Lokale Webfilterung
Mit der Webfilterung können Sie die Internetnutzung verwalten, indem Sie den Zugriff auf unangemessene Webinhalte verhindern. Es gibt vier Arten von Webfilterlösungen. Weitere Informationen finden Sie in den folgenden Themen:
Grundlegendes zur lokalen Webfilterung
Mit der lokalen Webfilterung können Sie benutzerdefinierte URL-Kategorien definieren, die in Blockier- und Zulassungslisten aufgenommen werden können, die von der Firewall der SRX-Serie ausgewertet werden. Alle URLs für jede Kategorie in einer Blockierliste werden abgelehnt, während alle URLs für jede Kategorie in einer Zulassungsliste zulässig sind.
Bei der lokalen Webfilterung fängt eine Firewall jede HTTP- und HTTPS-Anfrage in einer TCP-Verbindung ab und extrahiert die URL. Eine Entscheidung wird vom Gerät getroffen, nachdem es eine URL gesucht hat, um festzustellen, ob sie sich basierend auf der benutzerdefinierten Kategorie in der Zulassungsliste oder Sperrliste befindet. Eine URL wird zuerst mit den URLs der Blockierliste verglichen. Wenn eine Übereinstimmung gefunden wird, wird die Anforderung blockiert. Wenn keine Übereinstimmung gefunden wird, wird die URL mit der Zulassungsliste verglichen. Wenn eine Übereinstimmung gefunden wird, wird die Anforderung zugelassen. Wenn die URL in keiner der beiden Listen enthalten ist, wird die benutzerdefinierte Kategorie verwendet (block, log-and-allow oder permit). Wenn sich die URL nicht in der benutzerdefinierten Kategorie befindet, wird die definierte Standardaktion ausgeführt (Blockieren, Protokollieren und Zulassen oder Zulassen). Sie können den Zugriff auf eine angeforderte Site zulassen oder blockieren, indem Sie ein Webfilterprofil an eine Firewallrichtlinie binden. Die lokale Webfilterung bietet eine grundlegende Webfilterung, ohne dass eine zusätzliche Lizenz oder ein externer Kategorieserver erforderlich ist.
Dieses Thema enthält die folgenden Abschnitte:
- Lokaler Webfilterungsprozess
- Benutzerdefinierte benutzerdefinierte URL-Kategorien
- Lokale Webfilterprofile
- Benutzernachrichten und Umleitungs-URLs für die Webfilterung
- Präzedenz beim Profilabgleich
Lokaler Webfilterungsprozess
Im folgenden Abschnitt wird beschrieben, wie Webdatenverkehr vom Webfiltermodul abgefangen und verarbeitet wird.
Das Gerät unterbricht eine TCP-Verbindung.
-
Das Gerät fängt jede HTTP- und HTTPS-Anforderung in der TCP-Verbindung ab.
-
Das Gerät extrahiert jede URL in der HTTP- und HTTPS-Anforderung und vergleicht ihre URL mit der benutzerdefinierten Zulassungs- und Sperrliste.
-
Wenn die URL in der Sperrliste gefunden wird, wird die Anforderung nicht zugelassen und eine Ablehnungsseite wird an den http- oder https-Client gesendet. Wenn die URL in der Zulassungsliste gefunden wird, wird die Anforderung zugelassen.
Wenn die URL nicht in der Zulassungs- oder Sperrliste gefunden wird, wird die konfigurierte Standard-Fallback-Aktion angewendet. Wenn keine Fallbackaktion definiert ist, ist die Anforderung zulässig.
Benutzerdefinierte benutzerdefinierte URL-Kategorien
Um die lokale Webfilterung durchzuführen, müssen Sie eine Sperrliste und Inhalte auf der Zulassungsliste definieren, die auf das Profil angewendet werden können.
Wenn Sie Ihre eigenen URL-Kategorien definieren, können Sie URLs gruppieren und Kategorien erstellen, die speziell auf Ihre Anforderungen zugeschnitten sind. Jede Kategorie kann maximal 20 URLs enthalten. Wenn Sie eine Kategorie erstellen, können Sie entweder die URL oder die IP-Adresse einer Website hinzufügen. Wenn Sie eine URL zu einer benutzerdefinierten Kategorie hinzufügen, führt das Gerät eine DNS-Suche durch, löst den Hostnamen in IP-Adressen auf und speichert diese Informationen zwischen. Wenn ein Benutzer versucht, mit der IP-Adresse der Site auf eine Site zuzugreifen, überprüft das Gerät die zwischengespeicherte Liste der IP-Adressen und versucht, den Hostnamen aufzulösen. Viele Websites haben dynamische IP-Adressen, was bedeutet, dass sich ihre IP-Adressen regelmäßig ändern. Ein Benutzer, der versucht, auf eine Website zuzugreifen, kann eine IP-Adresse eingeben, die nicht in der zwischengespeicherten Liste auf dem Gerät enthalten ist. Wenn Sie also die IP-Adressen der Websites kennen, die Sie zu einer Kategorie hinzufügen, geben Sie sowohl die URL als auch die IP-Adresse(n) der Website ein.
Sie definieren Ihre eigenen Kategorien mithilfe von benutzerdefinierten Objekten der URL-Musterliste und der benutzerdefinierten URL-Kategorieliste. Nach der Definition ordnen Sie Ihre Kategorien den globalen benutzerdefinierten Kategorien url-blocklist (block) oder url-allowlist (permit) zu.
Die Webfilterung wird für alle Methoden durchgeführt, die in HTTP 1.0 und HTTP 1.1 definiert sind.
Lokale Webfilterprofile
Sie konfigurieren Webfilterprofile, die URLs gemäß definierten benutzerdefinierten Kategorien zulassen oder blockieren. Ein Webfilterprofil besteht aus einer Gruppe von URL-Kategorien, denen eine der folgenden Aktionen zugewiesen ist:
Sperrliste - Das Gerät blockiert immer den Zugriff auf die Websites in dieser Liste. Bei der lokalen Webfilterung werden nur benutzerdefinierte Kategorien verwendet.
Zulassungsliste - Das Gerät erlaubt immer den Zugriff auf die Websites in dieser Liste. Bei der lokalen Webfilterung werden nur benutzerdefinierte Kategorien verwendet.
Ein Webfilterprofil kann eine Sperrliste oder eine Zulassungsliste mit mehreren benutzerdefinierten Kategorien enthalten, die jeweils über eine Genehmigungs- oder Blockierungsaktion verfügen. Sie können eine Standard-Fallback-Aktion definieren, wenn die eingehende URL zu keiner der im Profil definierten Kategorien gehört. Wenn die Aktion für die Standardkategorie "Blockieren" lautet, wird die eingehende URL blockiert, wenn sie mit keiner der im Profil explizit definierten Kategorien übereinstimmt. Wenn keine Aktion für die Standardaktion angegeben ist, wird die Standardaktion zulassen auf die eingehende URL angewendet, die keiner Kategorie entspricht.
Ab Junos OS Version 17.4R1 wird die Konfiguration benutzerdefinierter Kategorien für die lokale Webfilterung unterstützt. Die custom-message Option wird auch in einer Kategorie für lokale Webfilterung und Websense-Umleitungsprofile unterstützt. Benutzer können mehrere URL-Listen (benutzerdefinierte Kategorien) erstellen und diese mit Aktionen wie Zulassen, Zulassen und Protokollieren, Blockieren und Quarantäne auf ein Content Security Webfilterprofil anwenden. Um eine globale Zulassungs- oder Blockierliste zu erstellen, wenden Sie ein lokales Webfilterprofil auf eine Content Security-Richtlinie an und fügen Sie es einer globalen Regel hinzu.
Benutzernachrichten und Umleitungs-URLs für die Webfilterung
Ab Junos OS Version 17.4R1 wird eine neue Option, , für die Anweisung hinzugefügt, mit der custom-objects Sie Benutzernachrichten und Umleitungs-URLs konfigurieren können, custom-messageum Benutzer zu benachrichtigen, wenn eine URL für jede EWF-Kategorie blockiert oder unter Quarantäne gestellt wird. Die custom-message Option hat die folgenden obligatorischen Attribute:
Name: Name der benutzerdefinierten Nachricht; Die maximale Länge beträgt 59 ASCII-Zeichen.
Typ: Typ der benutzerdefinierten Nachricht:
user-messageoderredirect-url.Inhalt: Inhalt der benutzerdefinierten Nachricht; Die maximale Länge beträgt 1024 ASCII-Zeichen.
Sie konfigurieren eine Benutzernachricht oder Umleitungs-URL als benutzerdefiniertes Objekt und weisen das benutzerdefinierte Objekt einer EWF-Kategorie zu.
Benutzernachrichten weisen darauf hin, dass der Zugriff auf die Website durch die Zugriffsrichtlinie einer Organisation blockiert wurde. Um eine Benutzernachricht zu konfigurieren, fügen Sie die
type user-message content message-textAnweisung auf Hierarchieebene[edit security utm custom-objects custom-message message]ein.Umleitungs-URLs: Leiten eine blockierte oder unter Quarantäne gestellte URL auf eine benutzerdefinierte URL um. Um eine Umleitungs-URL zu konfigurieren, fügen Sie die
type redirect-url content redirect-urlAnweisung auf Hierarchieebene[edit security utm custom-objects custom-message message]ein.
Die custom-message Option bietet die folgenden Vorteile:
Sie können für jede EWF-Kategorie eine separate benutzerdefinierte Nachricht oder Umleitungs-URL konfigurieren.
Mit dieser
custom-messageOption können Sie Nachrichten fein abstimmen, um Ihre Richtlinien zu unterstützen, um zu wissen, welche URL blockiert oder unter Quarantäne gestellt wurde.
Präzedenz beim Profilabgleich
Wenn ein Profil mehrere Kategorien für den URL-Abgleich verwendet, werden diese Kategorien in der folgenden Reihenfolge auf Übereinstimmungen überprüft:
Falls vorhanden, wird zuerst die globale Sperrliste überprüft. Wenn eine Übereinstimmung hergestellt wird, wird die URL blockiert. Wenn keine Übereinstimmung gefunden wird...
Als nächstes wird die globale Zulassungsliste überprüft. Wenn eine Übereinstimmung erzielt wird, ist die URL zulässig. Wenn keine Übereinstimmung gefunden wird...
Als nächstes werden benutzerdefinierte Kategorien überprüft. Wenn eine Übereinstimmung erzielt wird, wird die URL wie angegeben blockiert oder zugelassen.
Siehe auch
Beispiel: Konfigurieren der lokalen Webfilterung
In diesem Beispiel wird gezeigt, wie die lokale Webfilterung für die Verwaltung des Websitezugriffs konfiguriert wird.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
SRX1500 Gerät
Junos OS Version 12.1X46-D10 oder höher
Bevor Sie beginnen, erfahren Sie mehr über die Webfilterung. Weitere Informationen finden Sie unter Übersicht über die Webfilterung.
Übersicht
In diesem Beispiel konfigurieren Sie benutzerdefinierte Objekte für die lokale Webfilterung, lokale Webfilterungsfunktionsprofile und Inhaltssicherheitsrichtlinien für die lokale Webfilterung. Außerdem fügen Sie lokale Inhaltssicherheitsrichtlinien für die Webfilterung an Sicherheitsrichtlinien an. Tabelle 1 enthält Informationen zum Konfigurationstyp, den Schritten und den Parametern der lokalen Webfilterung, die in diesem Beispiel verwendet werden.
Konfigurationstyp |
Konfigurationsschritte |
Konfigurationsparameter |
|---|---|---|
URL pattern and custom objects |
Konfigurieren Sie eine URL-Musterliste mit URLs oder Adressen, die Sie umgehen möchten. Erstellen Sie ein benutzerdefiniertes Objekt mit dem Namen urllis1, das das Muster [http://www.example1.net 192.0.2.0] enthält. Erstellen Sie ein benutzerdefiniertes Objekt namens urllist2, das das Muster [http://www.example2.net 192.0.2.3] enthält. Erstellen Sie ein benutzerdefiniertes Objekt mit dem Namen urllist3, das das Muster [http://www.example3.net 192.0.2.9] enthält. Erstellen Sie ein benutzerdefiniertes Objekt mit dem Namen urllist4, das das Muster [http://www.example4.net 192.0.2.8] enthält. |
|
Die benutzerdefinierten Objekte urllist1 und urllist2 werden dann zu den benutzerdefinierten URL-Kategorien cust-blocklist bzw. cust-permit-list hinzugefügt. |
|
|
Feature profiles |
Konfigurieren Sie das Funktionsprofil für die Webfilterung: |
|
|
|
|
|
|
|
|
|
|
Content Security policies |
Erstellen Sie die Inhaltssicherheitsrichtlinie |
|
Konfiguration
- Konfigurieren von benutzerdefinierten Objekten und URL-Mustern für die lokale Webfilterung
- Anwenden von benutzerdefinierten Objekten auf die Feature-Profile
- Sicherheitsrichtlinien für die Webfilterung an Sicherheitsrichtlinien anhängen
- Sicherheitsrichtlinien für die lokale Webfilterung an Sicherheitsrichtlinien anhängen
Konfigurieren von benutzerdefinierten Objekten und URL-Mustern für die lokale Webfilterung
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security utm custom-objects url-pattern urllist1 value http://www.example1.net set security utm custom-objects url-pattern urllist1 value 192.0.2.0 set security utm custom-objects url-pattern urllist2 value http://www.example2.net set security utm custom-objects url-pattern urllist2 value 192.0.2.3 set security utm custom-objects url-pattern urllist3 value http://www.example3.net set security utm custom-objects url-pattern urllist3 value 192.0.2.9 set security utm custom-objects url-pattern urllist4 value http://www.example4.net set security utm custom-objects url-pattern urllist4 value 192.0.2.8 set security utm custom-objects custom-url-category cust-black-list value urllist1 set security utm custom-objects custom-url-category cust-permit-list value urllist2 set security utm custom-objects custom-url-category custurl3 value urllist3 set security utm custom-objects custom-url-category custurl4 value urllist4
Ab Junos OS Version 15.1X49-D110 entspricht das "* " in einer Platzhaltersyntax, die für das Webfilterprofil des URL-Musters verwendet wird, allen Unterdomänen. Beispiel: *.example.net stimmt mit Folgendem überein:
http://a.example.net
http://example.net
aaa.example.net
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die lokale Webfilterung mithilfe der CLI:
Konfigurieren Sie ein benutzerdefiniertes URL-Musterlistenobjekt, indem Sie den Listennamen erstellen und ihm wie folgt Werte hinzufügen:
Hinweis:Da Sie URL-Musterlisten verwenden, um benutzerdefinierte URL-Kategorielisten zu erstellen, müssen Sie benutzerdefinierte URL-Musterlistenobjekte konfigurieren, bevor Sie benutzerdefinierte URL-Kategorielisten konfigurieren.
[edit] user@host# set security utm custom-objects url-pattern urllist1 value [http://www.example1.net 192.0.2.0] user@host# set security utm custom-objects url-pattern urllist2 value [http://www.example2.net 192.0.2.3] user@host# set security utm custom-objects url-pattern urllist3 value [http://www.example3.net 192.0.2.9] user@host# set security utm custom-objects url-pattern urllist4 value [http://www.example4.net 192.0.2.8]
Hinweis:Die Richtlinie für die Verwendung eines URL-Musterplatzhalters lautet wie folgt: Verwenden Sie \ *\.[] \?* und stellen Sie allen Platzhalter-URLs http:// voran. Sie können "*" nur verwenden, wenn es am Anfang der URL steht und von "." gefolgt wird. Sie können "?" nur am Ende der URL verwenden.
Die folgenden Platzhaltersyntaxen werden unterstützt: http://*. example.net, http://www.example.ne?, http://www.example.n??. Die folgenden Platzhaltersyntaxen werden nicht unterstützt: *.example.???, http://*example.net, http://?.
Anwenden des URL-Musters auf eine benutzerdefinierte URL-Kategorie.
[edit] user@host# set security utm custom-objects custom-url-category cust-black-list value urllist1 user@host# set security utm custom-objects custom-url-category cust-permit-list value urllist2 user@host# set security utm custom-objects custom-url-category custurl3 value urllist3 user@host# set security utm custom-objects custom-url-category custurl4 value urllist4
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security utm custom-objects Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
userhost#show security utm custom-objects
url-pattern {
urllist1 {
value [ http://www.example1.net 192.0.2.0 ];
}
urllist2 {
value [ http://www.example2.net 192.0.2.3 ];
}
urllist3 {
value [ http://www.example3.net 192.0.2.9 ];
}
urllist4 {
value [ http://www.example4.net 192.0.2.8 ];
}
}
custom-url-category {
cust-black-list {
value urllist1;
}
cust-permit-list {
value urllist2;
}
custurl3 {
value urllist3;
}
custurl4 {
value urllist4;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Anwenden von benutzerdefinierten Objekten auf die Feature-Profile
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security utm feature-profile web-filtering juniper-local profile localprofile1 category cust-black-list action block set security utm feature-profile web-filtering juniper-local profile localprofile1 category cust-permit-list action log-and-permit set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message type custom-redirect-url set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message url http://192.0.2.10 set security utm feature-profile web-filtering juniper-local profile localprofile1 custom-block-message "Access to this site is not permitted." set security utm feature-profile web-filtering juniper-local profile localprofile1 default log-and-permit set security utm feature-profile web-filtering juniper-local profile localprofile1 fallback-settings default block set security utm feature-profile web-filtering juniper-local profile localprofile1 fallback-settings too-many-requests block
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
Erstellen Sie einen Profilnamen, und wählen Sie eine Kategorie aus den enthaltenen Genehmigungs- und Blockierlistenkategorien aus. Die benutzerdefinierte Kategorieaktion könnte "Blockieren", "Zulassen", "Protokollieren und Zulassen" und "Quarantäne" sein.
[edit security utm feature-profile web-filtering] user@host# set juniper-local profile localprofile1 category cust-black-list action block user@host# set juniper-local profile localprofile1 category cust-permit-list action log-and-permit
Definieren Sie einen Umleitungs-URL-Server, sodass das Gerät nicht eine Blockseite mit Nur-Text-HTML sendet, sondern eine HTTP 302-Umleitung mit speziellen Variablen, die in das Feld HTTP-Umleitungsspeicherort eingebettet sind. Diese speziellen Variablen werden vom Weiterleitungsserver geparst und dienen dem Client als spezielle Blockseite mit Bildern und einem Klartextformat.
[edit security utm feature-profile web-filtering] user@host# set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message type custom-redirect-url user@host# set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message url http://192.0.2.10
-
Geben Sie eine benutzerdefinierte Nachricht ein, die gesendet werden soll, wenn HTTP- oder HTTPS-Anforderungen blockiert werden.
[edit security utm feature-profile web-filtering] user@host# set juniper-local profile localprofile1 custom-block-message “Access to this site is not permitted”
Geben Sie eine Standardaktion (Zulassen, Protokollieren und Zulassen, Blockieren oder Quarantäne) für das Profil an, wenn keine andere explizit konfigurierte Aktion (Sperrliste, Zulassungsliste, benutzerdefinierte Kategorie, vordefinierte Kategorieaktionen oder Sitereputationsaktionen) übereinstimmt.
[edit security utm feature-profile web-filtering] user@host# set juniper-local profile localprofile1 default log-and-permit
Konfigurieren Sie die Fallback-Einstellungen (Blockieren oder Protokollieren und Zulassen) für dieses Profil.
[edit security utm feature-profile web-filtering] user@host# set juniper–local profile localprofile1 fallback-settings default block user@host# set juniper–local profile localprofile1 fallback-settings too-many-requests block
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security utm feature-profile Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
userhost#show security utm feature-profile
web-filtering {
juniper-local {
profile localprofile1 {
default log-and-permit;
category {
cust-black-list {
action block;
}
cust-permit-list {
action log-and-permit;
}
}
custom-block-message "Access to this site is not permitted.";
block-message {
type custom-redirect-url;
url http://192.0.2.10;
}
fallback-settings {
default block;
too-many-requests block;
}
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Sicherheitsrichtlinien für die Webfilterung an Sicherheitsrichtlinien anhängen
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security utm utm-policy utmp5 web-filtering http-profile localprofile1
Schritt-für-Schritt-Anleitung
So konfigurieren Sie eine Content Security-Richtlinie:
-
Erstellen Sie die Content Security-Richtlinie, die auf ein Profil verweist. Wenden Sie das Webfilterprofil auf die Inhaltssicherheitsrichtlinie an.
[edit] user@host# set security utm utm-policy utmp5 web-filtering http-profile localprofile1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security utm Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Der Kürze halber enthält diese Ausgabe des Befehls show nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte (...) ersetzt.
[edit]
userhost# show security utm
utm-policy utmp5 {
web-filtering {
http-profile localprofile1;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Sicherheitsrichtlinien für die lokale Webfilterung an Sicherheitsrichtlinien anhängen
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security policies from-zone trust to-zone untrust policy p5 match source-address any set security policies from-zone trust to-zone untrust policy p5 match destination-address any set security policies from-zone trust to-zone untrust policy p5 match application junos-http set security policies from-zone trust to-zone untrust policy p5 then permit application-services utm-policy utmp5
Schritt-für-Schritt-Anleitung
So fügen Sie eine Content Security-Richtlinie an eine Sicherheitsrichtlinie an:
Erstellen und konfigurieren Sie die Sicherheitsrichtlinie.
[edit security policies from-zone trust to-zone untrust policy p5] user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-http
-
Wenden Sie die Richtlinie "Inhaltssicherheit" auf die Sicherheitsrichtlinie an.
[edit security policies from-zone trust to-zone untrust policy p5] user@host# set then permit application-services utm-policy utmp5
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
userhost# show security policies
from-zone trust to-zone untrust {
policy p5 {
match {
source-address any;
destination-address any;
application junos-http;
}
then {
permit {
application-services {
utm-policy utmp5;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgende Aufgabe aus:
Überprüfen der Statistiken der Inhaltssicherheit Webfilterung
Zweck
Überprüfen Sie die Webfilterstatistiken für Verbindungen, einschließlich der Treffer auf der Zulassungsliste und der Blockierliste sowie der Treffer der benutzerdefinierten Kategorie.
Aktion
Geben Sie im Betriebsmodus den show security utm web-filtering statistics Befehl ein.
Beispielausgabe
Befehlsname
user@host>show security utm web-filtering statistics
UTM web-filtering statistics:
Total requests: 0
white list hit: 0
Black list hit: 0
Custom category permit: 0
Custom category block: 0
Custom category quarantine: 0
Custom category qurantine block: 0
Custom category quarantine permit: 0
Web-filtering sessions in total: 0
Web-filtering sessions in use: 0
Fallback: log-and-permit block
Default 0 0
Timeout 0 0
Connectivity 0 0
Too-many-requests 0 0
custom-message Option wird auch in einer Kategorie für lokale Webfilterung und Websense-Umleitungsprofile unterstützt. Benutzer können mehrere URL-Listen (benutzerdefinierte Kategorien) erstellen und diese mit Aktionen wie Zulassen, Zulassen und Protokollieren, Blockieren und Quarantäne auf ein Content Security Webfilterprofil anwenden. Um eine globale Zulassungs- oder Blockierliste zu erstellen, wenden Sie ein lokales Webfilterprofil auf eine Content Security-Richtlinie an und fügen Sie es einer globalen Regel hinzu.
custom-objects Sie Benutzernachrichten und Umleitungs-URLs konfigurieren können,
custom-messageum Benutzer zu benachrichtigen, wenn eine URL für jede EWF-Kategorie blockiert oder unter Quarantäne gestellt wird.