Übersicht über die Webfilterung
Mit der Webfilterung können Sie die Internetnutzung verwalten, indem Sie den Zugriff auf unangemessene Webinhalte verhindern. Es gibt drei Arten von Webfilterlösungen:
Webfilterung umleiten: Die Webfilterlösung für Umleitungen fängt HTTP- und HTTPS-Anforderungen ab und sendet sie an einen externen URL-Filterserver, der von Websense bereitgestellt wird, um zu bestimmen, ob die Anforderungen blockiert werden sollen.
Für die Weiterleitungs-Webfilterung ist keine Lizenz erforderlich.
Lokale Webfilterung: Die lokale Webfilterlösung fängt jede HTTP-Anforderung und die HTTPS-Anforderung in einer TCP-Verbindung ab. In diesem Fall erfolgt die Entscheidungsfindung auf dem Gerät, nachdem es eine URL gesucht hat, um festzustellen, ob es sich basierend auf seiner benutzerdefinierten Kategorie in der Zulassungsliste oder Blockierliste befindet.
Für die lokale Webfilterung ist weder eine Lizenz noch ein Remote-Kategorieserver erforderlich.
Erweiterte Webfilterung: Die erweiterte Webfilterlösung fängt die HTTP- und HTTPS-Anforderungen ab und sendet die HTTP-URL oder die HTTPS-Quell-IP an die Websense ThreatSeeker Cloud (TSC). Der TSC kategorisiert die URL in eine der 151 oder mehr vordefinierten Kategorien und stellt außerdem Informationen zur Website-Reputation bereit. Der TSC gibt außerdem die URL-Kategorie und die Site-Reputationsinformationen an das Gerät zurück. Das Gerät bestimmt anhand der vom TSC bereitgestellten Informationen, ob es die Anforderung zulassen oder blockieren kann.
Ab Junos OS Version 17.4R1 unterstützt Websense-Umleitungen IPv6-Datenverkehr.
Ab Junos OS Version 22.2R1 verwendet die Webfilterung JDPI-Decoder-Unterstützung für die Verarbeitung der Anwendungsdaten. JDPI-Decoder benötigt eine APPID-Lizenz. Um die lokale Webfilterung ohne APPID-Lizenz zu verwenden, können Sie den set security utm default-configuration web-filtering performance-mode Befehl verwenden, der den JDPI-Decoder deaktiviert und den WF-Decoder aktiviert. Dieser Befehl erfordert einen Neustart des Systems.
Sie können entweder Webfilterprofile und/oder Antivirusprofile an eine Firewallrichtlinie binden. Wenn beide an eine Firewallrichtlinie gebunden sind, wird zuerst die Webfilterung und dann der Virenschutz angewendet. Wenn eine URL durch Webfilterung blockiert wird, wird die TCP-Verbindung geschlossen, und es ist keine Antivirenüberprüfung erforderlich. Wenn eine URL zugelassen wird, wird der Inhalt der Transaktion an den Antivirus-Scan-Prozess übergeben.
Die Webfilterung wird nach TCP-Portnummer angewendet.
Die Webfilterung unterstützt das HTTPS-Protokoll. Die Webfilterlösung verwendet die IP-Adresse des HTTPS-Pakets, um Entscheidungen über Sperrlisten, Zulassungslisten, Genehmigungen oder Sperren zu treffen.
Während einer Blockierungsentscheidung generiert die Webfilterlösung keine Blockseite, da der Klartext für eine HTTPS-Sitzung nicht verfügbar ist. Die Lösung beendet jedoch die Sitzung und sendet für die blockierten HTTPS-Sitzungen Zurücksetzungen an den Client und den Server.
Die Webfilterkonfiguration für HTTP gilt auch für HTTPS-Sitzungen.
Der CLI-Befehl sessions-per-client limit , der eine Sitzungsdrosselung erzwingt, um zu verhindern, dass ein böswilliger Benutzer gleichzeitig große Mengen an Datenverkehr generiert, unterstützt keine Webfilterung.
Ab Junos OS Version 15.1X49-D100 wird IPv6-Pass-Through-Datenverkehr für HTTP-, HTTPS-, FTP-, SMTP-, POP3- und IMAP-Protokolle für die Sicherheitsfunktionen Webfilterung und Inhaltsfilterung von Content Security unterstützt.
Unterstützung für Server Name Indication (SNI)
SNI ist eine Erweiterung des SSL/TLS-Protokolls, um anzugeben, welchen Servernamen der Client über eine HTTPS-Verbindung kontaktiert. SNI fügt den tatsächlichen Hostnamen des Zielservers in die "Client Hello"-Nachricht im Klartextformat ein, bevor der SSL-Handshake abgeschlossen ist. Die Webfilterung schließt SNI-Informationen in die Abfrage ein. In dieser Implementierung enthält die SNI nur den Servernamen und nicht die vollständige URL des Servers. Die Unterstützung von SNI verbessert die Webfilterfunktion, da die ausschließliche Verwendung der Ziel-IP-Adresse in der Abfrage zu ungenauen Ergebnissen führen kann, da mehrere HTTP-Server dieselbe Host-IP-Adresse verwenden können.
Mit SNI-Unterstützung analysiert die Webfilterung das erste Paket des HTTPS-Datenverkehrs als "Client Hello"-Nachricht, extrahiert den Servernamen aus der SNI-Erweiterung und verwendet den Servernamen zusammen mit der Ziel-IP-Adresse, um die Abfrage zu verwalten/auszuführen. Wenn dieses Paket keine SNI-Erweiterung hat oder während der Analyse ein Fehler auftritt, wird bei der Webfilterung wieder nur die Ziel-IP-Adresse verwendet.
Wenn in der Webfilterung (EWF) die HTTPS-Sitzung mit SSL-Forward-Proxy aktiviert ist, wird die Server Name Indication (SNI) vor der Webfilterung abgerufen und als Antwort für die Vorabfrage, die Site-Reputation und die Kategorie verwendet. Wenn der Cache aktiviert ist, füllen diese Antworten den Cache ohne jegliche Aktion. EWF extrahiert den vollständigen Pfad und prüft, ob ein Cache vorhanden ist. Wenn der vollständige Pfad im Cache nicht übereinstimmt, sendet die EWF eine Abfrage.
Die SNI-Funktionalität ist standardmäßig für alle Arten der Webfilterung aktiviert, sodass keine zusätzliche Konfiguration über die CLI erforderlich ist.
Tabelle "Änderungshistorie"
Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.