Mandanten für DNS-Filterung

Konfiguration

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, und kopieren Sie dann die Befehle und fügen Sie sie dann in die CLI auf der Hierarchieebene [edit] ein.

Integration von Juniper ATP-Cloud und Webfilterung auf Routern der MX-Serie

Überblick

Juniper Advanced Threat Prevention (Juniper ATP Cloud) ist in Router der MX-Serie integriert, um alle Hosts in Ihrem Netzwerk vor sich entwickelnden Sicherheitsbedrohungen zu schützen, indem eine Cloud-basierte Bedrohungserkennungssoftware mit einem Firewall-System der nächsten Generation eingesetzt wird.

Dieses Thema bietet einen Überblick über Juniper ATP Cloud, Policy Enforcer, Sicherheit und Webfilterung und deren Vorteile bei Integration in Router der MX-Serie.

Weitere Informationen zur Plattform und zu Release-Informationen finden Sie unter Feature-Explorer .

Vorteile

  • Vereinfacht die Bereitstellung und verbessert die Anti-Bedrohungsfunktionen, wenn sie in die MX-Router integriert sind.

  • Bietet Schutz vor "Zero-Day"-Bedrohungen mithilfe einer Kombination von Tools, die eine robuste Abdeckung gegen ausgeklügelte, ausweichende Bedrohungen bieten.

  • Überprüft eingehenden und ausgehenden Datenverkehr mit Richtlinienerweiterungen, die es Benutzern ermöglichen, Malware zu stoppen, infizierte Systeme unter Quarantäne zu stellen, Datenexfiltration zu verhindern und laterale Bewegungen zu unterbrechen.

  • Unterstützt Hochverfügbarkeit für einen unterbrechungsfreien Service.

  • Bietet Skalierbarkeit zur Bewältigung steigender Lasten, die mehr Rechenressourcen, eine erhöhte Netzwerkbandbreite für den Empfang von mehr Kundenbeiträgen und einen großen Speicher für Malware erfordern.

  • Bietet eine gründliche Prüfung, umsetzbare Berichte und Inline-Malware-Blockierung.

  • Bietet die Möglichkeit, Mandanteninformationen mithilfe von VRF-Informationen in Protokollen bereitzustellen

Policy Enforcer und Juniper ATP Cloud verstehen

Juniper Networks Security Director umfasst eine Funktion namens Policy Enforcer (PE), die es ihm ermöglicht, aus Bedrohungssituationen zu lernen, die Richtlinienerstellung zu automatisieren und die Durchsetzung dynamisch auf Juniper-Geräten im Netzwerk bereitzustellen.

Abbildung 4 veranschaulicht den Datenverkehrsfluss zwischen dem PE, der Juniper ATP-Cloud und dem MX-Router, der als Firewall fungiert.

  • Policy Enforcer (PE) lernt aus Bedrohungssituationen, automatisiert die Richtlinienerstellung und stellt die Durchsetzung auf Juniper Geräten im Netzwerk bereit.

  • Juniper Advanced Threat Prevention (Juniper ATP Cloud) schützt alle Hosts in Ihrem Netzwerk durch den Einsatz von Cloud-basierter Software zur Erkennung von Bedrohungen mit einem Firewall-System der nächsten Generation.

  • Der MX-Router ruft die Bedrohungserkennungs-Feeds von Policy Enforcer (PE) ab und implementiert diese Richtlinien, um gefährdete Hosts unter Quarantäne zu stellen. Es besteht aus den folgenden wichtigen Komponenten:

    • Sicherheit Intelligence-Prozess

    • Web-Filter-Prozess

    • Firewall-Prozess

Abbildung 4: Systemarchitektur System Architecture

Um die Funktionalität der Systemarchitektur zu verstehen, betrachten Sie das folgende Beispiel: Wenn ein Benutzer eine Datei aus dem Internet herunterlädt und diese Datei eine MX-Firewall passiert, kann die Datei zur Malware-Prüfung an die Juniper ATP-Cloud-Cloud gesendet werden (abhängig von Ihren Konfigurationseinstellungen). Wenn die Datei als Malware eingestuft wird, identifiziert PE die IP-Adresse und die MAC-Adresse des Hosts, der die Datei heruntergeladen hat. Basierend auf einer benutzerdefinierten Richtlinie kann dieser Host in ein Quarantäne-VLAN versetzt oder für den Zugriff auf das Internet gesperrt werden.

Die Router der MX-Serie können in die Juniper ATP-Cloud integriert werden, um zu verhindern, dass kompromittierte Hosts (Botnets) mit Command-and-Control-Servern kommunizieren:

  • Ab Junos OS Version 18.4R1 mit den Adaptive Services als Inline-Sicherheitsfunktion

  • Ab Junos OS Version 19.3R2 mit den Services der nächsten Generation als Inline-Sicherheitsfunktion

Router der MX Sseries-Serie können C&C und Geo-IP auf eine der folgenden Methoden herunterladen:

  • Die indirekte Methode - Policy Enforcer fungiert wie ein Feed-Proxy für alle Geräte in einer definierten Umgebung. Diese Methode ist vorteilhaft, um zu vermeiden, dass einzelne Geräte über das Internet auf die ATP-Cloud-Services von Juniper zugreifen. Dadurch wird die Anfälligkeit der Geräte, die mit dem Internet verbunden sind, verringert.

  • Router der MX-Serie mit direkter Methode registrieren sich direkt bei der Juniper ATP-Cloud, um die C&C- und Geo-IP-Feeds herunterzuladen.

Sicherheit Intelligenz (SecIntel) – Übersicht

Der Sicherheit-Intelligence-Prozess (IPFD) ist für das Herunterladen der Security Intelligence-Feeds und das Parsen vom Feed-Connector oder ATP-Cloud-Cloud-Feed-Server verantwortlich. Der IPFD-Prozess auf den MX-Plattformen ruft die IPv4/IPv6-Feeds aus dem Policy Enforcer ab. C&C-Feeds sind im Wesentlichen eine Liste von Servern, die als Command-and-Control-Server für Botnets bekannt sind. Die Liste enthält auch Server, die bekannte Quellen für Malware-Downloads sind. Die so abgerufenen Informationen werden in einer Datei (urlf_si_cc_db.txt) gespeichert, die im Verzeichnis /var/db/url-filterd erstellt wurde.

Das Dateiformat der nicht zulässigen IPs, die von IPFD an den Webfilterprozess gesendet werden, lautet wie folgt:

IPv4 address | IPv6 address, threat-level.

Das threat-level ist eine ganze Zahl im Bereich von 1 bis 10, um die Bedrohungsstufe von Dateien anzugeben, die auf Malware und infizierte Hosts gescannt wurden. Hier steht 1 für die niedrigste Bedrohungsstufe und 10 für die höchste Bedrohungsstufe.

Zum Beispiel: 178.10.19.20, 4

Hier gibt 178.10.19.20 die nicht zulässige IP an und 4 die threat-level.

Die C&C-Feeddatenbank wird mit der Backup-Routing-Engine synchronisiert. IPFD gibt die Informationen dann an den Webfilterprozess weiter (URL-gefiltert). Die Webfilterung liest den Dateiinhalt und konfiguriert die Filter entsprechend.

Konfigurieren von Sicherheit Intelligence zum Herunterladen des CC-Feeds von Policy Enforcer

Um die IPv4/IPv6-Feeds für die Steuerung und Steuerung von Juniper ATP Cloud/Policy Enforcer herunterzuladen, fügen Sie die security-intelligence Anweisung in die [edit services] Hierarchie ein, wie im folgenden Beispiel gezeigt:

Webfilterung (URL-gefiltert) – Übersicht

Die Webfilterung liest den vom IPFD abgerufenen Dateiinhalt und konfiguriert die Filter auf der Packet Forwarding Engine entsprechend. Die Webfilterung erzwingt die Befehls- und Steuerfeeds, indem die Filter in der Packet Forwarding Engine so programmiert werden, dass sie die Pakete blockieren, die für die blockierten IP-Adressen bestimmt sind, und Protokolle für die Meldung des Vorfalls generieren.

Abbildung 5 veranschaulicht, wie der C&C-Feed vom IPFD abgerufen und dann vom Webfilterprozess verarbeitet wird.

Abbildung 5: Webfilterung Web Filtering

Das Webfilterprofil kann mehr als eine Vorlage enthalten. Jede Vorlage besteht aus einer Reihe konfigurierter logischer Schnittstellen für die Webfilterung und einem oder mehreren Begriffen. Ein Begriff ist eine Reihe von Übereinstimmungskriterien mit Aktionen, die ausgeführt werden sollen, wenn die Übereinstimmungskriterien erfüllt sind. Um das Webfilterprofil für die Verwendung des dynamisch abgerufenen C&C-Feeds zu konfigurieren, können Sie den security-intelligence-policy Befehl unter der [edit services web-filter profile profile-name Hierarchieebene konfigurieren. Sie müssen keinen Begriff für ein security-intelligence-policy basiertes Webfilterprofil konfigurieren.

Sie können die folgenden Aktionen der Bedrohungsstufe für das Webfilterprofil auf Hierarchieebene edit web-filter profile profile-name security-intelligence-policy threat-level threat-level threat-action konfigurieren:

  • drop

  • drop-and-log

  • log

Sie können jeweils nur eine threat-action konfigurierenthreat level. Wenn die threat-action nicht für einen bestimmten threat levelkonfiguriert ist, ist acceptder Standardwert threat-action .

Ab Junos OS Version 24.4R1 werden für Bedrohungen, die mit log Action konfiguriert sind, die Bedrohungsstufe und die Mandanten- oder VRF-Informationen in die ausgehenden Syslogs eingebettet. Die Class-of-Service-Richtlinienzuordnungen wurden um ein neues user-attribute integer Schlüsselwort erweitert, um die Bedrohungsstufe zu speichern und anzugeben.

Sie können die user-attribute integer in der [editi class-of-service policy-map policy-name] Hierarchie konfigurieren.

Auf die Richtlinienzuordnung wird in jeder Konfiguration der Bedrohungsstufe verwiesen<> um das neue Benutzerattribut dem dfw-Filterbegriff zuzuordnen, der die konfigurierte Aktion für jede Bedrohungsstufe steuert. Die Richtlinienzuordnung wird in der [edit services web-filter profile profile-name security-intelligence-policy threat level integer policy-map policy-name] Hierarchie oder [edit services web-filter profile profile-name url-filter-template template-name security-intelligence-policy threat level integer policy-map policy-name] Hierarchie verwendet, um die Bedrohungsstufe einem Benutzerattribut zuzuordnen.

Zum Beispiel

Siehe auch

  • Security-Intelligence-Richtlinie
  • Security-Intelligence

Webfilterprofil für Sampling konfigurieren

Ab Junos OS Version 19.3R1 unterstützt der Webfilterprozess (url-gefiltert) Inline-Sampling von Paketen als Bedrohungsstufenaktion. Die Pakete werden verworfen, protokolliert und basierend auf der von Ihnen konfigurierten Bedrohungsaktion ausgewählt. Bei skalierten Szenarien wird das Sampling von Paketen der Protokollierungsoption vorgezogen. Zusammen mit den vorhandenen Aktionen der Bedrohungsstufe können Sie die folgenden Aktionen der Bedrohungsstufe im Webfilterprofil auf Hierarchieebene edit web-filter profile profile-name security-intelligence-policy threat-level threat-level threat-action konfigurieren:

  • drop-and-sample

  • drop-log-and-sample

  • log-and-sample

  • sample

Die Inline-Datenstromüberwachung tastet die Pakete ab und sendet die Datenstromdatensätze im IPFIX-Format an einen Datenstromsammler. Sie können die Bedrohungsstufe für die am externen Collector empfangenen Sampling-Pakete ableiten, indem Sie die empfangene IP aus den Sample-Paketen mit dem entsprechenden IP-Eintrag in /var/db/url-filterd/urlf_si_cc_db.txt abgleichen. Sie können das Sampling mit einer der folgenden Methoden konfigurieren:

  • Ordnen Sie eine Samplinginstanz dem FPC zu, auf dem die Medienschnittstelle auf Hierarchieebene [edit chassis] vorhanden ist. Wenn Sie die Stichprobe von IPv4-, IPv6- oder VPLS-Flüssen konfigurieren, können Sie die Größe der Datenstromhashtabelle für jede Familie konfigurieren.

  • Konfigurieren Sie die Vorlageneigenschaften für die Inline-Flussüberwachung auf Hierarchieebene [edit services flow-monitoring .

  • Konfigurieren Sie eine Samplinginstanz, ordnen Sie die IP-Adresse des Flussservers, die Portnummer und die Flussexportrate zu und geben Sie die Kollektoren auf Hierarchieebene [edit forwarding-options an.

Zuordnen einer Samplinginstanz zum FPC

Um die definierte Instanz einem bestimmten FPC, MPC oder DPC zuzuordnen, schließen Sie die sampling-instance Anweisung auf Hierarchieebene [edit chassis fpc number] ein, wie im folgenden Beispiel gezeigt:

Konfigurieren Sie eine Samplinginstanz, und ordnen Sie die Vorlage der Samplinginstanz zu.

Um die Vorlageneigenschaften für die Inline-Flussüberwachung zu konfigurieren, fügen Sie die folgenden Anweisungen auf Hierarchieebene edit services flow-monitoring ein, wie im folgenden Beispiel gezeigt:

Konfigurieren Sie die Beispielinstanz und ordnen Sie die IP-Adresse des Flussservers und andere Parameter zu.

So konfigurieren Sie eine Sampling-Instanz und ordnen die IP-Adresse des Flussservers und andere Parameter zu. Fügen Sie die folgenden Anweisungen in die [edit forwarding-options] Hierarchie ein, wie im folgenden Beispiel gezeigt:

Beispiel: Webfilterprofil konfigurieren, um verschiedene Bedrohungsstufen zu definieren

Siehe auch

  • Security-Intelligence-Richtlinie
  • Konfigurieren der Datenverkehrsabtastung auf Routern der MX-, M- und T-Serie

GeoIP-Filterung

Überblick

Die GeoIP-Feeds sind im Wesentlichen eine Liste der Zuordnungen von IP-Adressen zu Ländercodes. Ab Junos OS 21.4R1 können Sie IP-basierte Geo-Standorte auf Routern der MX-Serie konfigurieren, um die GeoIP-Feeds von Policy Enforcer abzurufen. Durch die Bereitstellung der GeoIP-Feeds können Sie das Netzwerk aktivieren, um zu verhindern, dass Geräte mit IP-Adressen kommunizieren, die zu bestimmten Ländern gehören.

Sie können den IPFD-Prozess (Security Intelligence Process) auf Routern der MX-Serie so konfigurieren, dass er die GeoIP-Feeds von Policy Enforcer abruft. Ähnlich wie bei bestehenden C&C IP- oder IPv6-Feeds lädt IPFD die GeoIP-Feeds vom Policy Enforcer herunter. IPFD übersetzt den Feed in das Dateiformat, das anschließend durch den Webfilterprozess (URL-gefiltert) verarbeitet wird.

Ab Junos OS 22.1R1 können Sie den Security Intelligence-Prozess (IPFD) auf Routern der MX-Serie so konfigurieren, dass die GeoIP-Feeds aus der Juniper ATP-Cloud abgerufen werden. Ähnlich wie bei bestehenden C&C IP- oder IPv6-Feeds lädt IPFD die GeoIP-Feeds aus der Juniper ATP-Cloud herunter.

So konfigurieren Sie die GeoIP-Filterung auf Routern der MX-Serie

Die vom IPFD abgerufenen Informationen werden in einer Datei (urlf_si_geoip_db.txt) gespeichert, die am Speicherort /var/db/url-filterd erstellt wurde.

Das Format der Datei, die von IPFD an den Webfilterprozess gesendet wird, lautet wie folgt:

IPv4 address|IPv6 address,Prefix,threat-level,VRF-name,Gen-num. Gen-num ist immer 0. VRF-name bezieht sich auf eine Landesvorwahl.

Beispiel: 178.10.19.22,12,255,US,0

IPFD und der Webfilterprozess unterhalten eine pconn-Verbindung, um die Erstellung oder Aktualisierung von Dateien mit GeoIP-Feeds zu kommunizieren. Der Webfilterungsprozess erzwingt die GeoIP-Feeds, indem die Filter in der PFE so programmiert werden, dass die Pakete blockiert werden, die für die blockierten Länder bestimmt sind. Die von liburlf bereitgestellten APIs werden verwendet, um die Dateien zu validieren und zu analysieren.

Der Webfilterprozess liest die Datei mit der Liste der IP-Adressen, und die PFE-Filter werden mit den im Feed aufgeführten Ziel-IP-Adressen und der für das zugeordnete Land konfigurierten Aktion programmiert.

  • Globaler Filter: Länder werden unter globaler Regel innerhalb eines Profils konfiguriert. Alle IP-Adressen für Länder, die für diese globale Regel spezifisch sind, werden in einem einzigen Filter programmiert und auf alle Vorlagen im Profil angewendet. Sie können ein Profil zum dynamischen Abrufen des GeoIP-Feeds konfigurieren, indem Sie es in der [edit services web-filter profile profile-name security-intelligence-policy] Hierarchie konfigurierengeo-ip rule match country country-name.

  • Gruppenfilter: Ländergruppen werden unter einer Vorlage konfiguriert. Alle IP-Adressen, die den Ländern für eine Gruppe zugeordnet sind, werden in einem Gruppenfilter programmiert, der auf die Vorlagen angewendet wird, unter denen diese Gruppe konfiguriert ist. Gruppe ist eine Liste von Ländern, die in einer JSON-Datei definiert sind, die von liburlf analysiert wird.

    Um einen Gruppenfilter zu konfigurieren, müssen Sie eine JSON-Datei am Speicherort /var/db/url-filterd konfigurieren, wo die group.json Datei die Gruppenzuordnungen enthält.

    Das Format der JSON-Datei lautet wie folgt:

    [

    {

    "group_name" : "group1",

    "country" : ["ZA","YE"]

    },

    {

    "group_name" : "group2",

    "country" : ["YT"]

    }

    ]

    Um GeoIP-Feeds dynamisch abzurufen, können Sie einen globalen Filter mit einem einzelnen Profil konfigurieren oder mehrere Gruppenfilter mithilfe von Vorlagen konfigurieren. Wir unterstützen nicht beide Konfigurationen zusammen.

    Auf die in der JSON-Datei erstellten Gruppen wird in der in der [edit services web-filter profile profile-name url-filter-template template-name security-intelligence-policy geo-ip rule match group group-name] Hierarchie definierten GeoIP-Übereinstimmungsklausel verwiesen.

Globale Zulassungsliste und globale Sperrliste

Sie können den IP-Feed anpassen, indem Sie Ihre eigene Zulassungs- und Sperrliste hinzufügen. Dies kann hilfreich sein, um Intelligence-Feeds zu verwalten, die für Ihr Security Operations Center maßgeschneidert sind, oder als vorübergehende Maßnahme für Fehlalarme. Ab Junos OS Version 21.4R1 können Sie bestimmte IP-Adressen basierend auf der Konfiguration über eine CLI oder eine Datei zulassen oder blockieren. Sie können entweder eine separate Liste für die Zulassungsliste und eine separate Liste für die Blockliste konfigurieren oder die IP-Adressen in eine Datei aufnehmen und den Dateinamen in die CLI-Konfiguration aufnehmen.

Sie können eine IP-address-list at in der [edit services web-filter] Hierarchie anlegen. IP-address-list Enthält hier die Liste der IP-Adressen, die zugelassen oder blockiert werden müssen. Sie können auch eine Datei mit den IP-Adressen erstellen, die im gefilterten Verzeichnis /var/db/url zugelassen oder blockiert werden müssen. Die IP-Adressen, die als Teil der Datei oder IP-Adressliste konfiguriert sind, werden als Teil des globalen Filters programmiert, der an alle Vorlagen angehängt ist.

Sie können eine globale Zulassungsliste definieren, indem Sie an der edit services web-filter profile profile-name security-intelligence-policy Hierarchie konfigurierenwhite-list (IP-address-list | file-name) . Sie können eine globale Sperrliste definieren, indem Sie die black-list (IP-address-list | file-name) in der edit services web-filter profile profile-name security-intelligence-policy Hierarchie konfigurieren. Hier bezieht sich die , IP-address-listauf den Namen der IP-Adressliste, die in der [edit services web-filter] Hierarchie angegeben ist. Das file-name bezieht sich auf den Namen der Datei, die die Liste der IP-Adressen enthält, die zugelassen oder blockiert werden müssen. Die Datei muss sich im Verzeichnis /var/db/url-gefiltert befinden und denselben Namen wie in der Konfiguration haben.

Das Format der globalen Zulassungslistendatei lautet wie folgt:

Security Intelligence Policy Enforcement Version 2.0

Das Format der globalen Blocklistendatei lautet wie folgt:

Security Intelligence Policy Enforcement Version 2.0

Der Webfilterprozess analysiert die Liste der IP-Adressen auf der globalen Zulassungsliste oder der globalen Blockliste und programmiert die impliziten Filterbegriffe mit den konfigurierten IP-Adressen, um die Pakete entweder zuzulassen oder zu blockieren.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Veröffentlichung
Beschreibung
19.3R2
Ab Junos OS Version 19.3R2 wird dieselbe Funktionalität für Services der nächsten Generation auf MX240, MX480 und MX960 unterstützt.
19.3R2
Ab Junos OS Version 19.3R2 ist dieselbe Funktionalität für Services der nächsten Generation auf MX240, MX480 und MX960 verfügbar.
19.3R2
Ab Junos OS Version 19.3R2 können Sie die DNS-Filterung konfigurieren, wenn Sie Services der nächsten Generation mit der MX-SPC3-Servicekarte ausführen. Services der nächsten Generation werden auf den Routern MX240, MX480 und MX960 unterstützt.
19.3R2
Ab Junos OS Version 19.3R2 mit den Services der nächsten Generation als Inline-Sicherheitsfunktion
19.3R1
Ab Junos OS Version 19.3R1 unterstützt der Webfilterprozess (url-gefiltert) Inline-Sampling von Paketen als Bedrohungsstufenaktion
18.4R1
Ab Junos OS Version 18.4R1 mit den Adaptive Services als Inline-Sicherheitsfunktion
18.3R1
Ab Junos OS Version 18.3R1 für adaptive Services. Konfigurieren Sie das Profil auf Hierarchieebene [edit services web-filter] . Konfigurieren Sie das Profil vor Junos OS Version 18.3R1 auf Hierarchieebene [edit services url-filter] .
17.2R2
Ab Junos OS Version 17.2R2 und 17.4R1 können Sie für Adaptive Services die Filterung von HTTP-Datenverkehr deaktivieren, der eine eingebettete IP-Adresse (z. B. http:/10.1.1.1) enthält, die zu einem nicht zulässigen Domänennamen in der URL-Filterdatenbank gehört.