Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

URL-Filterung

URL-Filterung – Übersicht

Sie können die URL-Filterung verwenden, um zu bestimmen, auf welche Webinhalte Benutzer nicht zugreifen können.

Zu den Komponenten dieser Funktion gehören die folgenden:

  • URL-Filter-Datenbankdatei

  • Konfiguration einer oder mehrerer Vorlagen (bis zu acht pro Profil)

  • URL-Filter-Plug-in (jservices-urlf)

  • URL-Filter-Daemon (URL-gefiltert)

Die URL-Filterdatenbankdatei wird auf der Routing-Engine gespeichert und enthält alle unzulässigen URLs. Konfigurierte Vorlagen definieren, welcher Datenverkehr überwacht werden soll, welche Kriterien erfüllt und welche Aktionen ausgeführt werden sollen. Sie konfigurieren die Vorlagen und den Speicherort der URL-Filterdatenbankdatei in einem Profil.

Ab Junos OS Version 17.2R2 und 17.4R1 können Sie für Adaptive Services das Filtern von HTTP-Datenverkehr deaktivieren, der eine eingebettete IP-Adresse (z. B. http:/10.1.1.1) enthält, die zu einem unzulässigen Domänennamen in der URL-Filterdatenbank gehört. Ab Junos OS Version 19.3R2 wird dieselbe Funktion auch für Services der nächsten Generation auf MX240, MX480 und MX960 unterstützt.

Um die URL-Filterfunktion zu aktivieren, müssen Sie auf Hierarchieebene package-name [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] konfigurierenjservices-urlf. Nach der Aktivierung verwaltet jservices-urlf das URL-Filterprofil und empfängt den gesamten zu filternden Datenverkehr, die Filterkriterien und die Aktion, die für den gefilterten Datenverkehr ausgeführt werden soll.

Anmerkung:

MX-SPC3 muss jservices-urlf nicht explizit als auf package-name der Hierarchieebene [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] . Diese Option wird standardmäßig unterstützt.

Der URL-Filter-Daemon (url-filterd), der sich ebenfalls auf der Routing-Engine befindet, löst den Domänennamen jeder URL in der URL-Filterdatenbank in eine Liste von IPv4- und IPv6-Adressen auf. Anschließend lädt er die Liste der IP-Adressen an den Dienst PIC herunter, der jservices-urlf ausführt. Anschließend interagiert url-filterd mit dem Dynamic Firewall-Prozess (dfwd), um Filter auf der Packet Forwarding Engine zu installieren und den ausgewählten Datenverkehr von der Packet Forwarding Engine zum Dienst-PIC zu leiten.

Wenn neuer HTTP- und HTTPS-Datenverkehr den Router erreicht, wird eine Entscheidung basierend auf den Informationen in der URL-Filterdatenbankdatei getroffen. Die Filterregeln werden überprüft und entweder nimmt der Router den Datenverkehr an und leitet ihn weiter oder blockiert den Datenverkehr. Wenn der Datenverkehr blockiert ist, wird eine der folgenden konfigurierten Aktionen ausgeführt:

  • Eine HTTP-Umleitung wird an den Benutzer gesendet.

  • Eine benutzerdefinierte Seite wird an den Benutzer gesendet.

  • Ein HTTP-Statuscode wird an den Benutzer gesendet.

  • Ein TCP-Reset wird gesendet.

Akzeptieren ist ebenfalls eine Option. In diesem Fall wird der Datenverkehr nicht blockiert.

Abbildung 1 veranschaulicht die URL-Filterung für HTTP-Sitzungen.

Abbildung 1: Paketfluss-URL-Filterung für HTTP-Sitzungen Packet Flow-URL Filtering for HTTP Sessions

Abbildung 2 veranschaulicht die URL-Filterung für HTTPS-Sitzungen.

Abbildung 2: Paketfluss-URL-Filterung für HTTPS-Sitzungen Packet Flow-URL Filtering for HTTPS Sessions

Weitere Informationen zur URL-Filterfunktion finden Sie in den folgenden Abschnitten:

URL-Filter-Datenbankdatei

Die URL-Filterdatenbankdatei enthält Einträge von URLs und IP-Adressen. Erstellen Sie die URL-Filterdatenbankdatei in dem in Tabelle 1 angegebenen Format, und suchen Sie sie auf der Routing-Engine im Verzeichnis /var/db/url-filterd .

Tabelle 1: URL-Filter-Datenbankdateiformat

Eintrag

Beschreibung

Beispiel

FQDN

Vollständig qualifizierter Domänenname.

www.badword.com/jjj/bad.jpg

Internetadresse

Vollständige Zeichenfolgen-URL ohne das Layer 7-Protokoll.

www.srch.com/*Badword*/

www.srch.com

www.srch.com/xyz

www.srch.com/xyz*

IPv4-Adresse

HTTP-Anforderung für eine bestimmte IPv4-Adresse.

10.1.1.199

IPv6-Adresse

HTTP-Anforderung an eine bestimmte IPv6-Adresse.

1::1

Sie müssen eine benutzerdefinierte URL-Filterdatenbank im Profil angeben. Bei Bedarf können Sie auch eine benutzerdefinierte URL-Filterdatenbankdatei mit einer beliebigen Vorlage zuweisen, und diese Datenbank hat Vorrang vor der auf Profilebene konfigurierten Datenbank.

Wenn Sie den Inhalt der URL-Filterdatenbankdatei ändern, verwenden Sie den request services (url-filter | web-filter) update Befehl. Weitere Befehle, die bei der Verwaltung der URL-Filterdatenbankdatei helfen, sind die folgenden:

  • request services (url-filter | web-filter) delete

  • request services (url-filter | web-filter) force

  • request services (url-filter | web-filter) validate

Vorsichtsmaßnahmen für URL-Filterprofile

Das URL-Filterprofil besteht aus einer bis acht Vorlagen. Jede Vorlage besteht aus einer Reihe konfigurierter logischer Schnittstellen, in denen der Datenverkehr auf URL-Filterung und einen oder mehrere Begriffe überwacht wird.

Ein Begriff ist eine Reihe von Übereinstimmungskriterien mit Aktionen, die ausgeführt werden müssen, wenn die Übereinstimmungskriterien erfüllt sind. Sie müssen mindestens einen Begriff konfigurieren, um die URL-Filterung zu konfigurieren. Jeder Begriff besteht aus einer from Anweisung und einer then Anweisung, wobei die from Anweisung die Quell-IP-Präfixe und Zielports definiert, die überwacht werden. Die then Anweisung gibt die auszuführende Aktion an. Wenn Sie die from Anweisung weglassen, werden alle Quell-IP-Präfixe und alle Zielports als übereinstimmend betrachtet. Sie können jedoch nur eine from Anweisung pro Vorlage oder pro Profil weglassen.

Beispielkonfiguration mehrerer Terme ohne from-Anweisungen

Wenn Sie mehr als eine from Anweisung pro Vorlage weglassen, erhalten Sie beim Commit die folgende Fehlermeldung:

Siehe auch

Konfigurieren der URL-Filterung

Um die URL-Filterfunktion zu konfigurieren, müssen Sie zunächst auf Hierarchieebene package-name [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] konfigurierenjservices-urlf. Weitere Informationen zum Konfigurieren der extension-provider package package-name Konfigurationsanweisung finden Sie unter der Paketanweisung (Loading on PIC).

Anmerkung:

MX-SPC3 muss jservices-urlf nicht explizit als auf package-name der Hierarchieebene [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] . Diese Option wird standardmäßig unterstützt.

Die URL-Filterung wird für ein Dienst-PIC konfiguriert. Bei den Schnittstellen, mit denen Sie es zu tun haben, handelt es sich um Dienstschnittstellen (die das ms Präfix verwenden) oder AMS-Schnittstellen (Aggregated Multiservices) (die das ams Präfix verwenden). Weitere Informationen zu AMS-Schnittstellen finden Sie im Benutzerhandbuch für Adaptive Services Interfaces für Routing-Geräte, beginnend mit Grundlegendes zu aggregierten Multiservices-Schnittstellen.

Ein URL-Filterprofil ist eine Sammlung von Vorlagen. Jede Vorlage besteht aus einer Reihe von Kriterien, die definieren, welche URLs nicht zulässig sind und wie der Empfänger benachrichtigt wird.

So konfigurieren Sie das URL-Profil:

  1. Weisen Sie dem URL-Profil einen Namen zu.

    Ab Junos OS Version 18.3R1 für adaptive Services. Konfigurieren Sie das Profil auf Hierarchieebene [edit services web-filter] . Konfigurieren Sie das Profil vor Junos OS Version 18.3 R1 auf Hierarchieebene [edit services url-filter] . Ab Junos OS Version 19.3R2 ist dieselbe Funktionalität auch für Geräte der nächsten Generation auf MX240, MX480 und MX960 verfügbar.

  2. Geben Sie den Namen der zu verwendenden URL-Filterdatenbank an.
  3. Konfigurieren Sie eine oder mehrere Vorlagen für das Profil.

    So konfigurieren Sie die einzelnen Vorlagen:

    1. Benennen Sie die Vorlage.
      Anmerkung:

      Konfigurieren Sie ab Junos OS Version 18.3 R1 die Vorlage mit der url-filter-template Anweisung. Konfigurieren Sie vor Junos OS Version 18.3R1 die Vorlage mit der template Anweisung.
    2. Wechseln Sie zu dieser neuen Vorlagenhierarchieebene.
    3. Geben Sie den Namen der zu verwendenden URL-Filterdatenbank an.
    4. Geben Sie die Loopbackschnittstelle an, für die die Quell-IP-Adresse zum Senden von DNS-Abfragen ausgewählt wird.
    5. Deaktivieren Sie das Filtern von HTTP-Datenverkehr, der eine eingebettete IP-Adresse (z. B. http:/10.1.1.1) enthält, die zu einem unzulässigen Domänennamen in der URL-Filterdatenbank gehört.
    6. Konfigurieren Sie das Zeitintervall für die DNS-Auflösung in Minuten.
    7. Konfigurieren Sie die Anzahl der Wiederholungen für eine DNS-Abfrage für den Fall, dass die Abfrage fehlschlägt oder eine Zeitüberschreitung auftritt.
    8. Geben Sie die IP-Adressen (IPv4 oder IPv6) der DNS-Server an, an die die DNS-Abfragen gesendet werden.
    9. Geben Sie die clientseitigen logischen Schnittstellen an, auf denen die URL-Filterung konfiguriert ist.
    10. Geben Sie die logischen Schnittstellen für den Server an, auf denen die URL-Filterung konfiguriert ist.
    11. Geben Sie die Routinginstanz an, für die die URL-Filterung konfiguriert ist.
    12. Geben Sie die Routinginstanz an, auf der der DNS-Server erreichbar ist.
  4. Konfigurieren Sie die Terminformationen.

    Begriffe werden in Filtern verwendet, um die Richtlinie zu segmentieren oder in kleine Übereinstimmungs- und Aktionspaare zu filtern.

    1. Benennen Sie den Begriff.
    2. Wechseln Sie zur neuen Termhierarchieebene.
    3. Geben Sie die Quell-IP-Adresspräfixe für den Datenverkehr an, den Sie filtern möchten.
    4. Geben Sie die Zielports für den Datenverkehr an, den Sie filtern möchten.
    5. Konfigurieren Sie eine Aktion, die ausgeführt werden soll.

      Die Aktion kann eine der folgenden sein:

      custom-page custom-page

      Senden Sie eine benutzerdefinierte Seitenzeichenfolge an den Benutzer.
      http-status-code http-status-code

      Senden Sie einen HTTP-Statuscode an den Benutzer.
      redirect-url redirect-url

      Senden Sie eine HTTP-Umleitung an den Benutzer.
      tcp-reset

      Senden Sie einen TCP-Reset an den Benutzer.
  5. Ordnen Sie das URL-Profil einem Next-Hop-Servicesatz zu.
    Anmerkung:

    Für die URL-Filterung müssen Sie den Dienstsatz als Dienstsatz für den nächsten Hop konfigurieren.
    Anmerkung:

    Die Dienstschnittstelle kann auch das ams Präfix haben. Wenn Sie Schnittstellen auf Hierarchieebene [edit services service-set service-set-name] für den URL-Filter verwendenams, müssen Sie die load-balancing-options hash-keys Anweisung auch auf Hierarchieebene [edit interfaces ams-interface-name unit number] konfigurieren.
    Anmerkung:

    Konfigurieren Sie ab Junos OS Version 18.3R1 den Servicesatz mit der Anweisung web-filter-profile . Konfigurieren Sie vor Junos OS Version 18.3R1 den Servicesatz mit der Anweisung url-filter-profile .

Siehe auch

DNS-Anfragefilterung für unzulässige Website-Domains

Übersicht über das Filtern von DNS-Anfragen

Ab Junos OS Version 18.3R1 können Sie die DNS-Filterung so konfigurieren, dass DNS-Anfragen für unzulässige Website-Domänen identifiziert werden. Ab Junos OS Version 19.3R2 können Sie die DNS-Filterung konfigurieren, wenn Sie Services der nächsten Generation mit der MX-SPC3-Servicekarte ausführen. Services der nächsten Generation werden auf MX240-, MX480- und MX960-Routern unterstützt. Für die DNS-Anforderungstypen A, AAAA, MX, CNAME, TXT, SRV und ANY konfigurieren Sie die Aktion, die für eine DNS-Anforderung für eine unzulässige Domäne ausgeführt werden soll. Sie haben folgende Möglichkeiten:

  • Blockieren Sie den Zugriff auf die Website, indem Sie eine DNS-Antwort senden, die die IP-Adresse oder den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) eines DNS-Sinkholeservers enthält. Dadurch wird sichergestellt, dass der Datenverkehr an den Sinkhole-Server weitergeleitet wird, wenn der Client versucht, Datenverkehr an die unzulässige Domäne zu senden (siehe Abbildung 3).

  • Protokollieren Sie die Anfrage, und lassen Sie den Zugriff zu.

Ab Junos OS-Version 21.1R1 können Sie auch die folgenden Aktionen für eine DNS-Anforderung für eine unzulässige Domäne konfigurieren:

  • Wachsam
  • Annehmen
  • Tropfen
  • Drop-no-log

Bei anderen DNS-Anforderungstypen für eine unzulässige Domäne wird die Anforderung protokolliert, und der Zugriff ist zulässig.

Die Aktionen, die der Sinkholeserver ausführt, werden nicht durch die DNS-Anforderungsfilterfunktion gesteuert. Sie sind für die Konfiguration der Sinkholeserver-Aktionen verantwortlich. Der Sinkholeserver könnte z. B. eine Nachricht an den Anforderer senden, dass die Domäne nicht erreichbar ist, und den Zugriff auf die unzulässige Domäne verhindern.

Abbildung 3: DNS-Anforderung für unzulässige Domäne DNS Request for Disallowed Domain

Nützt

Die DNS-Filterung leitet DNS-Anfragen für nicht zulässige Website-Domänen an Sinkhole-Server weiter und verhindert, dass jeder, der das System betreibt, die Liste der unzulässigen Domänen sieht. Dies liegt daran, dass die unzulässigen Domainnamen in einem verschlüsselten Format vorliegen.

Unzulässige Domänenfilter-Datenbankdatei

Für das Filtern von DNS-Anforderungen ist eine Datenbank .txt Datei für Filter für unzulässige Domänen erforderlich, die jeden unzulässigen Domänennamen, die Aktion, die für eine DNS-Anforderung für die unzulässige Domäne ausgeführt werden soll, und die IP-Adresse oder den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) eines DNS-Sinkholeservers identifiziert.

DNS-Filterprofil

Sie konfigurieren ein DNS-Filterprofil, um anzugeben, welche Datenbankdatei für unzulässige Domänenfilter verwendet werden soll. Sie können auch die Schnittstellen angeben, auf denen die DNS-Anforderungsfilterung ausgeführt wird, die Filterung auf Anforderungen für bestimmte DNS-Server beschränken und die Filterung auf Anforderungen von bestimmten Quell-IP-Adresspräfixen beschränken.

Konfigurieren der DNS-Anforderungsfilterung

Gehen Sie wie folgt vor, um DNS-Anfragen nach unzulässigen Website-Domänen zu filtern:

Konfigurieren einer Domänenfilterdatenbank

Erstellen Sie eine oder mehrere Domänenfilter-Datenbankdateien, die einen Eintrag für jede unzulässige Domäne enthalten. Jeder Eintrag gibt an, was mit einer DNS-Anfrage für eine unzulässige Website-Domain geschehen soll.

So konfigurieren Sie eine Datenbankdatei für Domänenfilter:

  1. Erstellen Sie den Namen für die Datei. Der Dateiname der Datenbank darf maximal 64 Zeichen lang sein und muss eine .txt Erweiterung haben.
  2. Fügen Sie einen Dateiheader mit einem Format wie 20170314_01:domain,sinkhole_ip,v6_sinkhole,sinkhole_fqdn,id,action hinzu.
  3. Fügen Sie der Datei für jede unzulässige Domäne einen Eintrag hinzu. Sie können maximal 10.000 Domäneneinträge einfügen. Jeder Eintrag in der Datenbankdatei enthält die folgenden Elemente:

    hashed-domain-name, IPv4-Sinkhole-Adresse, IPv6-Sinkhole-Adresse, Sinkhole-FQDN, ID, Aktion

    wo:

    • hashed-domain-name ist ein Hashwert des unzulässigen Domänennamens (64 hexadezimale Zeichen). Die Hashmethode und der Hashschlüssel, die Sie zum Erzeugen des gehashten Domänenwerts verwenden, werden benötigt, wenn Sie die DNS-Filterung mit der Junos OS CLI konfigurieren.

    • IPv4 sinkhole address ist die Adresse des DNS-Sinkholeservers für IPv4-DNS-Anforderungen.

    • IPv6 sinkhole address ist die Adresse des DNS-Sinkholeservers für IPv6-DNS-Anfragen.

    • sinkhole FQDN ist der vollqualifizierte Domänenname des DNS-Sinkholeservers.

    • ID ist eine 32-Bit-Zahl, die den Eintrag eindeutig mit dem gehashten Domänennamen verknüpft.

    • action ist die Aktion, die auf eine DNS-Anforderung angewendet werden soll, die mit dem unzulässigen Domänennamen übereinstimmt. Wenn Sie Folgendes eingeben:

      • replacesenden, sendet der Router der MX-Serie dem Client eine DNS-Antwort mit der IP-Adresse oder dem FQDN des DNS-Sinkhole-Servers. Wenn Sie eingeben report, wird die DNS-Anfrage protokolliert und dann an den DNS-Server gesendet.
      • reportwählen, wird die DNS-Anfrage protokolliert und dann an den DNS-Server gesendet.
      • alertwählen, wird die DNS-Anforderung protokolliert und an den DNS-Server gesendet.
      • acceptwählen, wird die DNS-Anforderung protokolliert und an den DNS-Server gesendet.
      • dropklicken, wird die DNS-Anforderung verworfen und die Anforderung protokolliert. Die DNS-Anfrage wird nicht an den DNS-Server gesendet.
      • drop-no-logklicken, wird die DNS-Anforderung verworfen, und es wird kein Syslog generiert. Die DNS-Anfrage wird nicht an den DNS-Server gesendet.
  4. Fügen Sie in der letzten Zeile der Datei den Dateihash ein, den Sie mit demselben Schlüssel und derselben Hashmethode berechnen, die Sie zum Erstellen der gehashten Domänennamen verwendet haben.
  5. Speichern Sie die Datenbankdateien auf der Routing-Engine im Verzeichnis /var/db/url-filterd .
  6. Überprüfen Sie die Datenbankdatei des Domänenfilters.
  7. Wenn Sie Änderungen an der Datenbankdatei vornehmen, übernehmen Sie die Änderungen.

Konfigurieren eines DNS-Filterprofils

Ein DNS-Filterprofil enthält allgemeine Einstellungen zum Filtern von DNS-Anfragen für unzulässige Website-Domains und bis zu 32 Vorlagen. Die Vorlageneinstellungen gelten für DNS-Anforderungen auf bestimmten logischen Uplink- und Downlink-Schnittstellen oder Routing-Instanzen oder für DNS-Anforderungen von bestimmten Quell-IP-Adresspräfixen und überschreiben die entsprechenden Einstellungen auf DNS-Profilebene. Sie können bis zu acht DNS-Filterprofile konfigurieren.

So konfigurieren Sie ein DNS-Filterprofil:

  1. Konfigurieren Sie den Namen für ein DNS-Filterprofil:

    Die maximale Anzahl von Profilen beträgt 8.

  2. Konfigurieren Sie das Intervall für die Protokollierung von Statistiken pro Client für die DNS-Filterung. Der Bereich liegt zwischen 0 und 60 Minuten, der Standardwert ist 5 Minuten.
  3. Konfigurieren Sie allgemeine DNS-Filtereinstellungen für das Profil. Diese Werte werden verwendet, wenn eine DNS-Anforderung nicht mit einer bestimmten Vorlage übereinstimmt.
    1. Geben Sie den Namen der Domänenfilterdatenbank an, die beim Filtern von DNS-Anforderungen verwendet werden soll.
    2. (Optional) Um die DNS-Filterung auf DNS-Anforderungen zu beschränken, die für bestimmte DNS-Server bestimmt sind, geben Sie bis zu drei IP-Adressen (IPv4 oder IPv6) an.
    3. Geben Sie das Format für den Hashschlüssel an.
    4. Geben Sie den Hashschlüssel an, den Sie zum Erstellen des Hashdomänennamens in der Domänenfilterdatenbankdatei verwendet haben.
    5. Geben Sie die Hashmethode an, die zum Erstellen des Hashdomänennamens in der Domänenfilterdatenbankdatei verwendet wurde.

      Die einzige unterstützte Hashmethode ist hmac-sha2-256.

    6. Konfigurieren Sie das Intervall für die Protokollierung von Statistiken für DNS-Anforderungen und für Sinkhole-Aktionen, die für jede Kunden-IP-Adresse ausgeführt werden. Der Bereich liegt zwischen 1 und 60 Minuten, der Standardwert ist 5 Minuten.
    7. Konfigurieren Sie die Gültigkeitsdauer beim Senden der DNS-Antwort, nachdem Sie die DNS-Sinkhole-Aktion ausgeführt haben. Der Bereich liegt zwischen 0 und 86.400 Sekunden, der Standardwert ist 1800.
    8. Konfigurieren Sie die Ebene der Subdomains, die nach einer Übereinstimmung durchsucht werden. Der Bereich liegt zwischen 0 und 10. Der Wert 0 gibt an, dass Subdomains nicht durchsucht werden.

      Wenn Sie z. B. den Wert wildcarding-level auf 4 festlegen und die Datenbankdatei einen Eintrag für example.com enthält, werden die folgenden Vergleiche für eine DNS-Anforderung durchgeführt, die mit dem Domänen 198.51.100.0.example.com eingeht:

      • 198.51.100.0.example.com: keine Übereinstimmung

      • 51.100.0.example.com: kein Match für eine Ebene tiefer

      • 100.0.example.com: kein Match für zwei Stufen tiefer

      • 0.example.com: Kein Match für drei Stufen tiefer

      • example.com: Match für vier Stufen tiefer

  4. Konfigurieren Sie eine Vorlage. Sie können maximal 8 Vorlagen in einem Profil konfigurieren. Jede Vorlage identifiziert Filtereinstellungen für DNS-Anforderungen auf bestimmten logischen Uplink- und Downlink-Schnittstellen oder Routing-Instanzen oder für DNS-Anforderungen von bestimmten Quell-IP-Adresspräfixen.
    1. Konfigurieren Sie den Namen für die Vorlage.
    2. (Optional) Geben Sie die clientseitigen logischen Schnittstellen (Uplink) an, auf die die DNS-Filterung angewendet wird.
    3. (Optional) Geben Sie die serverseitigen logischen Schnittstellen (Downlink) an, auf die die DNS-Filterung angewendet wird.
    4. (Optional) Geben Sie die Routinginstanz für die clientseitige logische Schnittstelle an, auf die die DNS-Filterung angewendet wird.
    5. (Optional) Geben Sie die Routinginstanz für die serverseitige logische Schnittstelle an, auf die die DNS-Filterung angewendet wird.
      Anmerkung:

      Wenn Sie die Client- und Serverschnittstellen oder die Client- und Serverroutinginstanzen konfigurieren, werden implizite Filter auf den Schnittstellen oder Routinginstanzen installiert, um DNS-Datenverkehr für die DNS-Filterung an die Dienst-PIC weiterzuleiten. Wenn Sie weder die Client- und Serverschnittstellen noch die Routinginstanzen konfigurieren, müssen Sie eine Möglichkeit bereitstellen, DNS-Datenverkehr an den Dienst-PIC weiterzuleiten (z. B. über Routen).
    6. Geben Sie den Namen der Domänenfilterdatenbank an, die beim Filtern von DNS-Anforderungen verwendet werden soll.
    7. (Optional) Um die DNS-Filterung auf DNS-Anforderungen zu beschränken, die für bestimmte DNS-Server bestimmt sind, geben Sie bis zu drei IP-Adressen (IPv4 oder IPv6) an.
    8. Geben Sie die Hashmethode an, die zum Erstellen des Hashdomänennamens in der Domänenfilterdatenbankdatei verwendet wurde.

      Die einzige unterstützte Hashmethode ist hmac-sha2-256.

    9. Geben Sie den Hashschlüssel an, der zum Erstellen des Hashdomänennamens in der Domänenfilterdatenbankdatei verwendet wurde.
    10. Konfigurieren Sie das Intervall für die Protokollierung von Statistiken für DNS-Anforderungen und für Sinkhole-Aktionen, die für jede Kunden-IP-Adresse ausgeführt werden. Der Bereich liegt zwischen 1 und 60 Minuten, der Standardwert ist 5 Minuten.
    11. Konfigurieren Sie die Gültigkeitsdauer beim Senden der DNS-Antwort, nachdem Sie die DNS-Sinkhole-Aktion ausgeführt haben. Der Bereich liegt zwischen 0 und 86.400 Sekunden, der Standardwert ist 1800.
    12. Konfigurieren Sie die Ebene der Subdomains, die nach einer Übereinstimmung durchsucht werden. Der Bereich liegt zwischen 0 und 10. Der Wert 0 gibt an, dass Subdomains nicht durchsucht werden.

      Wenn Sie z. B. den Wert wildcarding-level auf 4 festlegen und die Datenbankdatei einen Eintrag für example.com enthält, werden die folgenden Vergleiche für eine DNS-Anforderung durchgeführt, die mit dem Domänen-198.51.100.0.example.com eingeht:

      • 198.51.100.0.example.com: keine Übereinstimmung

      • 51.100.0.example.com: Kein Match für eine Stufe tiefer

      • 100.0.example.com: kein Match für zwei Ebenen tiefer

      • 0.example.com: Kein Match für drei Stufen tiefer

      • example.com: Match für vier Stufen tiefer

    13. (Optional) Geben Sie den Antwortfehlercode für die Abfragetypen SRV und TXT an.

      (Optional) Geben Sie den Antwortfehlercode für die Abfragetypen SRV und TXT an.

    14. Konfigurieren Sie einen Ausdruck für die Vorlage. Sie können maximal 64 Begriffe in einer Vorlage konfigurieren.
    15. (Optional) Geben Sie die Quell-IP-Adresspräfixe von DNS-Anforderungen an, die Sie filtern möchten. Sie können maximal 64 Präfixe in einem Begriff konfigurieren.
    16. Geben Sie an, dass die in der Domänenfilterdatenbank identifizierte Sinkhole-Aktion für unzulässige DNS-Anforderungen ausgeführt wird.

Konfigurieren eines Dienstsatzes für die DNS-Filterung

Ordnen Sie das DNS-Filterprofil einem Next-Hop-Dienstsatz zu, und aktivieren Sie die Protokollierung für die DNS-Filterung. Bei der Serviceschnittstelle kann es sich um eine MS- oder VMS-Schnittstelle (Next Gen Services mit MX-SPC3 Services Card) oder um eine aggregierte Multiservices-Schnittstelle (AMS) handeln.

Mandantenfähige Unterstützung für DNS-Filterung

Überblick

Ab Junos OS Version 21.1R1 können Sie benutzerdefinierte Domänen-Feeds pro Kunde oder IP-Untergruppe konfigurieren. Sie können:

  • Konfigurieren Sie Domänennamen und Aktionen für mehrere Mandanten, sodass Domänen-Feeds auf Mandantenbasis verwaltet werden können.
  • Konfigurieren Sie die hierarchische Verwaltung von Domain-Feeds pro Profil, pro dns-filter-template oder pro dns-filter-term.
  • Ausgenommen sind Domänen-Feeds auf IP-, Subnetz- oder CIDR-Ebene.

Um die mutiltenant-Unterstützung für die DNS-Filterung zu implementieren, wird das Erstellen der Domänenfilter-Datenbankdatei auf Vorlagen- oder Profilebene deaktiviert. Sie müssen keine Datei auf Vorlagen- oder Profilebene angeben. Ab Junos OS 21.1R1 ist standardmäßig eine globale Datei mit einem festen Namen, nsf_multi_tenant_dn_custom_file.txt (Nur-Text-Format) oder dnsf_multi_tenant_dn_custom_file_hashed.txt (verschlüsselte Datei) verfügbar.

Jeder Eintrag in der Datenbankdatei enthält die folgenden Elemente:

hashed-domain-name, IPv4-Sinkhole-Adresse, IPv6-Sinkhole-Adresse, Sinkhole-FQDN, ID, Aktion, Feed-Name.

Der Datei-Hash wird berechnet und an die Liste der Domänennameneinträge in der Datei angehängt. Der Datei-Hash wird mit einem globalen Schlüssel und einer globalen Methode berechnet, die mit dem Datei-Hash validiert wird, der mit dem in der [edit services web-filter] Hierarchie konfigurierten Hash-Schlüssel berechnet wird. Die Dateivalidierung ist nur dann erfolgreich, wenn der berechnete Datei-Hash mit dem in der Datei vorhandenen Datei-Hash übereinstimmt.

Jeder Eintrag in nsf_multi_tenant_dn_custom_file.txt Datei besteht aus einem zusätzlichen Feld namens feed-name. Dieser Feedname wird als Indikator verwendet, um eine Gruppe von Domänennamen zu gruppieren und sie einem Mandanten (Profil, Vorlage, Begriff oder IP-Adresse) zuzuordnen.

Wenn die DNS-Pakete von einer bestimmten SRC-IP-Adresse empfangen werden, wird der entsprechende Feed-Name abgerufen, und die Suche erfolgt anhand der Domänennamen, die dem Feed-Namen zugeordnet sind, der dem Begriff zugeordnet ist. Wenn der Feedname für diese IP-Adresse nicht bereitgestellt wird, wird auf den auf Vorlagenebene konfigurierten Feednamen zurückgegriffen, und die Suche erfolgt anhand der Domänennamen, die dem der Vorlage zugeordneten Feednamen zugeordnet sind. Wenn der Feedname in der Vorlage nicht konfiguriert ist, erfolgt die Suche anhand der Domänennamen, die dem Feednamen zugeordnet sind, der dem Profil zugeordnet ist.

Konfigurieren der mandantenfähigen Unterstützung für die DNS-Filterung

  1. Konfigurieren Sie den Webfilter.
  2. Aktivieren Sie mandantenfähige Unterstützung
  3. Konfigurieren Sie den globalen Datei-Hash-Schlüssel und die Hash-Methode.
    Anmerkung:

    Wenn multi-tenant-hashkonfiguriert ist, zeigt dies an, dass die globale DNS-Feed-Datei nur aus verschlüsselten Feeds besteht. Wenn multi-tenant-hash s nicht konfiguriert ist, zeigt es an, dass die globale DNS-Feed-Datei Feeds im Nur-Text-Format enthält.

  4. Konfigurieren Sie den Namen für ein DNS-Filterprofil, und ordnen Sie den Domänenfeed auf Profilebene zu. Der auf Profilebene konfigurierte Feednamenindikator wird auf alle Vorlagen und Begriffe unter dem Profil angewendet, für die der Feednamenindikator nicht konfiguriert ist.
  5. Konfigurieren Sie allgemeine DNS-Filtereinstellungen für das Profil. Diese Werte werden verwendet, wenn eine DNS-Anforderung nicht mit einer bestimmten Vorlage übereinstimmt.
    1. (Optional) Um die DNS-Filterung auf DNS-Anforderungen zu beschränken, die für bestimmte DNS-Server bestimmt sind, geben Sie bis zu drei IP-Adressen (IPv4 oder IPv6) an.
    2. Konfigurieren Sie das Intervall für die Protokollierung von Statistiken für DNS-Anforderungen und für Sinkhole-Aktionen, die für jede Kunden-IP-Adresse ausgeführt werden. Der Bereich liegt zwischen 1 und 60 Minuten, der Standardwert ist 5 Minuten.
    3. Konfigurieren Sie die Gültigkeitsdauer (Time to Live, TTL), um die DNS-Antwort zu senden, nachdem Sie die DNS-Sinkhole-Aktion ausgeführt haben. Der Bereich liegt zwischen 0 und 86.400 Sekunden, der Standardwert ist 1800.
    4. Konfigurieren Sie die Ebene der Subdomains, die nach einer Übereinstimmung durchsucht werden. Der Bereich liegt zwischen 0 und 10. Der Wert 0 gibt an, dass Subdomains nicht durchsucht werden.
    5. (Optional) Geben Sie den Antwortfehlercode für den TXT-Abfragetyp an.
  6. Konfigurieren Sie eine Vorlage. Sie können maximal 8 Vorlagen in einem Profil konfigurieren. Jede Vorlage identifiziert Filtereinstellungen für DNS-Anforderungen auf bestimmten logischen Uplink- und Downlink-Schnittstellen oder Routing-Instanzen oder für DNS-Anforderungen von bestimmten Quell-IP-Adresspräfixen.
    1. Konfigurieren Sie den Namen für die Vorlage.
    2. Konfigurieren Sie den Feednamen. Beim mandantenfähigen Format können Sie keinen Dateinamen mehr unter Profil oder Vorlage hinzufügen. Der unter profil angegebene Feedname hat im Vergleich zu dem in der Vorlage konfigurierten Namen eine geringere Priorität.
    3. (Optional) Geben Sie die clientseitigen logischen Schnittstellen (Uplink) an, auf die die DNS-Filterung angewendet wird.
    4. (Optional) Geben Sie die serverseitigen logischen Schnittstellen (Downlink) an, auf die die DNS-Filterung angewendet wird.
    5. (Optional) Geben Sie die Routinginstanz für die clientseitige logische Schnittstelle an, auf die die DNS-Filterung angewendet wird.
    6. (Optional) Geben Sie die Routinginstanz für die serverseitige logische Schnittstelle an, auf die die DNS-Filterung angewendet wird.
      Anmerkung:

      Wenn Sie die Client- und Serverschnittstellen oder die Client- und Serverroutinginstanzen konfigurieren, werden implizite Filter auf den Schnittstellen oder Routinginstanzen installiert, um DNS-Datenverkehr für die DNS-Filterung an die Dienst-PIC weiterzuleiten. Wenn Sie weder die Client- und Serverschnittstellen noch die Routinginstanzen konfigurieren, müssen Sie eine Möglichkeit bereitstellen, DNS-Datenverkehr an die Dienst-PIC weiterzuleiten (z. B. über Routen).
    7. Konfigurieren Sie das Intervall für die Protokollierung von Statistiken für DNS-Anforderungen und für Sinkhole-Aktionen, die für jede Kunden-IP-Adresse ausgeführt werden. Der Bereich liegt zwischen 1 und 60 Minuten, der Standardwert ist 5 Minuten.
    8. Konfigurieren Sie die Gültigkeitsdauer beim Senden der DNS-Antwort, nachdem Sie die DNS-Sinkhole-Aktion ausgeführt haben. Der Bereich liegt zwischen 0 und 86.400 Sekunden, der Standardwert ist 1800.
    9. Konfigurieren Sie die Ebene der Subdomains, die nach einer Übereinstimmung durchsucht werden. Der Bereich liegt zwischen 0 und 10. Der Wert 0 gibt an, dass Subdomains nicht durchsucht werden.
    10. Konfigurieren Sie einen Ausdruck für die Vorlage. Sie können maximal 64 Begriffe in einer Vorlage konfigurieren.
    11. Konfigurieren Sie den Feednamen. Der unter dem Begriff konfigurierte Feedname hat Vorrang vor dem unter der Vorlage konfigurierten Namen. Wenn die Sinkhole-Domäne jedoch mit der einzigen Domäne übereinstimmt, die im Feednamen unter template erwähnt wird, wird die für diesen Eintrag angegebene Aktion implementiert.
    12. (Optional) Geben Sie die Quell-IP-Adresspräfixe von DNS-Anforderungen an, die Sie filtern möchten. Sie können maximal 64 Präfixe in einem Begriff konfigurieren.
    13. Konfigurieren Sie, dass die in der Domänenfilterdatenbank identifizierte Sinkhole-Aktion für unzulässige DNS-Anforderungen ausgeführt wird.
  7. Ordnen Sie das DNS-Filterprofil einem Next-Hop-Dienstsatz zu, und aktivieren Sie die Protokollierung für die DNS-Filterung. Bei der Serviceschnittstelle kann es sich um eine Multiservices- (ms) oder virtuelle Multiservice-Schnittstelle (VMS) (Services der nächsten Generation mit MX-SPC3-Serviceskarte) oder um eine aggregierte Multiservices-Schnittstelle (AMS) handeln.
  8. Wenn Sie Services der nächsten Generation auf der MX-SPC3-Servicekarte ausführen, konfigurieren Sie die VMS-Schnittstelle so, dass die FPC- und PIC-Informationen im Syslog abgerufen werden.

Beispiel: Konfigurieren der mandantenfähigen Unterstützung für die DNS-Filterung

Konfiguration

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [Bearbeiten] ein.

Integration von Juniper ATP Cloud und Webfilterung auf Routern der MX-Serie

Überblick

Juniper Advanced Threat Prevention (Juniper ATP Cloud) ist in Router der MX-Serie integriert, um alle Hosts in Ihrem Netzwerk vor sich entwickelnden Sicherheitsbedrohungen zu schützen. Dazu wird Cloud-basierte Bedrohungserkennungssoftware mit einem Firewall-System der nächsten Generation eingesetzt.

Dieses Thema bietet einen Überblick über Juniper ATP Cloud, Policy Enforcer, Security Intelligence, Webfilterung und deren Vorteile bei Integration auf Routern der MX-Serie.

Weitere Informationen zur Plattform und zu Versionsversionen finden Sie unter Funktions-Explorer .

Nützt

  • Vereinfacht die Bereitstellung und verbessert die Anti-Threat-Funktionen bei Integration in die MX-Router.

  • Bietet Schutz vor "Zero-Day"-Bedrohungen durch eine Kombination von Tools, um eine robuste Abdeckung gegen ausgeklügelte, verschleierte Bedrohungen zu bieten.

  • Prüft ein- und ausgehenden Datenverkehr mit erweiterten Richtlinien, die es Benutzern ermöglichen, Malware zu stoppen, infizierte Systeme unter Quarantäne zu stellen, Datenexfiltration zu verhindern und laterale Bewegungen zu unterbrechen.

  • Unterstützt Hochverfügbarkeit für einen unterbrechungsfreien Service.

  • Bietet Skalierbarkeit für steigende Lasten, die mehr Rechenressourcen, eine erhöhte Netzwerkbandbreite, um mehr Kundeneinsendungen zu empfangen, und einen großen Speicher für Malware erfordern.

  • Bietet umfassende Prüfungen, umsetzbare Berichte und Inline-Malware-Blockierung.

  • Bietet die Möglichkeit, Mandanteninformationen mithilfe von VRF-Informationen in Protokollen bereitzustellen

Informationen zu Policy Enforcer und Juniper ATP-Cloud

Juniper Networks Security Director umfasst eine Funktion namens Policy Enforcer (PE), mit der die IT aus Bedrohungsbedingungen lernen, die Richtlinienerstellung automatisieren und die Durchsetzung dynamisch auf Juniper Geräten im Netzwerk bereitstellen kann.

Abbildung 4 veranschaulicht den Datenverkehrsfluss zwischen der PE, der Juniper ATP-Cloud und dem MX-Router, der als Firewall fungiert.

  • Policy Enforcer (PE) lernt aus Bedrohungsbedingungen, automatisiert die Richtlinienerstellung und setzt die Durchsetzung auf Juniper Geräten im Netzwerk ein.

  • Juniper Advanced Threat Prevention (Juniper ATP Cloud) schützt alle Hosts in Ihrem Netzwerk durch den Einsatz einer Cloud-basierten Bedrohungserkennungssoftware mit einem Firewall-System der nächsten Generation.

  • Der MX-Router ruft die Bedrohungserkennungs-Feeds vom Policy Enforcer (PE) ab und implementiert diese Richtlinien, um kompromittierte Hosts unter Quarantäne zu stellen. Es besteht aus den folgenden wichtigen Komponenten:

    • Security Intelligence-Prozess

    • Webfilterungsprozess

    • Firewall-Prozess

Abbildung 4: Systemarchitektur System Architecture

Um die Funktionalität der Systemarchitektur zu verstehen, betrachten wir das folgende Beispiel: Wenn ein Benutzer eine Datei aus dem Internet herunterlädt und diese Datei eine MX-Firewall passiert, kann die Datei zur Malware-Prüfung an die Juniper ATP-Cloud-Cloud gesendet werden (abhängig von Ihren Konfigurationseinstellungen). Wenn festgestellt wird, dass es sich bei der Datei um Malware handelt, identifiziert PE die IP-Adresse und MAC-Adresse des Hosts, der die Datei heruntergeladen hat. Basierend auf einer benutzerdefinierten Richtlinie kann dieser Host in ein VLAN unter Quarantäne gestellt oder für den Zugriff auf das Internet gesperrt werden.

Router der MX-Serie können in die Juniper ATP Cloud integriert werden, um zu verhindern, dass kompromittierte Hosts (Botnets) mit Command-and-Control-Servern kommunizieren:

  • Ab Junos OS Version 18.4R1 mit den Adaptive Services als Inline-Sicherheitsfunktion

  • Ab Junos OS Version 19.3R2 mit den Services der nächsten Generation als Inline-Sicherheitsfunktion

Router der MX-Serie können C&C und Geo-IP von einer der folgenden Methoden herunterladen:

  • Indirekte Methode: Der Policy Enforcer fungiert wie ein Feed-Proxy für alle Geräte, die sich in einer definierten Umgebung befinden. Diese Methode ist vorteilhaft, da verhindert wird, dass einzelne Geräte auf Juniper ATP-Cloud-Services im Internet zugreifen. Dadurch wird die Anfälligkeit der Geräte, die sich mit dem Internet verbinden, verringert.

  • Direkte Methode-Router der MX-Serie registrieren sich direkt bei der Juniper ATP-Cloud, um die C&C- und Geo-IP-Feeds herunterzuladen.

Security Intelligence (SecIntel) – Überblick

Der Security Intelligence-Prozess (IPFD) ist für das Herunterladen der Security Intelligence-Feeds und das Parsen vom Feed-Connector oder ATP-Cloud-Cloud-Feed-Server verantwortlich. Der IPFD-Prozess auf den MX-Plattformen ruft die IPv4/IPv6-Feeds für Command and Control vom Policy Enforcer ab. C&C-Feeds sind im Wesentlichen eine Liste von Servern, die als Command-and-Control-Server für Botnets bekannt sind. Die Liste enthält auch Server, die bekannte Quellen für Malware-Downloads sind. Die so abgerufenen Informationen werden in einer Datei (urlf_si_cc_db.txt) gespeichert, die im Verzeichnis /var/db/url-filterd erstellt wird.

Das Dateiformat der unzulässigen IP-Adressen, die von IPFD an den Webfilterungsprozess gesendet werden, lautet wie folgt:

IPv4 address | IPv6 address, threat-level.

Bei handelt threat-level es sich um eine ganze Zahl zwischen 1 und 10, die den Bedrohungsgrad von Dateien angibt, die auf Malware und infizierte Hosts gescannt werden. Hier steht 1 für die niedrigste Bedrohungsstufe und 10 für die höchste Bedrohungsstufe.

Beispiel: 178.10.19.20, 4

Hier gibt 178.10.19.20 die unzulässige IP und 4 die threat-levelan.

Die C&C-Feed-Datenbank wird mit der Backup-Routing-Engine synchronisiert. IPFD gibt die Informationen dann an den Webfilterungsprozess weiter (URL-gefiltert). Der Webfilterungsprozess liest den Dateiinhalt und konfiguriert die Filter entsprechend.

Konfigurieren von Security Intelligence zum Herunterladen des CC-Feeds von Policy Enforcer

Um die Command-and-Control-IPv4/IPv6-Feeds von Juniper ATP Cloud/Policy Enforcer herunterzuladen, fügen Sie die security-intelligence Anweisung in die [edit services] Hierarchie ein, wie im folgenden Beispiel gezeigt:

Webfilterung (URL-gefiltert) – Übersicht

Der Webfilterungsprozess liest den von der IPFD abgerufenen Dateiinhalt und konfiguriert die Filter der Packet Forwarding Engine entsprechend. Der Webfilterungsprozess erzwingt die Befehls- und Steuerungsfeeds, indem er die Filter in der Packet Forwarding Engine so programmiert, dass sie die Pakete blockieren, die für die blockierten IP-Adressen bestimmt sind, und Protokolle für die Meldung des Vorfalls generieren.

Abbildung 5 zeigt die Art und Weise, wie C&C-Feeds von der IPFD abgerufen und dann vom Webfilterungsprozess verarbeitet werden.

Abbildung 5: Webfilterung Web Filtering

Das Webfilterprofil kann mehr als eine Vorlage enthalten. Jede Vorlage besteht aus einem Satz konfigurierter logischer Schnittstellen für die Webfilterung und einem oder mehreren Begriffen. Ein Begriff ist eine Reihe von Übereinstimmungskriterien mit Aktionen, die ausgeführt werden müssen, wenn die Übereinstimmungskriterien erfüllt sind. Um das Webfilterprofil für die Verwendung dynamisch abgerufener C&C-Feeds zu konfigurieren, können Sie den security-intelligence-policy Befehl unter der [edit services web-filter profile profile-name Hierarchieebene konfigurieren. Sie müssen keinen Begriff für ein basiertes security-intelligence-policy Webfilterprofil konfigurieren.

Sie können die folgenden Bedrohungsstufenaktionen für das Webfilterprofil auf Hierarchieebene edit web-filter profile profile-name security-intelligence-policy threat-level threat-level threat-action konfigurieren:

  • drop

  • drop-and-log

  • log

Sie können für threat-action jede threat level. Wenn die nicht für eine bestimmte threat levelkonfiguriert ist, ist der threat-action Standardwert threat-action .accept

Ab Junos OS Version 24.4R1 werden bei Bedrohungen, die mit log Aktion konfiguriert sind, die Bedrohungsstufe und die Mandanten- oder VRF-Informationen in die ausgehenden Syslogs eingebettet. Die Class-of-Service-Richtlinienzuordnungen wurden um ein neues user-attribute integer Schlüsselwort zum Speichern und Angeben der Bedrohungsstufe erweitert.

Sie können die user-attribute integer in der [editi class-of-service policy-map policy-name] Hierarchie konfigurieren.

Die Richtlinienzuordnung wird in jeder Konfiguration der Bedrohungsstufe referenziert, um das neue Benutzerattribut<> dem dfw-Filterbegriff zuzuordnen, der die konfigurierte Aktion für jede Bedrohungsstufe steuert. Die Richtlinienzuordnung wird in der [edit services web-filter profile profile-name security-intelligence-policy threat level integer policy-map policy-name] Hierarchie oder [edit services web-filter profile profile-name url-filter-template template-name security-intelligence-policy threat level integer policy-map policy-name] Hierarchie verwendet, um die Bedrohungsstufe einem Benutzerattribut zuzuordnen.

Zum Beispiel

Siehe auch

  • Sicherheits-Intelligence-Richtlinie
  • Sicherheitsinformationen

Konfigurieren des Webfilterprofils für die Stichprobenentnahme

Ab Junos OS Version 19.3R1 unterstützt der Webfilterungsprozess (url-filterd) das Inline-Sampling von Paketen als Aktion auf Bedrohungsebene. Die Pakete werden basierend auf der von Ihnen konfigurierten Bedrohungsaktion verworfen, protokolliert und beprobt. Für skalierte Szenarien wird das Sampling von Paketen der Protokollierungsoption vorgezogen. Zusammen mit den vorhandenen Bedrohungsstufenaktionen können Sie die folgenden Bedrohungsstufenaktionen im Webfilterprofil auf Hierarchieebene edit web-filter profile profile-name security-intelligence-policy threat-level threat-level threat-action konfigurieren:

  • drop-and-sample

  • drop-log-and-sample

  • log-and-sample

  • sample

Die Inline-Datenstromüberwachung erfasst die Pakete und sendet die Datenstromdatensätze im IPFIX-Format an einen Datenstromsammler. Sie können die Bedrohungsstufe für die am externen Kollektor empfangenen abgetasteten Pakete ableiten, indem Sie die empfangene IP-Adresse aus den abgetasteten Paketen mit dem entsprechenden IP-Eintrag in /var/db/url-filterd/urlf_si_cc_db.txt abgleichen. Sie können die Stichprobenerstellung mit einer der folgenden Methoden konfigurieren:

  • Ordnen Sie dem FPC eine Sampling-Instanz zu, auf der die Medienschnittstelle auf der [edit chassis] Hierarchieebene vorhanden ist. Wenn Sie die Stichprobenerstellung von IPv4-Datenströmen, IPv6-Datenströmen oder VPLS-Datenströmen konfigurieren, können Sie die Größe der Datenflusshash-Tabelle für jede Produktfamilie konfigurieren.

  • Konfigurieren Sie die Vorlageneigenschaften für die Inline-Flow-Überwachung auf Hierarchieebene [edit services flow-monitoring .

  • Konfigurieren Sie eine Samplinginstanz und ordnen Sie die IP-Adresse des Flow-Servers, die Portnummer und die Flow-Exportrate zu, und geben Sie die Collectors auf Hierarchieebene [edit forwarding-options an.

Zuordnen einer Sampling-Instanz zum FPC

Um die definierte Instanz einer bestimmten FPC, MPC oder DPC zuzuordnen, schließen Sie die sampling-instance Anweisung auf der [edit chassis fpc number] Hierarchieebene ein, wie im folgenden Beispiel gezeigt:

Konfigurieren Sie eine Samplinginstanz, und ordnen Sie die Vorlage der Samplinginstanz zu.

Um die Vorlageneigenschaften für die Inline-Datenstromüberwachung zu konfigurieren, schließen Sie die folgenden Anweisungen auf Hierarchieebene edit services flow-monitoring ein, wie im folgenden Beispiel gezeigt:

Konfigurieren Sie die Beispielinstanz, und ordnen Sie die IP-Adresse des Flow-Servers und andere Parameter zu.

So konfigurieren Sie eine Samplinginstanz und ordnen die IP-Adresse des Flow-Servers und andere Parameter zu. Fügen Sie die folgenden Anweisungen in die Hierarchie [edit forwarding-options] ein, wie im folgenden Beispiel gezeigt:

Beispiel: Konfigurieren des Webfilterprofils zum Definieren verschiedener Bedrohungsstufen

Siehe auch

  • Sicherheits-Intelligence-Richtlinie
  • Konfiguration der Datenverkehrsabtastung auf Routern der MX-, M- und T-Serie

GeoIP-Filterung

Überblick

Bei den GeoIP-Feeds handelt es sich im Wesentlichen um eine Liste von Zuordnungen von IP-Adressen zu Ländervorwahlen. Ab Junos OS 21.4R1 können Sie IP-basierte geografische Standorte auf Routern der MX-Serie konfigurieren, um die GeoIP-Feeds von Policy Enforcer abzurufen. Durch die Bereitstellung der GeoIP-Feeds können Sie das Netzwerk so aktivieren, dass Geräte nicht mit IP-Adressen kommunizieren, die zu bestimmten Ländern gehören.

Sie können den Security Intelligence Process (IPFD) auf Routern der MX-Serie so konfigurieren, dass die GeoIP-Feeds von Policy Enforcer abgerufen werden. Ähnlich wie bei bestehenden C&C-IP- oder IPv6-Feeds lädt IPFD die GeoIP-Feeds vom Policy Enforcer herunter. IPFD übersetzt den Feed in das Dateiformat, das anschließend vom Webfilterungsprozess verarbeitet wird (URL-filterd).

Ab Junos OS 22.1R1 können Sie den Security Intelligence Process (IPFD) auf Routern der MX-Serie so konfigurieren, dass die GeoIP-Feeds aus der Juniper ATP-Cloud abgerufen werden. Ähnlich wie bei bestehenden C&C-IP- oder IPv6-Feeds lädt IPFD die GeoIP-Feeds aus der Juniper ATP-Cloud herunter.

So konfigurieren Sie die GeoIP-Filterung auf Routern der MX-Serie

Die von der IPFD abgerufenen Informationen werden in einer Datei (urlf_si_geoip_db.txt) gespeichert, die am Speicherort /var/db/url-filterd erstellt wird.

Das Format der Datei, die von IPFD an den Webfilterungsprozess gesendet wird, ist wie folgt:

IPv4 address|IPv6 address,Prefix,threat-level,VRF-name,Gen-num. Gen-num ist immer 0. VRF-name bezieht sich auf einen Ländercode.

Beispiel: 178.10.19.22,12,255,US,0

IPFD und der Webfilterungsprozess unterhalten eine pconn-Verbindung für die Kommunikation über die Erstellung oder Aktualisierung von Dateien, die GeoIP-Feeds enthalten. Der Webfilterungsprozess erzwingt die GeoIP-Feeds, indem er die Filter in der PFE so programmiert, dass sie die Pakete blockieren, die für die blockierten Länder bestimmt sind. Die von liburlf bereitgestellten APIs werden verwendet, um die Dateien zu validieren und zu analysieren.

Der Webfilterungsprozess liest die Datei, die die Liste der IP-Adressen enthält, und die PFE-Filter werden mit den im Feed aufgeführten Ziel-IP-Adressen und der für das zugeordnete Land konfigurierten Aktion programmiert.

  • Globaler Filter: Länder werden innerhalb eines Profils nach einer globalen Regel konfiguriert. Alle IP-Adressen für Länder, die für diese globale Regel spezifisch sind, werden in einem einzigen Filter programmiert und auf alle Vorlagen im Profil angewendet. Sie können ein Profil für das dynamische Abrufen von GeoIP-Feeds konfigurieren, indem Sie in der [edit services web-filter profile profile-name security-intelligence-policy] Hierarchie konfigurierengeo-ip rule match country country-name.

  • Gruppenfilter: Ländergruppen werden unter einer Vorlage konfiguriert. Alle IP-Adressen, die den Ländern für eine Gruppe zugeordnet sind, werden in einem Gruppenfilter programmiert, der auf die Vorlagen angewendet wird, unter denen diese Gruppe konfiguriert ist. Gruppe ist eine Liste von Ländern, die in einer JSON-Datei definiert sind, die von liburlf analysiert wird.

    Um einen Gruppenfilter zu konfigurieren, müssen Sie eine JSON-Datei am Speicherort /var/db/url-filterd konfigurieren, in dem die group.json Datei die Gruppenzuordnungen enthält.

    Das Format der JSON-Datei ist wie folgt:

    [

    {

    "group_name" : "group1",

    "country" : ["ZA","YE"]

    },

    {

    "group_name" : "group2",

    "country" : ["YT"]

    }

    ]

    Zum dynamischen Abrufen von GeoIP-Feeds können Sie einen globalen Filter mit einem einzelnen Profil oder mehrere Gruppenfilter mithilfe von Vorlagen konfigurieren. Beide Konfigurationen werden nicht zusammen unterstützt.

    Auf die in der JSON-Datei erstellten Gruppen wird in der in der [edit services web-filter profile profile-name url-filter-template template-name security-intelligence-policy geo-ip rule match group group-name] Hierarchie definierten GeoIP-Übereinstimmungsklausel verwiesen.

Globale Zulassungsliste und globale Sperrliste

Sie können den IP-Feed anpassen, indem Sie Ihre eigene Zulassungs- und Sperrliste hinzufügen. Dies kann hilfreich sein, um Intelligence-Feeds zu verwalten, die auf Ihre Sicherheitszentrale zugeschnitten sind, oder als vorübergehende Maßnahme für Fehlalarme. Ab Junos OS Version 21.4R1 können Sie bestimmte IP-Adressen basierend auf der Konfiguration über eine CLI oder eine Datei zulassen oder blockieren. Sie können entweder eine separate Liste für die Zulassungsliste und eine separate Liste für die Sperrliste konfigurieren oder die IP-Adressen in eine Datei aufnehmen und den Dateinamen in die CLI-Konfiguration aufnehmen.

Sie können eine IP-address-list in der Hierarchie [edit services web-filter] anlegen. Hier ist die Liste der IP-Adressen enthalten, IP-address-list die zugelassen oder blockiert werden müssen. Sie können auch eine Datei erstellen, die die IP-Adressen enthält, die am Speicherort /var/db/url-filterd zugelassen oder blockiert werden müssen. Die IP-Adressen, die als Teil der Datei- oder IP-Adressliste konfiguriert sind, werden als Teil des globalen Filters programmiert, der an alle Vorlagen angehängt ist.

Sie können eine globale Zulassungsliste definieren, indem Sie die Konfiguration in der Hierarchie edit services web-filter profile profile-name security-intelligence-policy vornehmenwhite-list (IP-address-list | file-name) . Sie können eine globale Blockliste definieren, indem Sie die in black-list (IP-address-list | file-name) der edit services web-filter profile profile-name security-intelligence-policy Hierarchie konfigurieren. Hier bezieht sich , IP-address-listauf den Namen der IP-Adressliste, die in der Hierarchie [edit services web-filter] angegeben ist. Das file-name bezieht sich auf den Namen der Datei, die die Liste der IP-Adressen enthält, die zugelassen oder blockiert werden müssen. Die Datei muss sich im Speicherort /var/db/url-filterd befinden und den gleichen Namen wie in der Konfiguration haben.

Das Format der globalen Zulassungslistendatei lautet wie folgt:

Security Intelligence Policy Enforcement Version 2.0

Das Format der globalen Blocklistendatei lautet wie folgt:

Security Intelligence Policy Enforcement Version 2.0

Bei der Webfilterung wird die Liste der IP-Adressen auf der globalen Zulassungsliste oder der globalen Sperrliste analysiert und die impliziten Filterbegriffe mit den konfigurierten IP-Adressen programmiert, um die Pakete entweder zuzulassen oder zu blockieren.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
19.3R2
Ab Junos OS Version 19.3R2 wird dieselbe Funktion auch für Services der nächsten Generation auf MX240, MX480 und MX960 unterstützt.
19.3R2
Ab Junos OS Version 19.3R2 ist dieselbe Funktionalität auch für Geräte der nächsten Generation auf MX240, MX480 und MX960 verfügbar.
19.3R2
Ab Junos OS Version 19.3R2 können Sie die DNS-Filterung konfigurieren, wenn Sie Services der nächsten Generation mit der MX-SPC3-Servicekarte ausführen. Services der nächsten Generation werden auf MX240-, MX480- und MX960-Routern unterstützt.
19.3R2
Ab Junos OS Version 19.3R2 mit den Services der nächsten Generation als Inline-Sicherheitsfunktion
19.3R1
Ab Junos OS Version 19.3R1 unterstützt der Webfilterungsprozess (URL-gefiltert) das Inline-Sampling von Paketen als Aktion auf Bedrohungsebene
18.4R1
Ab Junos OS Version 18.4R1 mit den Adaptive Services als Inline-Sicherheitsfunktion
18.3R1
Ab Junos OS Version 18.3R1 für adaptive Services. Konfigurieren Sie das Profil auf Hierarchieebene [edit services web-filter] . Konfigurieren Sie das Profil vor Junos OS Version 18.3 R1 auf Hierarchieebene [edit services url-filter] .
17.2R2
Ab Junos OS Version 17.2R2 und 17.4R1 können Sie für Adaptive Services das Filtern von HTTP-Datenverkehr deaktivieren, der eine eingebettete IP-Adresse (z. B. http:/10.1.1.1) enthält, die zu einem unzulässigen Domänennamen in der URL-Filterdatenbank gehört.