AUF DIESER SEITE
Filterung von Inhalten
Das Filtern von Inhalten bietet grundlegende Funktionen zur Vermeidung von Datenverlust. Das Filtern von Inhalten filtert den Datenverkehr basierend auf MIME-Typ, Dateierweiterung und Protokollbefehlen. Sie können auch das Modul zum Filtern von Inhalten verwenden, um ActiveX, Java-Applets und andere Content-Typen zu blockieren. Für das Filtern von Inhalten ist keine separate Lizenz erforderlich. Weitere Informationen finden Sie in den folgenden Themen:
Inhaltsfilterung – Übersicht
Filterung von Inhalten nach Dateityp
Bisher wurden Inhaltsfilter durchgeführt, um bestimmte Datenverkehrstypen basierend auf MIME-Typ, Dateierweiterung und Protokollbefehl zu blockieren oder zuzulassen. Der Inhaltsfilter steuert Dateiübertragungen über das Gateway, indem er den Datenverkehr mit konfigurierten Filterlisten abgleicht. Diese Art der Auswertung basierend auf dem Dateityp wird nur auf Junos OS-Versionen vor Junos OS Version 21.4R1 unterstützt.
Ab Junos OS Version 21.4R1 erfolgt die Inhaltsauswertung auf Basis des Dateiinhalts. Die dateitypbasierte Auswertung von Inhalten ist veraltet und die zugehörigen Konfigurationen werden ausgeblendet.
Sie können die Legacyfunktionalität verwenden, wenn Sie nicht zu erweiterten Inhaltsfilterfunktionen migrieren möchten. Sie dürfen die Legacy-Konfigurationen verwenden, aber alle Legacy-Konfigurationsknöpfe sind veraltet und ausgeblendet. Außerdem erhalten Sie Systemprotokolle und Fehlermeldungswarnungen, wenn Sie die Legacykonfigurationsoptionen verwenden.
Bei dieser Art der Auswertung wertet das Inhaltsfiltermodul den Datenverkehr vor allen anderen Content Security-Modulen aus, mit Ausnahme der Webfilterung. Wenn also der Datenverkehr die im Inhaltsfilter konfigurierten Kriterien erfüllt, wird der Inhaltsfilter zuerst auf diesen Datenverkehr angewendet.
Sie können die folgenden Arten von Inhaltsfiltern konfigurieren:
-
MIME-Musterfilter – MIME-Muster werden verwendet, um den Datenverkehrstyp in HTTP- und MAIL-Protokollen zu identifizieren. Es gibt zwei Listen von MIME-Mustern, die vom Inhaltsfilter verwendet werden, um die auszuführende Aktion zu bestimmen. Die Block-MIME-Liste enthält eine Liste des MIME-Typ-Datenverkehrs, der durch den Inhaltsfilter blockiert werden soll. Die MIME-Ausnahmeliste enthält MIME-Muster, die nicht durch den Inhaltsfilter blockiert werden sollen und in der Regel Teilmengen von Elementen auf der Blockierliste sind. Beachten Sie, dass die Ausnahmeliste eine höhere Priorität hat als die Blockliste. Wenn Sie MIME-Einträge haben, die in beiden Listen angezeigt werden, werden diese MIME-Typen nicht durch den Inhaltsfilter blockiert, da die Ausnahmeliste Vorrang hat. Daher ist es für Sie von Vorteil, wenn Sie Elemente zur Ausnahmeliste hinzufügen, wenn Sie spezifisch sind.
-
Liste der Blockerweiterungen – Da der Name einer Datei während der Dateiübertragung verfügbar ist, ist die Verwendung von Dateierweiterungen eine sehr praktische Möglichkeit, Dateiübertragungen zu blockieren oder zuzulassen. Die Inhaltsfilterliste enthält eine Liste der Dateierweiterungen, die blockiert werden sollen. Alle Protokolle unterstützen die Verwendung der Blockerweiterungsliste.
-
Block- und Zulassungslisten für Protokollbefehle – Verschiedene Protokolle verwenden unterschiedliche Befehle für die Kommunikation zwischen Servern und Clients. Durch das Blockieren oder Zulassen bestimmter Befehle kann der Datenverkehr auf Protokollbefehlsebene gesteuert werden.
Die Befehlslisten "Blockieren" und "Zulassen" sind für die Verwendung in Kombination vorgesehen, wobei die Genehmigungsliste als Ausnahmeliste für die Sperrliste fungiert.
Wenn ein Protokollbefehl sowohl in der Zulassungsliste als auch in der Sperrliste angezeigt wird, ist dieser Befehl zulässig.
Beginnend mit Junos OS Version 15.1X49-D100 wird IPv6-Pass-Through-Datenverkehr für die Protokolle HTTP, FTP, SMTP, POP3 und IMAP für die Sicherheitsfunktionen Webfilterung und Inhaltsfilterung von Content Security unterstützt.
Da nicht alle schädlichen Dateien oder Komponenten durch den MIME-Typ oder die Dateierweiterung gesteuert werden können, können Sie auch das Modul zum Filtern von Inhalten verwenden, um ActiveX, Java-Applets und andere Content-Typen zu blockieren. Die folgenden Arten der Inhaltsblockierung werden nur für HTTP unterstützt:
-
ActiveX blockieren
-
Java-Applets blockieren
-
Cookies blockieren
-
Blockieren von EXE-Dateien
-
Blockieren von ZIP-Dateien
Filterung von Inhalten auf der Grundlage von Dateiinhalten
Das Filtern von Inhalten wurde bisher basierend auf Dateityp, MIME-Typ, Inhaltstyp und Protokollbefehl durchgeführt. Die Dateierkennung mit MIME-Typ, Protokollbefehlsfiltern oder Dateierweiterungsfiltern ist nicht immer zuverlässig. Der einfachste Weg, einen Dateityp zu identifizieren, ist die Dateinamenerweiterung, aber er ist nicht authentisch, da jeder Art von Datei eine beliebige Erweiterung zugewiesen werden kann.
Ab Junos OS Version 21.4R1 führt Content Security eine Inhaltsfilterung durch, um den Dateityp anhand des Dateiinhalts und nicht anhand der Dateierweiterungen zu bestimmen. Der Dateiinhalt wird zunächst analysiert, um den Dateityp genau zu bestimmen. Diese Funktion ergänzt die Anwendungsidentifizierung (App-ID) und ermöglicht es Ihnen, die Firewall für die Identifizierung und Steuerung des Zugriffs auf Webdatenverkehr (HTTP und HTTPS) zu konfigurieren und Ihr Netzwerk vor Angriffen zu schützen. Wenn die endgültige Anwendungsübereinstimmung durch die App-ID bestätigt wird, wird die übereinstimmende Content Security-Richtlinie für die Inhaltsfilterung berücksichtigt.
Das Filtern von Inhalten basierend auf dem Dateiinhalt wird wie folgt durchgeführt:
-
Dateiidentifikation: Für jeden Dateityp werden Regeln definiert, um den Inhalt zu untersuchen und den Dateityp zu bestimmen. Der Content Security-Prozess verwendet den Dateiinhalt und gleicht ihn mit den Regeln ab, die zur Bestimmung des Dateityps definiert wurden.
-
Definieren von Regeln zum Filtern von Inhalten für die Datenverkehrsrichtung: Der Content Security-Prozess liest die Konfiguration aus der CLI, analysiert und interpretiert Regelsätze und Regeln. Sie können die Regeln zum Filtern von Inhalten definieren und die Regeln erzwingen, um den Datenverkehr zu leiten.
Regelsatz- und Regelkonfigurationen werden unter der
[edit security utm utm-policy <utm-policy-name> content-filtering]Hierarchieebene hinzugefügt.Sie können die Option zum Zurücksetzen der Verbindung in der Inhaltsfilterregel konfigurieren. Wenn der in der Regel aufgeführte Inhalt erkannt wird, führen Protokollhandler das Zurücksetzen der TCP-Verbindung mit dem Client und dem Server genau wie in der Richtlinie konfiguriert durch.
Anmerkung:Filteroptionen für Inhalte, die auf MIME-Type, Content-Type und Protokollbefehl basieren, werden nicht unterstützt. Nach dem Upgrade auf Junos OS Version 21.4R1 werden zuvor vorhandene auf Dateierweiterungen basierende Filteroptionen für Inhalte unter den
[edit security utm utm-policy <utm-policy-name> content-filtering]Hierarchien und[edt security utm feature-profile content-filtering profile <profile-name>nicht unterstützt. - Verwenden Sie die Regeln und Regelsätze, die für das Filtern von Inhalten definiert sind: Sie können die oben definierten Regeln und Regelsätze aus der
[edit security utm default-configuration content-filteringHierarchie verwenden. Mit diesen Regeln und Regeln können Sie richtungsspezifische Inhaltsfilter und das Zurücksetzen von Verbindungen konfigurieren. -
Auswahl der Content Security-Richtlinie für die Inhaltsfilterung: Sobald die endgültige Anwendungsübereinstimmung durch die APP-ID bestätigt wurde, wird die übereinstimmende potenzielle Content Security-Richtlinie, in der Filterregeln für Inhalte definiert sind, für die Verarbeitung ausgewählt.
Für jede Content Security-Richtlinie wird eine Kette mit einer Liste von Regelsatzknoten erstellt, und alle Regeln, die unter einem Regelsatz konfiguriert sind, werden zu einer Liste hinzugefügt und dann an den jeweiligen Regelsatzknoten angehängt.
Nachdem alle Überprüfungen bestanden wurden, wird jedem Regelsatz und jeder Regel, die so konfiguriert sind, dass die entsprechenden Informationen im lokalen Speicher erhalten und organisiert werden, eine eindeutige ID zugewiesen. Dieser Speicher im lokalen Speicher ist erforderlich, um die von Ihnen vorgenommenen Konfigurationsänderungen nachzuverfolgen und die Updates zu synchronisieren.
-
Überprüfung: Verwenden Sie die folgenden Befehle, um die Statistiken und Fehler des Inhaltsfiltersystems anzuzeigen.
-
Um Statistiken zum Filtern von Inhalten in einer Richtlinie innerhalb von root-logical-system anzuzeigen, verwenden Sie die
show security utm content-filtering statistics utm policy <utm policy name>Befehle undshow security utm content-filtering statistics root-logical-system utm-policy <utm policy name>. -
Verwenden Sie den
show security utm content-filtering statistics logical-system <logical-system-name> utm-policy <utm policy name>Befehl, um Statistiken zum Filtern von Inhalten in einer Richtlinie innerhalb eines angegebenen logischen Systems anzuzeigen.
-
Wenn Sie zu dieser neuen Funktion migrieren und Legacy-Optionen in Ihren Konfigurationen vorhanden sind, erhalten Sie die folgenden Fehlermeldungen, und der Commit schlägt fehl.
Veraltete Funktionen können nicht mit einer erweiterten Inhaltsfilterung (Regelsatz/Regel)\n") kombiniert werden; Entfernen Sie die Konfiguration, die als veraltet markiert ist, um voranzukommen (Für Details: show security utm)\n")Sie können die älteren Funktionen zum Filtern von Inhalten verwenden, wenn Sie nicht zur erweiterten Inhaltsfilterfunktion migrieren möchten. Die Legacykonfigurationsoptionen sind veraltet und werden ausgeblendet. Sie erhalten die folgende Fehlermeldung, wenn Sie die veralteten Legacyoptionen verwenden.
ERRMSG ("Die Konfiguration \'%s\' ist veraltet", "security utm utm-policy <> content-filtering http-profile")Nützt
-
Bietet sicheren Webzugriff und schützt Ihr Netzwerk vor Angriffen durch genau erkannte Dateitypen in den Inhaltsfilterregeln.
-
Steuert den Datenverkehr, der Ihr Netzwerk durchläuft, und setzt Regeln für die Inhaltsfilterung basierend auf der Datenverkehrsrichtung durch.
-
Verbesserte Protokollmeldungen, die Informationen zur Benutzer- und Quellidentität, Sitzungs-ID und Paketrichtung enthalten.
Ab Junos OS Version 22.4R1 ist das Content Security Modul zum Filtern von Inhalten in den JDPI-Parser integriert, und die JDPI-Kontexte werden verwendet, um die Funktionen zum Filtern von Inhalten aufzurufen.
Inhaltssicherheit, Inhaltsfilterung, Paket- und Stream-Plug-ins wurden hinzugefügt, um den reinen Datenverkehr zu verarbeiten.
Beim Ausführen von Aktionen für E-Mail-Protokolle wird die TCP-Proxyabhängigkeit entfernt. notify-mail-sender Die CLI-Konfiguration wird für E-Mail-Protokolle nicht mehr unterstützt.
Siehe auch
Grundlegendes zur Unterstützung des Content Filtering Protocol
Jedes unterstützte Protokoll kann verfügbare Inhaltsfilter unterschiedlich implementieren. Nicht alle Filterfunktionen werden für jedes Protokoll unterstützt. Dieses Thema enthält die folgenden Abschnitte:
HTTP-Unterstützung
Das HTTP-Protokoll unterstützt alle Funktionen zum Filtern von Inhalten. Bei HTTP verbleibt der Inhaltsfilter im Gateway und überprüft jede Anforderung und Antwort zwischen HTTP-Client und -Server.
Wenn eine HTTP-Anforderung aufgrund der Inhaltsfilterung verworfen wird, erhält der Client eine Antwort wie die folgende:
<custom drop message/user-configured drop message>.<src_port><dst_ip>:<dst_port>Download request was dropped due to <reason>
Daher kann eine Meldung wie folgt aussehen:
Juniper Networks Firewall Content Filtering blocked request. 5.5.5.1:80->4.4.4.1:55247 Download request was dropped due to file extension block list
FTP-Unterstützung
Das FTP-Protokoll unterstützt nicht alle Funktionen zum Filtern von Inhalten. Es unterstützt nur Folgendes: Block Extension List und Protocol Command Block List.
Wenn eine FTP-Anforderung durch die Inhaltsfilterung blockiert wird, wird die folgende Antwort über den Steuerungskanal gesendet:
550 <src_ip>:<src_port>-<dst_ip>:<dst_port><custom drop message/user-configured drop message> for Content Filtering file extension block list.>
Daher kann eine Meldung wie folgt aussehen:
550 5.5.5.1:21->4.4.4.1:45237 Requested action not taken and the request is dropped for Content Filtering file extension block list
E-Mail-Support
E-Mail-Protokolle (SMTP, IMAP, POP3) bieten eine eingeschränkte Unterstützung für die Inhaltsfilterung für die folgenden Funktionen: Blockerweiterungsliste, Protokollbefehlsblockierungsliste und MIME-Musterfilterung. Die Unterstützung für E-Mail-Protokolle ist aus folgenden Gründen eingeschränkt:
Der Inhaltsfilter durchsucht nur eine Ebene eines E-Mail-Headers. Daher werden rekursive E-Mail-Header und verschlüsselte Anhänge nicht gescannt.
Wenn eine gesamte E-Mail MIME-kodiert ist, kann der Inhaltsfilter nur nach dem MIME-Typ suchen.
Wenn ein Teil einer E-Mail aufgrund der Inhaltsfilterung blockiert wird, wird die ursprüngliche E-Mail gelöscht und durch eine Textdatei mit einer Erklärung ersetzt, warum die E-Mail blockiert wurde.
Ab Junos OS Version 19.4R1 unterstützt die Antiviren- und Inhaltsfilterfunktion implizite und explizite SMTPS-, IMAPS- und POP3S-Protokolle und unterstützt nur explizites FTPS im passiven Modus.
Impliziter Modus: Stellen Sie über einen sicheren Kanal eine Verbindung zu einem SSL/TLS-verschlüsselten Port her.
Explicit Mode: Stellen Sie zuerst eine Verbindung zu einem ungesicherten Kanal her und sichern Sie dann die Kommunikation durch Ausgabe des STARTTLS-Befehls. Verwenden Sie für POP3S den STLS-Befehl.
Siehe auch
Festlegen von Protokollen zum Filtern von Inhalten (CLI-Verfahren)
Verwenden Sie die folgenden CLI-Konfigurationsanweisungen, um Inhaltsfilterprotokolle zu konfigurieren:
content-filtering {
profile name {
permit-command cmd-list
block-command cmd-list
block-extension file-ext-list
block-mime {
list mime-list
exception ex-mime-list
}
block-content-type {
activex
java-applet
exe
zip
http-cookie
}
notification-options {
type { message }
notify-mail-sender
custom-message msg
}
}
traceoptions {
flag {
all
basic
detail
}
}
}
Konfigurationsübersicht für die Inhaltsfilterung
Ein Inhaltssicherheitsfilter blockiert oder lässt bestimmte Arten von Datenverkehr basierend auf dem MIME-Typ, der Dateierweiterung, den Protokollbefehlen und dem eingebetteten Objekttyp zu. Der Inhaltsfilter steuert Dateiübertragungen über das Gateway, indem er den Datenverkehr mit konfigurierten Filterlisten abgleicht. Das Inhaltsfiltermodul wertet den Datenverkehr vor allen anderen Inhaltssicherheitsmodulen aus. Wenn der Datenverkehr die im Inhaltsfilter konfigurierten Kriterien erfüllt, wirkt der Inhaltsfilter zuerst auf diesen Datenverkehr. Im folgenden Verfahren ist die empfohlene Reihenfolge aufgeführt, in der Sie Inhaltsfilter konfigurieren sollten:
Beispiel: Konfigurieren von benutzerdefinierten Objekten zum Filtern von Inhalten
In diesem Beispiel wird gezeigt, wie benutzerdefinierte Objekte zum Filtern von Inhalten konfiguriert werden.
Anforderungen
Bevor Sie beginnen:
Entscheiden Sie sich für die Art des Inhaltsfilters, den Sie benötigen. Weitere Informationen finden Sie unter Übersicht über das Filtern von Inhalten.
Verstehen Sie die Reihenfolge, in der die Parameter für das Filtern von Inhalten konfiguriert werden. Weitere Informationen finden Sie unter Übersicht über die Konfiguration der Inhaltsfilterung.
Überblick
In diesem Beispiel definieren Sie benutzerdefinierte Objekte, die zum Erstellen von Inhaltsfilterprofilen verwendet werden. Sie führen die folgenden Aufgaben aus, um benutzerdefinierte Objekte zu definieren:
Erstellen Sie zwei Protokollbefehlslisten mit den Namen ftpprotocom1 und ftpprotocom2, und fügen Sie Benutzer-, Pass-, Port- und Typbefehle hinzu.
Erstellen Sie eine Dateinamenerweiterungsliste mit dem Namen extlist2, und fügen Sie ihr die Erweiterungen .zip, .js und VBS hinzu.
Definieren Sie eine Block-MIME-Liste, rufen Sie cfmime1 auf und fügen Sie der Liste Muster hinzu.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security utm custom-objects protocol-command ftpprotocom1 value [user pass port type] set security utm custom-objects protocol-command ftpprotocom2 value [user pass port type] set security utm custom-objects filename-extension extlist2 value [zip js vbs] set security utm custom-objects mime-pattern cfmime1 value [video/quicktime image/x-portable-anymap x-world/x-vrml] set security utm custom-objects mime-pattern ex-cfmime1 value [video/quicktime-inappropriate]
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie benutzerdefinierte Objekte zum Filtern von Inhalten:
Erstellen Sie zwei Protokollbefehlslisten.
[edit security utm] user@host# set custom-objects protocol-command ftpprotocom1 [edit security utm] user@host# set custom-objects protocol-command ftpprotocom2
Fügen Sie der Liste Protokollbefehle hinzu.
[edit security utm] user@host# set custom-objects protocol-command ftpprotocom1 value [user pass port type] [edit security utm] user@host# set custom-objects protocol-command ftpprotocom2 value [user pass port type]
Erstellen Sie eine Liste mit Dateinamenerweiterungen.
[edit security utm] user@host# set custom-objects filename-extension extlist2
Fügen Sie der Liste Erweiterungen hinzu.
[edit security utm] user@host# set custom-objects filename-extension extlist2 value [zip js vbs]
Erstellen Sie Antiviren-Scan-Listen.
[edit security utm] user@host# set custom-objects mime-pattern cfmime1 user@host# set custom-objects mime-pattern ex-cfmime1
Fügen Sie den Listen Muster hinzu.
[edit security utm] user@host# set custom-objects mime-pattern cfmime1 value [video/quicktime image/x-portable-anymap x-world/x-vrml] user@host# set custom-objects mime-pattern ex-cfmime1 value [video/quicktime-inappropriate]
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security utm Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
userhost#show security utm
custom-objects {
mime-pattern {
cfmime1 {
value [ video/quicktime image/x-portable-anymap x-world/x-vrml ];
}
ex-cfmime1 {
value video/quicktime-inappropriate;
}
}
filename-extension {
extlist2 {
value [ zip js vbs ];
}
}
protocol-command {
ftpprotocom1 {
value [ user pass port type ];
}
}
protocol-command {
ftpprotocom2 {
value [ user pass port type ];
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Beispiel: Konfigurieren von Inhaltsfilterungsrichtlinien
In diesem Beispiel wird beschrieben, wie Sie eine Content Security-Richtlinie zum Filtern von Inhalten erstellen, die an Ihr Featureprofil angefügt wird.
Anforderungen
Bevor Sie beginnen:
Entscheiden Sie sich für die Art des Inhaltsfilters, den Sie benötigen. Weitere Informationen finden Sie unter Übersicht über das Filtern von Inhalten.
-
Konfigurieren Sie benutzerdefinierte Content Security-Objekte für jedes Feature, und definieren Sie das Profil zum Filtern von Inhalten. Weitere Informationen finden Sie unter Übersicht über die Konfiguration der Inhaltsfilterung.
Überblick
Sie konfigurieren Content Security-Richtlinien, um selektiv verschiedene Content Security-Lösungen für den Netzwerkdatenverkehr zu erzwingen, der über ein Content Security-fähiges Gerät geleitet wird. Mithilfe von Funktionsprofilen ordnen Sie diesen Richtlinien benutzerdefinierte Objekte zu und geben an, dass bestimmte Datenverkehrstypen blockiert oder zugelassen werden sollen.
In diesem Beispiel konfigurieren Sie eine Content Security-Richtlinie mit dem Namen utmp4 und weisen dieser Richtlinie dann das vorkonfigurierte Featureprofil confilter1 zu.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie eine Inhaltssicherheitsrichtlinie zum Filtern von Inhalten:
Sie können verschiedene Protokollanwendungen in der Content Security-Richtlinie konfigurieren. Das Beispiel zeigt nur HTTP und keine anderen Protokolle. Zuvor haben Sie benutzerdefinierte Objekte für FTP (ftpprotocom1 und ftpprotocom2) konfiguriert. Als Nächstes sollten Sie eine Inhaltsfilterrichtlinie für FTP hinzufügen, z. B.:
set security utm utm-policy utmp4 content-filtering ftp upload-profile confilter1
set security utm utm-policy utmp4 content-filtering ftp download-profile confilter1
-
Erstellen Sie eine Richtlinie für die Inhaltssicherheit.
[edit security utm] user@host# set utm-policy utmp4
-
Hängen Sie die Inhaltssicherheitsrichtlinie an das Profil an.
[edit security utm] user@host# set utm-policy utmp4 content-filtering http-profile contentfilter1
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Beispiel: Anfügen von Inhaltsfilterungsrichtlinien an Sicherheitsrichtlinien
In diesem Beispiel wird gezeigt, wie Sie eine Sicherheitsrichtlinie erstellen und die Inhaltssicherheitsrichtlinie an die Sicherheitsrichtlinie anfügen.
Anforderungen
Bevor Sie beginnen:
-
Konfigurieren Sie benutzerdefinierte Content Security-Objekte, definieren Sie das Inhaltsfilterprofil, und erstellen Sie eine Content Security-Richtlinie. Weitere Informationen finden Sie unter Übersicht über die Konfiguration der Inhaltsfilterung.
Aktivieren und Konfigurieren einer Sicherheitsrichtlinie. Siehe Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern des gesamten Datenverkehrs.
Überblick
Durch das Anfügen von Inhaltsfilterungsrichtlinien an Sicherheitsrichtlinien können Sie den Datenverkehr filtern, der von einer Sicherheitszone in eine andere übertragen wird.
In diesem Beispiel erstellen Sie eine Sicherheitsrichtlinie mit dem Namen p4 und geben an, dass der Datenverkehr von einer beliebigen Quelladresse zu einer beliebigen Zieladresse mit einer HTTP-Anwendung den Kriterien entspricht. Anschließend weisen Sie der Sicherheitsrichtlinie p4 eine Content Security-Richtlinie mit dem Namen utmp4 zu. Diese Inhaltssicherheitsrichtlinie gilt für jeden Datenverkehr, der den in der Sicherheitsrichtlinie p4 angegebenen Kriterien entspricht.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um schnell eine Inhaltsfilterungsrichtlinie an eine Sicherheitsrichtlinie anzuhängen, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus auf commit .
[edit] set security policies from-zone trust to-zone untrust policy p4 match source-address any set security policies from-zone trust to-zone untrust policy p4 match destination-address any set security policies from-zone trust to-zone untrust policy p4 match application junos-htttp set security from-zone trust to-zone untrust policy p4 then permit application-services utm-policy utmp4
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So hängen Sie eine Content Security-Richtlinie an eine Sicherheitsrichtlinie an:
Erstellen Sie eine Sicherheitsrichtlinie.
[edit] user@host# edit security policies from-zone trust to-zone untrust policy p4
Geben Sie die Übereinstimmungsbedingungen für die Richtlinie an.
[edit security policies from-zone trust to-zone untrust policy p4] user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-http
-
Fügen Sie die Inhaltssicherheitsrichtlinie der Sicherheitsrichtlinie hinzu.
[edit security policies from-zone trust to-zone untrust policy p4] user@host# set then permit application-services utm-policy utmp4
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy p4 {
match {
source-address any;
destination-address any;
application junos-http;
}
then {
permit {
application-services {
utm-policy utmp4;
}
}
}
}
}
default-policy {
permit-all;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Überprüfen des Anhängens von Inhaltsfilterung von Inhaltssicherheitsrichtlinien an Sicherheitsrichtlinien
Zweck
Überprüfen Sie, ob die Inhaltsfilterungsrichtlinie der Inhaltssicherheitsrichtlinie an die Sicherheitsrichtlinie angehängt ist.
Aktion
Geben Sie im Betriebsmodus den show security policy Befehl ein.
Überwachen von Konfigurationen für das Filtern von Inhalten
Zweck
Zeigen Sie Statistiken zum Filtern von Inhalten an.
Aktion
Geben Sie den Befehl user@host > show security utm content-filtering statistics ein, um Statistiken zum Filtern von Inhalten in der CLI anzuzeigen.
Der Befehl zum Filtern von show statistics Inhalten zeigt die folgenden Informationen an:
Base on command list: # Blocked Base on mime list: # Blocked Base on extension list: # Blocked ActiveX plugin: # Blocked Java applet: # Blocked EXE files: # Blocked ZIP files: # Blocked HTTP cookie: # Blocked
So zeigen Sie Statistiken zum Filtern von Inhalten mit J-Web an:
Wählen Sie Inhaltsfilterstatistiken löschenMonitor>Sicherheit>UTM>Inhaltsfilterungsmonitor>Sicherheit>UTM>Inhaltsfilterung aus.
Die folgenden Statistiken werden im rechten Bereich angezeigt.
Base on command list: # Passed # Blocked Base on mime list: # Passed # Blocked Base on extension list: # Passed # Blocked ActiveX plugin: # Passed # Blocked Java applet: # Passed # Blocked EXE files: # Passed # Blocked ZIP files: # Passed # Blocked HTTP cookie: # Passed # Blocked
Sie können auf Inhaltsfilterstatistiken löschen klicken, um alle aktuell sichtbaren Statistiken zu löschen und mit der Erfassung neuer Statistiken zu beginnen.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.