Webfilterung umleiten
Die Webfilterlösung für Umleitungen fängt HTTP-Anforderungen ab und sendet sie an einen externen URL-Filterserver, der von Websense bereitgestellt wird, um zu bestimmen, ob die Anforderungen blockiert werden sollen. Weitere Informationen finden Sie in den folgenden Themen:
Grundlegendes zur Webfilterung von Umleitungen
Bei der Webfilterung fängt das Webfiltermodul eine HTTP-Anforderung ab. Die URL in der Anforderung wird dann an den externen Websense-Server gesendet, der eine Entscheidung über die Zulassung oder Ablehnung trifft. Wenn der Zugriff auf die betreffende URL erlaubt ist, werden die ursprüngliche HTTP-Anforderung und alle nachfolgenden Anforderungen an den vorgesehenen HTTP-Server gesendet. Wenn jedoch der Zugriff auf die betreffende URL verweigert wird, wird eine blockierende Meldung an den Client gesendet.
Dies ist eine allgemeine Beschreibung der Art und Weise, wie Webdatenverkehr vom Webfiltermodul abgefangen, umgeleitet und verarbeitet wird:
Ein Webclient stellt eine TCP-Verbindung mit dem Webserver her.
Der Webclient sendet dann eine HTTP-Anforderung.
Das Gerät fängt die Anfragen ab und extrahiert die URL. Die URL wird mit den Zulassungs- und Blockierlisten der globalen Webfilterung abgeglichen. Wenn keine Übereinstimmung gefunden wird, werden die Konfigurationsparameter des Websense-Servers verwendet. Andernfalls wird der Vorgang mit Schritt 6 fortgesetzt.
Die URL wird zur Überprüfung an den Websense-Server gesendet.
Der Websense-Server gibt eine Antwort zurück, die angibt, ob die URL zugelassen oder blockiert werden soll.
Wenn der Zugriff erlaubt ist, wird die ursprüngliche HTTP-Anforderung an den Webserver gesendet. Wenn der Zugriff verweigert wird, sendet das Gerät eine blockierende Nachricht an den Client und trennt die TCP-Verbindung.
Die Webfilterung wird für alle Methoden durchgeführt, die in HTTP 1.0 und HTTP 1.1 definiert sind. Bei der Webfilterung für Umleitungen wird jedoch die Ziel-IP als URL verwendet, wenn der HTTPS-Datenverkehr überprüft wird.
Die Entscheidungsfindung anhand von Echtzeitoptionen bietet ein höheres Maß an Genauigkeit, daher wird das Caching für die Weiterleitungs-Webfilterung nicht unterstützt.
Für die Webfilterung von Redirect ist keine Abonnementlizenz erforderlich.
- Benutzernachrichten und Umleitungs-URLs für die Webfilterung
- Dynamische Unterstützung für neue Websense EWF-Kategorien
Benutzernachrichten und Umleitungs-URLs für die Webfilterung
Ab Junos OS Version 17.4R1 wird eine neue Option, , für die Anweisung hinzugefügt, mit der custom-objects Sie Benutzernachrichten und Umleitungs-URLs konfigurieren können, custom-messageum Benutzer zu benachrichtigen, wenn eine URL für jede EWF-Kategorie blockiert oder unter Quarantäne gestellt wird. Die custom-message Option hat die folgenden obligatorischen Attribute:
Name: Name der benutzerdefinierten Nachricht; Die maximale Länge beträgt 59 ASCII-Zeichen.
Typ: Typ der benutzerdefinierten Nachricht:
user-messageoderredirect-url.Inhalt: Inhalt der benutzerdefinierten Nachricht; Die maximale Länge beträgt 1024 ASCII-Zeichen.
Sie konfigurieren eine Benutzernachricht oder Umleitungs-URL als benutzerdefiniertes Objekt und weisen das benutzerdefinierte Objekt einer EWF-Kategorie zu.
Benutzernachrichten weisen darauf hin, dass der Zugriff auf die Website durch die Zugriffsrichtlinie einer Organisation blockiert wurde. Um eine Benutzernachricht zu konfigurieren, fügen Sie die
type user-message content message-textAnweisung auf Hierarchieebene[edit security utm custom-objects custom-message message]ein.Umleitungs-URLs: Leiten eine blockierte oder unter Quarantäne gestellte URL auf eine benutzerdefinierte URL um. Um eine Umleitungs-URL zu konfigurieren, fügen Sie die
type redirect-url content redirect-urlAnweisung auf Hierarchieebene[edit security utm custom-objects custom-message message]ein.
Die custom-message Option bietet die folgenden Vorteile:
Sie können für jede EWF-Kategorie eine separate benutzerdefinierte Nachricht oder Umleitungs-URL konfigurieren.
Mit dieser
custom-messageOption können Sie Nachrichten fein abstimmen, um Ihre Richtlinien zu unterstützen, um zu wissen, welche URL blockiert oder unter Quarantäne gestellt wurde.
Dynamische Unterstützung für neue Websense EWF-Kategorien
Ab Junos OS Version 17.4R1 können Sie neue EWF-Kategorien (Enhanced Web Filtering) herunterladen und dynamisch laden. Für den Download und das dynamische Laden der neuen EWF-Kategorien ist kein Software-Upgrade erforderlich. Websense veröffentlicht gelegentlich neue EWF-Kategorien. EWF klassifiziert Websites nach Host, URL oder IP-Adresse in Kategorien und führt eine Filterung basierend auf den Kategorien durch. Benutzer können neue Kategorien nutzen, sobald sie verfügbar sind, anstatt auf die Veröffentlichung eines Patches zu warten.
Vorhandene Konfigurationen sind von den neuen Kategorien nicht betroffen, können aber geändert werden, um die neuen Kategorien zu verwenden.
Siehe auch
Beispiel: Verbessern der Sicherheit durch Konfigurieren der Weiterleitungs-Webfilterung mit benutzerdefinierten Objekten
In diesem Beispiel wird gezeigt, wie Sie die Internetnutzung verwalten, indem Sie die Webfilterung mit benutzerdefinierten Objekten konfigurieren und den Zugriff auf unangemessene Webinhalte verhindern.
Anforderungen
Bevor Sie beginnen, erfahren Sie mehr über die Webfilterung. Weitere Informationen finden Sie unter Übersicht über die Webfilterung.
Übersicht
Der Vorteil der Webfilterung besteht darin, dass die URLs aus HTTP-Anforderungsnachrichten extrahiert und entsprechend den Anforderungen gefiltert werden. Der Vorteil der Konfiguration der Webfilterung für Umleitungen besteht darin, dass die URLs aus den HTTP-Anforderungen extrahiert und an einen externen URL-Filterserver gesendet werden, um zu bestimmen, ob der Zugriff zugelassen oder verweigert werden soll.
In diesem Beispiel konfigurieren Sie benutzerdefinierte Objekte für die Umleitungswebfilterung, Featureprofile für die Umleitungswebfilterung und Inhaltssicherheitsrichtlinien für die Umleitungswebfilterung. Außerdem hängen Sie Inhaltssicherheitsrichtlinien für die Webfilterung von Umleitungen an Sicherheitsrichtlinien an.
Die standardmäßige Portnummer des Websense-Umleitungsservers lautet 15868.
Sie wählen Fallback-Einstellungen (Blockieren oder Anmelden und Zulassen) für dieses Profil aus, falls in jeder konfigurierten Kategorie Fehler auftreten. In diesem Beispiel werden Fallbackeinstellungen zum Blockieren des Profils festgelegt. Sie geben die Anzahl der Sockets ein, die für die Kommunikation zwischen Client und Server verwendet werden. Der Standardwert für Firewalls der SRX-Serie ist 32.
Zum Schluss geben Sie einen Timeout-Wert in Sekunden ein. Sobald dieser Grenzwert erreicht ist, werden die Einstellungen für den Fehlermodus angewendet. Der Standardwert ist 15 Sekunden, und Sie können einen Wert zwischen 1 und 1800 Sekunden eingeben. In diesem Beispiel wird der Timeoutwert auf 10 festgelegt.
Topologie
Abbildung 1 zeigt die Gesamtarchitektur für die Websense-Umleitungsfunktion.
Konfiguration
- Konfigurieren von benutzerdefinierten Objekten für die Webfilterung von Umleitungen
- Konfigurieren der Funktionsprofile für die Webfilterung von Umleitungen
- Konfigurieren von Inhaltssicherheitsrichtlinien für die Webfilterung von Umleitungen und Anhängen der Sicherheitsrichtlinien für die Inhaltssicherheit für die Webfilterung von Umleitungen an Sicherheitsrichtlinien
Konfigurieren von benutzerdefinierten Objekten für die Webfilterung von Umleitungen
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security utm custom-objects url-pattern urllist4 value 1.2.3.4 set security utm custom-objects url-pattern urllistblack value http://www.untrusted.com set security utm custom-objects url-pattern urllistblack value 13.13.13.13 set security utm custom-objects url-pattern urllistwhite value http://www.trusted.com set security utm custom-objects url-pattern urllistwhite value 7.7.7.7 set security utm custom-objects custom-url-category custurl4 value urllist4 set security utm custom-objects custom-url-category custblacklist value urllistblack set security utm custom-objects custom-url-category custwhitelist value urllistwhite
Schritt-für-Schritt-Anleitung
So konfigurieren Sie benutzerdefinierte Objekte für die Webfilterung:
Erstellen Sie benutzerdefinierte Objekte, und erstellen Sie die URL-Musterliste.
[edit security utm] user@host# set custom-objects url-pattern urllist4 value [http://www.example.net 1.2.3.4]
Konfigurieren Sie das benutzerdefinierte Objekt der benutzerdefinierten URL-Kategorieliste mithilfe der URL-Musterliste.
[edit security utm] user@host# set custom-objects custom-url-category custurl4 value urllist4
Erstellen einer Liste nicht vertrauenswürdiger Websites
[edit security utm] user@host# set custom-objects url-pattern urllistblack value [http://www.untrusted.com 13.13.13.13]
Konfigurieren Sie das benutzerdefinierte Objekt der benutzerdefinierten URL-Kategorieliste mithilfe der URL-Musterliste nicht vertrauenswürdiger Sites.
[edit security utm] user@host# set custom-objects custom-url-category custblacklist value urllistblack
Erstellen Sie eine Liste vertrauenswürdiger Sites.
[edit security utm] user@host# set custom-objects url-pattern urllistwhite value [http://www.trusted.com 7.7.7.7]
Konfigurieren Sie das benutzerdefinierte Objekt für die Liste der benutzerdefinierten URL-Kategorien mithilfe der URL-Musterliste vertrauenswürdiger Sites.
[edit security utm] user@host# set custom-objects custom-url-category custwhitelist value urllistwhite
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security utm custom-objects Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
userhost# show security utm custom-objects
url-pattern {
urllist4 {
value [ http://www.example.net 1.2.3.4 ];
}
urllistblack {
value [ http://www.untrusted.com 13.13.13.13 ];
}
urllistwhite {
value [ http://www.trusted.com 7.7.7.7 ];
}
}
custom-url-category {
custurl4 {
value urllist4;
}
custblacklist {
value urllistblack;
}
custwhitelist {
value urllistwhite;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfigurieren der Funktionsprofile für die Webfilterung von Umleitungen
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security utm feature-profile web-filtering url-whitelist custwhitelist set security utm feature-profile web-filtering url-blacklist custblacklist set security utm feature-profile web-filtering type websense-redirect set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 server host Websenseserver set security utm feature-profile web-filtering websense-redirect profile p1 category cust-white-list action log-and-permit set security utm feature-profile web-filtering websense-redirect profile p1 category cust-list2 action permit set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 server port 15868 set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 fallback-settings server-connectivity block set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 fallback-settings timeout block set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 fallback-settings too-many-requests block set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 timeout 10 set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 sockets 1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Funktionsprofile für die Webfilterung für Umleitungen:
Konfigurieren Sie die URL-Sperrliste für die Webfilterung.
[edit security utm feature-profile web-filtering] user@host# set url-blacklist custblacklist
Konfigurieren Sie die Zulassungsliste für Webfilter-URLs.
[edit security utm feature-profile web-filtering] user@host# set url-whitelist custwhitelist
Geben Sie den Webfiltertyp an, erstellen Sie einen Profilnamen, und legen Sie den Servernamen oder die IP-Adresse fest.
[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 server host Websenseserver
Konfigurieren Sie die benutzerdefinierte Kategorieaktion
log-and-permitundpermitfür die URL-Zulassungsliste bzw. cust-list2.[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 category cust-white-list action log-and-permit user@host# set websense-redirect profile websenseprofile1 category cust-list2 action permit
Geben Sie die Portnummer für die Kommunikation mit dem Server ein.
[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 server port 15868
Konfigurieren Sie die Aktion
blockfür die Fallback-Einstellungen für dieses Profil.[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 fallback-settings default block
user@host# set websense-redirect profile websenseprofile1 fallback-settings server-connectivity block user@host# set websense-redirect profile websenseprofile1 fallback-settings timeout block user@host# set websense-redirect profile websenseprofile1 fallback-settings too-many-requests block
Geben Sie die Anzahl der Sockets ein, die für die Kommunikation zwischen dem Client und dem Server verwendet werden.
[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 sockets 1
Geben Sie einen Timeout-Wert in Sekunden ein.
[edit security utm feature-profile web-filtering] user@host# set .websense-redirect profile websenseprofile1 timeout 10
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security utm feature-profile Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
userhost# show security utm feature-profile
web-filtering {
url-whitelist custwhitelist;
url-blacklist custblacklist;
type websense-redirect {
profile websenseprofile1 {
server {
host Websenseserver;
port 15868;
}
category {
cust-white-list {
action log-and-permit ;
cust-list2 {
action permit;
}
}
}
fallback-settings {
server-connectivity block;
timeout block;
too-many-requests block;
}
timeout 10;
sockets 1;
}
}
}
content-filtering {
profile contentfilter1;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfigurieren von Inhaltssicherheitsrichtlinien für die Webfilterung von Umleitungen und Anhängen der Sicherheitsrichtlinien für die Inhaltssicherheit für die Webfilterung von Umleitungen an Sicherheitsrichtlinien
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security utm utm-policy utmp6 web-filtering http-profile websenseprofile1 set security policies from-zone trust to-zone untrust policy p6 match source-address any set security policies from-zone trust to-zone untrust policy p6 match destination-address any set security policies from-zone trust to-zone untrust policy p6 match application junos-http set security policies from-zone trust to-zone untrust policy p6 then permit application-services utm-policy utmp6
Schritt-für-Schritt-Anleitung
So konfigurieren Sie eine Content Security-Richtlinie und fügen sie einer Sicherheitsrichtlinie hinzu:
-
Erstellen Sie die Content Security-Richtlinie, die auf ein Profil verweist.
[edit security utm] user@host# set utm-policy utmp6 web-filtering http-profile websenseprofile1
Erstellen und konfigurieren Sie die Sicherheitsrichtlinie.
[edit security policies from-zone trust to-zone untrust policy p6] user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-http
-
Hängen Sie die Richtlinie "Inhaltssicherheit" an die Sicherheitsrichtlinie an.
[edit security policies from-zone trust to-zone untrust policy p6] user@host# set then permit application-services utm-policy utmp6
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security utm Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
userhost# show security utm
utm-policy utmp6 {
web-filtering {
http-profile websenseprofile1;
}
}
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
userhost# show security policies
from-zone trust to-zone untrust {
policy p6 {
match {
source-address any;
destination-address any;
application junos-http;
}
then {
permit {
application-services {
utm-policy utmp6;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- Überprüfen der Konfiguration von benutzerdefinierten Objekten für die Umleitungswebfilterung
- Überprüfen der Konfiguration von Funktionsprofilen für die Webfilterung von Umleitungen
- Überprüfen des Anhängens von Sicherheitsrichtlinien für umleitende Webfilterinhalte an Sicherheitsrichtlinien
Überprüfen der Konfiguration von benutzerdefinierten Objekten für die Umleitungswebfilterung
Zweck
Überprüfen Sie die Konfiguration der benutzerdefinierten Objekte für die Webfilterung von Umleitungen.
Aktion
Geben Sie oben in der Konfiguration im Konfigurationsmodus den show security utm custom-objects Befehl ein.
[edit]
userhost# show security utm custom-objects
url-pattern {
urllist4 {
value [ http://www.example.net 1.2.3.4 ];
}
urllistblack {
value [ http://www.untrusted.com 13.13.13.13 ];
}
urllistwhite {
value [ http://www.trusted.com 7.7.7.7 ];
}
}
custom-url-category {
custurl4 {
value urllist4;
}
custblacklist {
value urllistblack;
}
custwhitelist {
value urllistwhite;
}
}
Bedeutung
Die Beispielausgabe zeigt die Liste der erstellten benutzerdefinierten Objekte.
Überprüfen der Konfiguration von Funktionsprofilen für die Webfilterung von Umleitungen
Zweck
Überprüfen Sie die Konfiguration der Featureprofile für die Webfilterung von Umleitungen.
Aktion
Geben Sie oben in der Konfiguration im Konfigurationsmodus den show security utm feature-profile Befehl ein.
[edit]
userhost# show security utm feature-profile
web-filtering {
url-whitelist custwhitelist;
url-blacklist custblacklist;
type websense-redirect {
profile websenseprofile1 {
server {
host Websenseserver;
port 15868;
}
fallback-settings {
server-connectivity block;
timeout block;
too-many-requests block;
}
timeout 10;
sockets 1;
}
}
}
content-filtering {
profile contentfilter1;
}
Bedeutung
Die Beispielausgabe zeigt das Funktionsprofil, das für einen Websense-Umleitungsserver konfiguriert ist.
Überprüfen des Anhängens von Sicherheitsrichtlinien für umleitende Webfilterinhalte an Sicherheitsrichtlinien
Zweck
Überprüfen Sie, ob die neu erstellten Inhaltssicherheitsrichtlinien für die Webfilterung der Umleitung an die Sicherheitsrichtlinien angehängt sind.
Aktion
Geben Sie oben in der Konfiguration im Konfigurationsmodus die show security utm Befehle und show security policies ein.
[edit]
userhost# show security utm
utm-policy utmp6 {
web-filtering {
http-profile websenseprofile1;
}
}
[edit]
userhost# show security policies
from-zone trust to-zone untrust {
policy p6 {
match {
source-address any;
destination-address any;
application junos-http;
}
then {
permit {
application-services {
utm-policy utmp6;
}
}
}
}
}
Bedeutung
Die Beispielausgabe zeigt die Sicherheitsrichtlinien, an die die neu erstellten Inhaltssicherheitsrichtlinien für die Webfilterung von Umleitungen angehängt sind.
custom-objects Sie Benutzernachrichten und Umleitungs-URLs konfigurieren können,
custom-messageum Benutzer zu benachrichtigen, wenn eine URL für jede EWF-Kategorie blockiert oder unter Quarantäne gestellt wird.