AUF DIESER SEITE
Erweiterte Webfilterung
Die Webfilterung bietet URL-Filterfunktionen, indem entweder ein lokaler Websense-Server oder ein internetbasierter SurfControl-Server verwendet wird. Weitere Informationen finden Sie in den folgenden Themen:
Erweiterte Webfilterung – Übersicht
Enhanced Web Filtering (EWF) mit Websense ist eine integrierte URL-Filterlösung. Wenn Sie die Lösung auf dem Gerät aktivieren, fängt sie die HTTP- und HTTPS-Anfragen ab und sendet die HTTP-URL oder die HTTPS-Quell-IP an die Websense ThreatSeeker Cloud (TSC). Der TSC kategorisiert die URL in eine oder mehrere vordefinierte Kategorien und stellt außerdem Informationen zur Websitereputation bereit. Der TSC gibt außerdem die URL-Kategorie und die Site-Reputationsinformationen an das Gerät zurück. Das Gerät bestimmt anhand der vom TSC bereitgestellten Informationen, ob es die Anforderung zulassen oder blockieren kann.
Ab Junos OS Version 15.1X49-D40 und Junos OS Version 17.3R1 unterstützt EWF HTTPS-Datenverkehr, indem es HTTPS-Datenverkehr abfängt, der durch die Firewall der SRX-Serie geleitet wird. Der Sicherheitskanal vom Gerät wird aufgeteilt in einen SSL-Kanal zwischen dem Client und dem Gerät und einen weiteren SSL-Kanal zwischen dem Gerät und dem HTTPS-Server. Der SSL-Forward-Proxy fungiert als Terminal für beide Kanäle und leitet den Klartextverkehr an die Content Security weiter. Content Security extrahiert die URL aus der HTTP-Anforderungsnachricht.
Sie können die EWF-Lösung als die URL-Filterlösung der nächsten Generation betrachten, die auf der bestehenden Surf-Control-Lösung aufbaut.
Die erweiterte Webfilterung unterstützt die folgenden HTTP-Methoden:
ERHALTEN
BEREITSTELLEN
OPTIONEN
KOPF
STELLEN
LÖSCHEN
SPUR
VERBINDEN
Benutzernachrichten und Weiterleitungs-URLs für die erweiterte Webfilterung (EWF)
Ab Junos OS Version 15.1X49-D110 wird eine neue Option, custom-message, für den Befehl hinzugefügt, mit der custom-objects Sie Benutzernachrichten und Umleitungs-URLs konfigurieren können, um Benutzer zu benachrichtigen, wenn eine URL für jede EWF-Kategorie blockiert oder unter Quarantäne gestellt wird. Die custom-message Option hat die folgenden obligatorischen Attribute:
Name: Name der benutzerdefinierten Nachricht; Die maximale Länge beträgt 59 Byte.
Typ: Typ der benutzerdefinierten Nachricht:
user-messageoderredirect-url.Inhalt: Inhalt der benutzerdefinierten Nachricht; Die maximale Länge beträgt 1024 Byte.
Sie konfigurieren eine Benutzernachricht oder Umleitungs-URL als benutzerdefiniertes Objekt und weisen das benutzerdefinierte Objekt einer EWF-Kategorie zu.
Benutzernachrichten weisen darauf hin, dass der Zugriff auf die Website durch die Zugriffsrichtlinie einer Organisation blockiert wurde. Um eine Benutzernachricht zu konfigurieren, fügen Sie die
type user-message content message-textAnweisung auf Hierarchieebene[edit security utm custom-objects custom-message message]ein.Umleitungs-URLs: Leiten eine blockierte oder unter Quarantäne gestellte URL auf eine benutzerdefinierte URL um. Um eine Umleitungs-URL zu konfigurieren, fügen Sie die
type redirect-url content redirect-urlAnweisung auf Hierarchieebene[edit security utm custom-objects custom-message message]ein.
Die custom-message Option bietet die folgenden Vorteile:
Sie können für jede EWF-Kategorie eine separate benutzerdefinierte Nachricht oder Umleitungs-URL konfigurieren.
Mit dieser
custom-messageOption können Sie Nachrichten fein abstimmen, um Ihre Richtlinien zu unterstützen, damit sie wissen, welche URL blockiert oder unter Quarantäne gestellt wird.Für jede Kategorie wird nur eine
custom-messageKonfigurationsoption angewendet. Diecustom-messageKonfiguration wird nur bei der erweiterten Webfilterung (Enhanced Web Filtering, EWF) unterstützt. Daher wird nur der EWF-Engine-Typ von Juniper unterstützt.
Ab Junos OS Version 17.4R1 ist die Unterstützung für die Konfiguration benutzerdefinierter Kategorien für lokale und Websense-Umleitungsprofile verfügbar.
Siehe auch
Grundlegendes zum erweiterten Webfilterungsprozess
Mit der Webfilterung können Sie den Internetzugang verwalten und so den Zugriff auf unangemessene Webinhalte verhindern. Die Funktion Enhanced Web Filtering (EWF) fängt HTTP- oder HTTPS-Datenverkehr auf folgende Weise ab, scannt ihn und reagiert darauf:
Das Gerät stellt TCP-Socket-Verbindungen zur Websense ThreatSeeker Cloud (TSC) her.
Das Gerät fängt eine HTTP- oder HTTPS-Verbindung ab und extrahiert URL, Hostnamen oder IP-Adresse, um eine Webfilterung durchzuführen. Bei einer HTTPS-Verbindung wird EWF über einen SSL-Forward-Proxy unterstützt.
Ab Junos OS Version 12.3X48-D25 und Junos OS Version 17.3R1 unterstützt Enhanced Web Filtering (EWF) über SSL Forward Proxy HTTPS-Datenverkehr.
Das Gerät sucht nach der URL in der vom Benutzer konfigurierten Sperrliste oder Zulassungsliste.
Eine Sperrliste oder ein Positivlisten-Aktionstyp ist eine benutzerdefinierte Kategorie, in der alle URLs oder IP-Adressen immer blockiert oder zugelassen und optional protokolliert werden.
Wenn sich die URL in der vom Benutzer konfigurierten Sperrliste befindet, blockiert das Gerät die URL.
Wenn sich die URL in der vom Benutzer konfigurierten Zulassungsliste befindet, lässt das Gerät die URL zu.
Das Gerät überprüft die benutzerdefinierten Kategorien und blockiert oder lässt die URL basierend auf der benutzerdefinierten Aktion für die Kategorie zu.
Das Gerät sucht im lokalen Cache oder im Cloud-Dienst nach der Kategorie "Predefiend".
Wenn die URL nicht im URL-Filtercache verfügbar ist, sendet das Gerät die URL im HTTP-Format mit einer Kategorisierungsanforderung an den TSC. Das Gerät verwendet eine der Verbindungen, die dem TSC zur Verfügung gestellt werden, um die Anforderung zu senden.
Der TSC antwortet auf das Gerät mit der Kategorisierung und einem Reputationswert.
Das Gerät führt basierend auf der identifizierten Kategorie die folgenden Aktionen aus:
Wenn die URL zulässig ist, leitet das Gerät die HTTP-Anforderung an den HTTP-Server weiter.
Wenn die URL blockiert ist, sendet das Gerät eine Verweigerungsseite an den HTTP-Client und sendet außerdem eine Reset-Nachricht an den HTTP-Server, um die Verbindung zu schließen
Wenn die URL unter Quarantäne gestellt wird, sendet das Gerät eine Quarantäneseite mit set-cookie an den HTTP-Client. Wenn der Client beschlossen hat, fortzufahren, lässt das Gerät eine neue Anfrage mit Cookie zu.
Wenn die Kategorie konfiguriert ist und die Kategorieaktion verfügbar ist, lässt das Gerät die URL basierend auf der Kategorieaktion zu oder blockiert sie.
Wenn die Kategorie nicht konfiguriert ist, lässt das Gerät die URL basierend auf der Aktion "Globale Reputation" zu oder blockiert sie.
Wenn die globale Reputation nicht konfiguriert ist, lässt das Gerät die URL basierend auf der im Webfilterprofil konfigurierten Standardaktion zu oder blockiert sie.
Standardmäßig verarbeitet die EWF eine URL in der Reihenfolge Sperrliste, Zulassungsliste, benutzerdefinierte Kategorie und dann vordefinierte Kategorie.
- Funktionale Anforderungen für die erweiterte Webfilterung
- Cache-Vorabladung für erweiterte Webfilterung
- Benutzernachrichten und Weiterleitungs-URLs für die erweiterte Webfilterung (EWF)
- Intelligente Webfilterung Profilauswahl
Funktionale Anforderungen für die erweiterte Webfilterung
Die folgenden Elemente sind erforderlich, um Enhanced Web Filtering (EWF) zu verwenden:
License key— Sie müssen eine neue Lizenz installieren, um auf die EWF-Lösung zu aktualisieren.
Sie können die Warnmeldung "erfordert 'wf_key_websense_ewf'-Lizenz" ignorieren, da sie durch die routinemäßige EWF-Lizenzvalidierungsprüfung generiert wird.
Nach Ablauf des Lizenzschlüssels wird für die EWF-Funktion eine Nachfrist von 30 Tagen gewährt, die mit anderen Content Security-Funktionen übereinstimmt.
Für diese Funktion ist eine Lizenz erforderlich. Allgemeine Informationen zum Lizenzmanagement finden Sie im Lizenzierungshandbuch . Weitere Informationen entnehmen Sie bitte den Produktdatenblättern unter Firewalls der SRX-Serie oder wenden Sie sich an Ihr Juniper Account-Team oder Ihren Juniper Partner.
Wenn der Kulanzzeitraum für die EWF-Funktion verstrichen ist (oder wenn die Funktion nicht installiert wurde), wird die Webfilterung deaktiviert, alle HTTP-Anforderungen umgehen die Webfilterung und alle Verbindungen zum TSC werden deaktiviert. Wenn Sie eine gültige Lizenz installieren, werden die Verbindungen zum Server wieder hergestellt.
Der
debugBefehl stellt die folgenden Informationen für jede TCP-Verbindung bereit, die auf dem Gerät verfügbar ist:Anzahl der bearbeiteten Anfragen
Anzahl der ausstehenden Anfragen
Anzahl der Fehler (verworfene oder zeitgesteuerte Anforderungen)
TCP connection between a Web client and a webserver—Ein APPID-Modul (Application Identification) wird verwendet, um eine HTTP-Verbindung zu identifizieren. Die EWF-Lösung identifiziert eine HTTP-Verbindung, nachdem das Gerät das erste SYN-Paket empfangen hat. Wenn ein HTTP-Request blockiert werden muss, sendet EWF eine Blockierungsnachricht vom Gerät an den Web-Client. EWF sendet außerdem eine TCP FIN-Anfrage an den Client und einen TCP-Reset (RST) an den Server, um die Verbindung zu deaktivieren. Das Gerät sendet alle Nachrichten über die Flow-Sitzung. Die Nachrichten folgen der gesamten Servicekette.
HTTP request interception- EWF fängt die erste HTTP-Anfrage auf dem Gerät ab und führt eine URL-Filterung für alle in HTTP 1.0 und HTTP 1.1 definierten Methoden durch. Das Gerät speichert die ursprüngliche Anforderung, während es auf eine Antwort vom TSC wartet. Wenn das erste Paket in der HTTP-URL fragmentiert ist oder das Gerät die URL aus irgendeinem Grund nicht extrahieren kann, wird die Ziel-IP-Adresse für die Kategorisierung verwendet. Wenn Sie diese Option aktivieren
http-reassemble, kann EWF die gesamte Anforderung aus dem Fragment wiederherstellen und die URL abrufen.Bei persistenten HTTP 1.1-Verbindungen werden die nachfolgenden Anforderungen für diese Sitzung vom EWF-Modul ignoriert.
Wenn das Gerät die ursprüngliche Anforderung über einen längeren Zeitraum speichert, überträgt der Client die Anforderung erneut. Der URL-Filtercode erkennt die erneut übertragenen Pakete. Wenn die ursprüngliche HTTP-Anfrage bereits weitergeleitet wurde, leitet EWF das erneut übertragene Paket an den Server weiter. Wenn sich EWF jedoch mitten in der Verarbeitung des ersten Pakets befindet oder die Berechnung zum Blockieren der Sitzung durchführt, verwirft die Lösung das erneut übertragene Paket. Ein Zähler verfolgt die Anzahl der erneut übertragenen Pakete, die vom Gerät empfangen wurden.
Wenn der TSC nicht rechtzeitig auf die Kategorisierungsanforderung vom Gerät reagiert, wird die ursprüngliche Clientanforderung gemäß der Timeout-Fallbackeinstellung blockiert oder zugelassen.
HTTPS request interception—Ab Junos OS 15.1X49-D40 und Junos OS Release 17.3R1 fängt EWF HTTPS-Datenverkehr ab, der die Firewall der SRX-Serie passiert. Der Sicherheitskanal vom Gerät wird aufgeteilt in einen SSL-Kanal zwischen dem Client und dem Gerät und einen weiteren SSL-Kanal zwischen dem Gerät und dem HTTPS-Server. Der SSL-Forward-Proxy fungiert als Terminal für beide Kanäle und leitet den Klartextverkehr an die Content Security weiter. Content Security extrahiert die URL aus der HTTP-Anforderungsnachricht.
Blocking message—Die an den Webclient gesendete Blockierungsnachricht ist vom Benutzer konfigurierbar und weist folgende Typen auf:
Die Sperrmeldung von Juniper Networks ist die auf dem Gerät definierte Standardmeldung, die vom Benutzer geändert werden kann. Die standardmäßige Blockierungsmeldung enthält den Grund, warum die Anforderung blockiert ist, und den Kategorienamen (wenn sie aufgrund einer Kategorie blockiert ist).
Syslog-Meldung.
Wenn Sie z. B. die Aktion für Enhanced_Search_Engines_and_Portals zum Blockieren festgelegt haben und versuchen, auf www.example.com zuzugreifen, hat die Blockierungsmeldung das folgende Format: Juniper Web Filtering:Juniper Web Filtering has been set to block this site. CATEGORY: Enhanced_Search_Engines_and_Portals REASON: BY_PRE_DEFINED . Die entsprechende Syslog-Meldung auf dem zu testenden Gerät (DUT) lautet jedoch: WEBFILTER_URL_BLOCKED: WebFilter: ACTION="URL Blocked" 56.56.56.2(59418)->74.125.224.48(80) CATEGORY="Enhanced_Search_Engines_and_Portals" REASON="by predefined category" PROFILE="web-ewf" URL=www.example.com OBJ=/ .
Monitoring the Websense server—Das URL-Filtermodul verwendet zwei Methoden, um zu bestimmen, ob der TSC aktiv ist: Socket-Verbindungen und Heartbeat. EWF verwaltet persistente TCP-Sockets für den TSC. Der Server antwortet mit einer TCP-ACK, wenn er aktiviert ist. EWF sendet einen NOOP-Keepalive auf Anwendungsebene an den TSC. Wenn das Gerät in einem bestimmten Zeitraum keine Antworten auf drei aufeinanderfolgende NOOP-Keepalives empfängt, wird festgestellt, dass der Socket inaktiv ist. Das EWF-Modul versucht, eine neue Verbindung zum TSC herzustellen. Wenn alle Steckdosen inaktiv sind, gilt der TSC als inaktiv. Daher tritt ein Fehler auf. Der Fehler wird angezeigt und protokolliert. Nachfolgende Anforderungen und ausstehende Anforderungen werden entsprechend der Fallbackeinstellung für die Serverkonnektivität entweder blockiert oder übergeben, bis neue Verbindungen zum TSC wieder geöffnet werden.
HTTP protocol communication with the TSC—EWF verwendet das HTTP 1.1-Protokoll, um mit dem TSC zu kommunizieren. Dies gewährleistet eine dauerhafte Verbindung und Übertragung mehrerer HTTP-Anfragen über dieselbe Verbindung. Eine einzelne HTTP-Anforderung oder -Antwort wird für die Client- oder Serverkommunikation verwendet. Der TSC kann Anforderungen verarbeiten, die sich in der Warteschlange befinden. Für eine optimale Leistung wird ein asynchroner Anforderungs- oder Antwortmechanismus verwendet. Die Anforderungen werden über TCP gesendet, daher wird die TCP-Neuübertragung verwendet, um die Zustellung von Anforderungen oder Antworten sicherzustellen. TCP stellt außerdem sicher, dass gültige, nicht erneut übertragene HTTP-Streamdaten in der richtigen Reihenfolge an den HTTP-Client auf dem Gerät gesendet werden.
Responses– Die Antworten entsprechen den grundlegenden HTTP-Konventionen. Zu den erfolgreichen Antworten gehört ein 20-facher Antwortcode (in der Regel 200). Eine Fehlerantwort enthält den Code 4xx oder 5xx. Fehlerantworten in der 4xx-Serie weisen auf Probleme im benutzerdefinierten Code hin. Fehlermeldungen in der 5xx-Serie weisen auf Probleme mit dem Dienst hin.
Fehlercodes und -bedeutungen lauten wie folgt:
400–Ungültige Anfrage
403–Verboten
404–Nicht gefunden
408 – Anfrage abgebrochen oder Nullantwort
500 – Interner Serverfehler
Fehler in der Serie 400 weisen auf Probleme mit der Anforderung hin. Fehler in der Serie 500 weisen auf Probleme mit dem TSC-Dienst hin. Websense wird automatisch über diese Fehler informiert und reagiert entsprechend.
Sie können die Standardfallback-Einstellung konfigurieren, um zu bestimmen, ob die Anforderung bestanden oder blockiert werden soll:
set security utm feature-profile web-filtering juniper-enhanced profile juniper-enhanced fallback-settings default ?Die Antwort enthält auch die Informationen zur Websitekategorisierung und zur Websitereputation.
Categories—Auf dem Gerät ist eine Kategorieliste verfügbar. Diese Liste besteht aus Kategorien, die jeweils einen Kategoriecode, einen Namen und eine übergeordnete ID enthalten. Kategorien können auch benutzerdefiniert werden. Jede Kategorie besteht aus einer Liste von URLs oder IP-Adressen. Kategorien werden nicht dynamisch aktualisiert und sind an die Junos OS-Version gebunden, da sie in das Junos OS-Image kompiliert werden müssen. Alle Updates in Kategorien müssen mit dem Junos OS-Releasezyklus synchronisiert werden.
Ab Junos OS Version 17.4R1 können Sie neue EWF-Kategorien herunterladen und dynamisch laden. Für den Download und das dynamische Laden der neuen EWF-Kategorien ist kein Software-Upgrade erforderlich. Websense veröffentlicht gelegentlich neue EWF-Kategorien. EWF klassifiziert Websites nach Host, URL oder IP-Adresse in Kategorien und führt eine Filterung basierend auf den Kategorien durch.
Wenn die Dateiübertragung der Kategorie zwischen dem primären und dem sekundären Gerät fehlschlägt, führt die Dateiübertragung zu einem Aktualisierungsfehler, und es wird ein Fehlerprotokoll erstellt.
Wenn bei der Installation einer neuen Kategoriedatei der Kategoriedateiname geändert wird, überschreibt die neue Kategoriedatei die alte Kategoriedatei im internen System, und alle zugehörigen Ausgabeinformationen werden durch den neuen Kategorienamen ersetzt.
Ab Junos OS Version 17.4R1 werden vordefinierte Basisfilter, die in einer Kategoriedatei definiert sind, für einzelne EWF-Kategorien unterstützt. Jede EWF-Kategorie verfügt über eine Standardaktion in einem Basisfilter, der an das Benutzerprofil angehängt ist und als Backup-Filter fungiert. Wenn die Kategorien nicht im Benutzerprofil konfiguriert sind, führt der Basisfilter die Aktion aus.
Ein Basisfilter ist ein Objekt, das ein Kategorie-Aktions-Paar für alle in der Kategoriedatei definierten Kategorien enthält. Ein Basisfilter ist ein strukturiertes Objekt und wird mit Hilfe eines Filternamens und eines Arrays von Kategorie-Aktions-Paaren definiert.
Im Folgenden finden Sie ein Beispiel für einen Basisfilter mit einem Array von Kategorie-Aktions-Paaren. Für die Kategorie Enhanced_Adult_Material ist die Aktion blockiert. Für die Kategorie Enhanced_Blog_Posting ist die Aktion zulässig. Und so weiter.
{ "predefined-filter": [ { "filter-name": "ewf-default-filter", "cat-action-table": [ {"name":"Enhanced_Adult_Material","action":"block"}, {"name":"Enhanced_Blog_Posting","action":"permit"}, {"name":"Enhanced_Blog_Commenting","action":"permit"} ] } ] }EWF unterstützt bis zu 16 Basisfilter. Junos OS Version 17.4R1 unterstützt auch die Online-Aktualisierung von Basisfiltern.
Wenn das Benutzerprofil denselben Namen wie der Basisfilter hat, verwendet der Webfilter das falsche Profil.
Caching—Erfolgreich kategorisierte Antworten werden auf dem Gerät zwischengespeichert. Nicht kategorisierte URLs werden nicht zwischengespeichert. Die Größe des Caches kann vom Benutzer konfiguriert werden.
Safe search (HTTP support only, not HTTPS)—Eine Lösung für die sichere Suche wird verwendet, um sicherzustellen, dass die eingebetteten Objekte, z. B. Bilder auf den von den Suchmaschinen empfangenen URLs, sicher sind und dass keine unerwünschten Inhalte an den Client zurückgegeben werden.
Dem TSC wird eine URL zur Verfügung gestellt, um Kategorisierungsinformationen bereitzustellen. Wenn es sich um eine Such-URL handelt, gibt der TSC auch eine Zeichenfolge für die sichere Suche zurück. Die Zeichenfolge für die sichere Suche lautet safe=activez. B. . Diese Zeichenfolge für die sichere Suche wird an die URL angehängt, und eine Umleitungsantwort zum Umleiten der Clientabfrage mit der sicheren Suche wird aktiviert. Dadurch wird sichergestellt, dass keine unsicheren Inhalte an den Client zurückgegeben werden. Wenn der TSC angibt, dass es sicher durchsucht werden muss, können Sie die Safe-Search-Umleitung durchführen.
Beispiel: Der Client stellt eine Anfrage an die URL https://www.google.com/search?q=test, was vom EWF-Profil zugelassen wird. Im Paketmodus generiert die EWF auf dem Prüfling eine HTTP 302-Antwort mit der Umleitungs-URL: https://www.google.com/search?q=test&safe=active. Diese Antwort wird an den Client zurückgegeben. Der Client sendet nun eine sichere Umleitungsanforderung an diese URL. Im Stream-Modus schreibt die EWF auf dem Prüfling die URL in https://www.google.com/search?q=test&safe=active um und leitet sie weiter.
Anmerkung:Die Safe-Search-Umleitung unterstützt nur HTTP. Sie können die URL für HTTPS nicht extrahieren. Daher ist es nicht möglich, eine Weiterleitungsantwort für HTTPS-Such-URLs zu generieren. Weiterleitungen für die sichere Suche können mithilfe der CLI-Option
no-safe-searchdeaktiviert werden.Site reputation– Der TSC stellt Informationen zur Standortreputation bereit. Basierend auf diesen Reputationen können Sie eine Blockierungs- oder eine Genehmigungsaktion auswählen. Wenn die URL nicht von einer Zulassungs- oder Sperrliste behandelt wird und nicht in einen Benutzer oder eine vordefinierte Kategorie fällt, kann die Reputation verwendet werden, um eine Entscheidung über die URL-Filterung durchzuführen.
Ab Junos OS Version 17.4R1 sind die Reputationsbewertungen konfigurierbar. Benutzer können globale Reputationswerte anwenden, die von der Websense ThreatSeeker Cloud (TSC) bereitgestellt werden. Für die Nicht-Kategorie-URLs wird der globale Reputationswert verwendet, um die Filterung durchzuführen.
Die Reputationswerte sind wie folgt:
100-90 – Die Website gilt als sehr sicher.
80-89–Der Standort gilt als mäßig sicher.
70-79 – Die Website gilt als ziemlich sicher.
60-69 – Die Website gilt als verdächtig.
0-59–Die Website wird als schädlich angesehen.
Das Gerät führt ein Protokoll für URLs, die basierend auf den Reputationsbewertungen der Website blockiert oder zugelassen werden.
Profiles—Ein URL-Filterprofil ist als eine Liste von Kategorien definiert, wobei jedem Profil ein Aktionstyp (Zulassen, Protokollieren und Zulassen, Blockieren, Quarantäne) zugeordnet ist. Ein vordefiniertes Profil junos-wf-enhanced-default wird Benutzern zur Verfügung gestellt, wenn sie kein eigenes Profil definieren möchten.
Sie können auch eine Aktion basierend auf der Site-Reputation in einem Profil definieren, um die Aktion anzugeben, wenn die eingehende URL zu keiner der im Profil definierten Kategorien gehört. Wenn Sie die Informationen zur Verarbeitung der Site-Reputation nicht konfigurieren, können Sie eine Standardaktion definieren. Alle URLs, die keine definierte Kategorie oder definierte Reputationsaktion in ihrem Profil haben, werden blockiert, zugelassen, protokolliert und unter Quarantäne gestellt, je nachdem, wie die Blockierungs- oder Genehmigungsbehandlung für die im Profil explizit definierte Standardaktion erfolgt. Wenn Sie keine Standardaktion angeben, werden die URLs zugelassen. Wenn es bei Suchmaschinenanfragen keine explizite benutzerdefinierte Konfiguration gibt und die URL-Anfrage ohne die Option für die sichere Suche ist, generiert EWF eine Umleitungsantwort und sendet sie an den Client. Der Client generiert eine neue Suchanforderung, bei der die Option für die sichere Suche aktiviert ist.
Ein URL-Filterprofil kann die folgenden Elemente enthalten:
Mehrere benutzerdefinierte und vordefinierte Kategorien, jeweils mit einer Genehmigungs- oder Blockierungsaktion
Mehrere Kategorien für den Umgang mit der Website-Reputation, jede mit einer Genehmigungs- oder Blockierungsaktion
Eine Standardaktion mit einer Genehmigungs- oder Blockierungsaktion
Die Reihenfolge der Suche ist Sperrliste, Zulassungsliste, benutzerdefinierte Kategorie, vordefinierte Kategorie, sichere Suche, Websitereputation und Standardaktion.
Cache-Vorabladung für erweiterte Webfilterung
Ab Junos OS Version 23.2R1 wird der Cache beim Systemstart mit der am besten bewerteten, häufig besuchten URL-Liste zusammen mit den Klassifizierungsinformationen geladen. Dies ist nützlich für Benutzer mit einer langsamen Internetverbindung, die aufgrund des Remotekategorisierungsdiensts eine hohe Latenz beim Zugriff auf das Web erleben. Dadurch wird sichergestellt, dass es auch bei der ersten Anforderung keine Verzögerung gibt, da die Entscheidung über die Webfilterrichtlinie auf den URL-Kategorieinformationen basiert, die im Cache vorab geladen sind.
Der Cache ist standardmäßig nicht aktiviert. Stellen Sie sicher, dass die Zwischenspeicherung aktiviert ist, um diese Funktion verwenden zu können. Die folgenden Konfigurationen sind erforderlich, um das Caching für Enhanced Web Filtering (EWF) zu aktivieren, und sie sind in Firewalls der SRX-Serie verfügbar.
-
security utm default-configuration web-filtering juniper-enhanced cache timeout -
security utm default-configuration web-filtering juniper-enhanced cache size
Verwenden Sie die folgenden CLI-Konfigurationsanweisungsoptionen für das Vorabladen des Caches für die erweiterte Webfilterung:
security {
utm {
default-configuration {
web-filtering {
juniper-enhanced {
cache-preload {
feed-url <URL>;
automatic {
interval 1;
retry 1;
feed-type <server-names-feed>;
}
}
}
}
}
}
}
| feed-url | Wird verwendet, um eine alternative Datei anstelle der standardmäßigen hartcodierten Datei herunterzuladen. Es ist nicht verpflichtend. Hartcodierte Standardwerte werden verwendet, wenn sie nicht festgelegt sind. Standard-Feed-URL: https://update.juniper-updates.net/EWF-CACHE-PRELOAD/ Je nach Feedtyp wird eine der folgenden Standardeinstellungen verwendet: https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_feed.tgz https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_feed.tgz |
| Automatisch | Wird verwendet, um den Download- und Preload-Cache automatisch ohne Benutzerinteraktion festzulegen. |
| Automatisches Intervall <Uhrzeit in Stunden> | Wird verwendet, um das automatische Vorabladen des Caches zu planen. Es ist obligatorisch, wenn die automatische Option angegeben ist. |
| Automatische Wiederholung <Uhrzeit in Stunden> | Wird verwendet, um Wiederholungsversuche zu planen, wenn das automatische Vorabladen des Caches aus irgendeinem Grund fehlschlägt. Es ist obligatorisch, wenn die automatische Option angegeben ist. |
| automatischer Feed-Typ <abs-urls-feed oder server-names-feed> | Wird verwendet, um den Feedtyp anzugeben, der von den Funktionen für den automatischen Download und das Vorabladen verwendet werden soll. Es ist obligatorisch, wenn die automatische Option angegeben ist. |
Mit dem folgenden Befehl können Sie die maximale Anzahl von Einträgen im Cache begrenzen:
set security utm default-configuration web-filtering juniper-enhanced cache size ?
Mögliche Ausführungen:
<size> Juniper enhanced cache size (0..4096 kilobytes)
In der CLI sind neue Betriebsbefehle für die Funktion "Enhanced Web Filtering Cache Preload" verfügbar.
Sie können die Betriebsbefehle verwenden, um den URL-Feed Ihrer Wahl vom Remote-Server herunterzuladen. Die Option Feed-URL ist nützlich, um eine alternative Datei anstelle der standardmäßigen hartcodierten Datei herunterzuladen. Auch bei den Optionen "Feed-URL", "server-names-feed" und "abs-urls-feed" müssen Sie den Feed-Typ angeben, der in dem von Ihnen angegebenen Paket verfügbar ist.
-
request security utm web-filtering cache-preload download abs-urls-feed -
request security utm web-filtering cache-preload download server-names-feed -
request security utm web-filtering cache-preload download server-names-feed feed-url https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_fp_feed.tgz -
request security utm web-filtering cache-preload download abs-urls-feed feed-url https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_fp_feed.tgz
Das vom Benutzer angegebene Paket des Typs server-names-feed muss die server_names_feed.csv Dateien and server_names_feed.ver enthalten.
Das vom Benutzer angegebene Paket vom Typ abs-urls-feed must enthält die abs_urls_feed.csv Dateien und abs_urls_feed.ver .
Im Folgenden sind die hartcodierten Links aufgeführt. Das Programm wählt einen Link basierend auf dem Feed-Typ aus.
https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_feed.tgz
https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_feed.tgz
Verwenden Sie die folgenden Betriebsbefehle, um das Vorabladen des Caches mithilfe des vorhandenen URL-Feeds im System auszulösen. Mit diesen Befehlen wird der Cache geladen, wenn das Paket bereits mit den Befehlen zum Herunterladen installiert wurde. Verwenden Sie die Option server-names-feed, um kategorisierte Servernamen vorab zu laden. Verwenden Sie abs-urls-feed, um den kategorisierten URL-Feed vorab zu laden.
-
request security utm web-filtering cache-preload load-active-local server-names-feed -
request security utm web-filtering cache-preload load-active-local abs-urls-feed
Verwenden Sie Folgendes, um den Standard-URL-Feed vom Remote-Server herunterzuladen, zu installieren und den Cache zu laden. Verwenden Sie die Option server-names-feed, um kategorisierte Servernamen herunterzuladen. Verwenden Sie abs-urls-feed, um den kategorisierten URL-Feed herunterzuladen.
-
request security utm web-filtering cache-preload load-active server-names-feed -
request security utm web-filtering cache-preload load-active abs-urls-feed
Verwenden Sie den folgenden Befehl, um den Status der Cache-Preload-Funktion zu überprüfen:
user@host> show security utm web-filtering cache-preload status
Benutzernachrichten und Weiterleitungs-URLs für die erweiterte Webfilterung (EWF)
Ab Junos OS Version 15.1X49-D110 wird eine neue Option, custom-message, für die Anweisung hinzugefügt, mit der custom-objects Sie Benutzernachrichten und Umleitungs-URLs konfigurieren können, um Benutzer zu benachrichtigen, wenn eine URL für jede EWF-Kategorie blockiert oder unter Quarantäne gestellt wird. Die custom-message Option hat die folgenden obligatorischen Attribute:
Name: Name der benutzerdefinierten Nachricht; Die maximale Länge beträgt 59 ASCII-Zeichen.
Typ: Typ der benutzerdefinierten Nachricht:
user-messageoderredirect-url.Inhalt: Inhalt der benutzerdefinierten Nachricht; Die maximale Länge beträgt 1024 ASCII-Zeichen.
Sie konfigurieren eine Benutzernachricht oder Umleitungs-URL als benutzerdefiniertes Objekt und weisen das benutzerdefinierte Objekt einer EWF-Kategorie zu.
Benutzernachrichten weisen darauf hin, dass der Zugriff auf die Website durch die Zugriffsrichtlinie einer Organisation blockiert wurde. Um eine Benutzernachricht zu konfigurieren, fügen Sie die
type user-message content message-textAnweisung auf Hierarchieebene[edit security utm custom-objects custom-message message]ein.Umleitungs-URLs: Leiten eine blockierte oder unter Quarantäne gestellte URL auf eine benutzerdefinierte URL um. Um eine Umleitungs-URL zu konfigurieren, fügen Sie die
type redirect-url content redirect-urlAnweisung auf Hierarchieebene[edit security utm custom-objects custom-message message]ein.
Die custom-message Option bietet die folgenden Vorteile:
Sie können für jede EWF-Kategorie eine separate benutzerdefinierte Nachricht oder Umleitungs-URL konfigurieren.
Mit dieser
custom-messageOption können Sie Nachrichten fein abstimmen, um Ihre Richtlinien zu unterstützen, damit sie wissen, welche URL blockiert oder unter Quarantäne gestellt wird.Für jede Kategorie wird nur eine
custom-messageKonfigurationsoption angewendet. Diecustom-messageKonfiguration wird nur bei der erweiterten Webfilterung (Enhanced Web Filtering, EWF) unterstützt. Daher wird nur der EWF-Engine-Typ von Juniper unterstützt.
Ab Junos OS Version 17.4R1 ist die Unterstützung für die Konfiguration benutzerdefinierter Kategorien für lokale und Websense-Umleitungsprofile verfügbar.
Intelligente Webfilterung Profilauswahl
Ab Junos OS Version 23.2R1 werden dynamische App-Informationen aus JDPI verwendet, um Richtlinieninformationen abzurufen, bevor der endgültige Richtlinienabgleich durchgeführt wird. Das Webfilterprofil wird nach der endgültigen Richtlinienauswahl basierend auf der endgültigen Übereinstimmung mit der Anwendung erneut aktualisiert.
Das Content Security-Profil, das basierend auf den dynamischen App-Informationen abgerufen wird, ist genauer als das Anwenden des Standardprofils, was der frühere Ansatz war.
Die dynamische App-basierte Richtlinienerkennung ist jetzt das Standardverhalten. Der folgende Knopf wird in der Standardkonfigurationshierarchie der Webfilterung hinzugefügt, um die Funktion zur Erkennung dynamischer App-Profile bei Bedarf zu deaktivieren.
set security utm default-configuration web-filtering disable-dynapp-profile-selection
Um eine der Content Security-Richtlinien als Standard festzulegen, wird der folgende Befehl eingeführt:
set security utm default-policy <pol_name>
Mit diesem Befehl können Sie eine beliebige Content Security-Richtlinie als Standardrichtlinie auswählen. Wenn die Standardrichtlinie in einem einheitlichen Konfigurationsszenario mit mehreren Richtlinien konfiguriert ist, wird die standardmäßige Content Security Web Filtering-Richtlinie verwendet. Wenn sie nicht konfiguriert ist, wird junos-default-utm-policy als Standardrichtlinie verwendet.
Die standardmäßigen Richtlinienänderungen gelten nur für die Webfilterung und nicht für Inhaltsfilterung, Antivirus oder Antispam.
Der folgende CLI-Befehl wird verwendet, um die Konfiguration von dynapp-profile-selection anzuzeigen:
show security utm web-filtering status
Status der Inhaltssicherheit Webfilterung:
Server status: Juniper Enhanced using Websense server UP
JDPI Parser : Enabled
Dynapp-profile-selection: Enabled
Verwenden Sie den folgenden Befehl, um die Debugindikatorwerte für Richtliniensuchaktivitäten anzuzeigen:
show security utm l7-app-policy statistics
Den Webfilterstatistiken werden neue Leistungsindikatoren für das Debuggen hinzugefügt.
| Sitzungen, die mit der dynapp-Richtlinie übereinstimmen |
Erhöht sich, wenn sich die Richtlinie, die einer uf_ng-Sitzung zugeordnet ist, basierend auf der neu identifizierten App-ID ändert. |
| Sitzungen, die mit der Standardrichtlinie übereinstimmen |
Erhöht sich, wenn die für eine Verbindung ausgeführte Inhaltssicherheitsrichtlinienaktion auf der vom Benutzer konfigurierten Standardrichtlinie basiert. Dieser Leistungsindikator erhöht sich, wenn die vom Benutzer konfigurierte Standardrichtlinie mit der Richtlinie übereinstimmt, die von new dynamic-app identifiziert wird, oder wenn die vom Benutzer konfigurierte Standardrichtlinie über ein gültiges Content Security Web Filtering-Profil verfügt und die Richtlinie "keine" mit der vorhandenen Firewallrichtlinie übereinstimmt. |
| Sitzungen, die mit der endgültigen Richtlinie übereinstimmen |
Erhöht sich, wenn Aktionen für eine Content Security-Richtlinie ausgeführt werden, ohne dass es zu einem Konflikt zwischen den Richtlinien kommt. |
Verwenden Sie den show services application-identification application-system-cache Befehl, um die dynamische Anwendung zu überprüfen, die vom AppID-Modul identifiziert wird.
Siehe auch
Übersicht über vordefinierte Kategorie-Upgrades und Basisfilter-Konfiguration
Sie können neue EWF-Kategorien (Enhanced Web Filtering) ohne Software-Upgrade herunterladen und dynamisch laden. Die vordefinierten Basisfilter, die in einer Kategoriedatei definiert sind, werden für einzelne EWF-Kategorien unterstützt.
So konfigurieren Sie ein vordefiniertes Kategorie-Upgrade ohne Software-Upgrade:
UTM-Custom-Objekte für Sicherheit anzeigen
category-package{
automatic{
interval 60;
enable;
start-time "2017-09-05.08.08.08";
}
route-instance VRF;
url https://update.juniper-updates.net/EWF;
}
UTM-Funktionsprofil anzeigen Webfilterung Juniper Enhanced
server {
host rp.cloud.threatseeker.com;
}
sockets 8;
profile ewf_p1 {
+ base-filter gov-filter;
default log-and-permit;
timeout 15;
}
+reputation {
reputation-very-safe 90;
reputation-moderately-safe 80;
reputation-fairly-safe 70;
reputation-suspicious 60;
}
Siehe auch
Beispiel: Konfigurieren der erweiterten Webfilterung
Dieses Beispiel zeigt, wie Sie die erweiterte Webfilterung (Enhanced Web Filtering, EWF) für die Verwaltung des Websitezugriffs konfigurieren. Diese Funktion wird von allen Firewalls der SRX-Serie unterstützt. Die EWF-Lösung fängt HTTP- und HTTPS-Anfragen ab und sendet die HTTP-URL oder die HTTPS-Quell-IP an die Websense ThreatSeeker Cloud (TSC). Der TSC kategorisiert die URL in eine oder mehrere vordefinierte Kategorien und stellt außerdem Informationen zur Websitereputation bereit. Der TSC gibt außerdem die URL-Kategorie und die Site-Reputationsinformationen an das Gerät zurück. Die Firewall der SRX-Serie bestimmt, ob sie die Anforderung auf der Grundlage der vom TSC bereitgestellten Informationen zulassen oder blockieren kann.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
SRX5600 Gerät
Junos OS Version 12.1X46-D10 oder höher
Bevor Sie beginnen, sollten Sie mit der Webfilterung und der erweiterten Webfilterung (EWF) vertraut sein. Weitere Informationen finden Sie unter Übersicht über die Webfilterung und Grundlegendes zum erweiterten Webfilterungsprozess.
Überblick
Die Webfilterung wird verwendet, um zu überwachen und zu steuern, wie Benutzer über HTTP und HTTPS auf die Website zugreifen. In diesem Beispiel konfigurieren Sie eine URL-Musterliste (Zulassungsliste) von URLs oder Adressen, die Sie umgehen möchten. Nachdem Sie die URL-Musterliste erstellt haben, definieren Sie die benutzerdefinierten Objekte. Nachdem Sie die benutzerdefinierten Objekte definiert haben, wenden Sie sie auf Featureprofile an, um die Aktivität für jedes Profil zu definieren, wenden das Featureprofil auf die Content Security-Richtlinie an und fügen schließlich die Content Security-Richtlinien für die Webfilterung an die Sicherheitsrichtlinien an. Tabelle 3 zeigt Informationen über den EWF-Konfigurationstyp, die Schritte und die Parameter, die in diesem Beispiel verwendet werden.
Konfigurationstyp |
Konfigurationsschritte |
Konfigurationsparameter |
|---|---|---|
URL pattern and custom objects |
Konfigurieren Sie eine URL-Musterliste (Zulassungsliste) mit URLs oder Adressen, die Sie umgehen möchten. Erstellen Sie ein benutzerdefiniertes Objekt mit dem Namen urllist3, das das Muster http://www.example.net 1.2.3.4 enthält |
|
Fügen Sie das benutzerdefinierte urllist3-Objekt der benutzerdefinierten URL-Kategorie custurl3 hinzu. |
|
|
Feature profiles |
Konfigurieren Sie das Funktionsprofil für die Webfilterung: |
|
|
|
|
|
|
|
|
|
|
|
|
Konfiguration
In diesem Beispiel wird gezeigt, wie benutzerdefinierte URL-Muster, benutzerdefinierte Objekte, Funktionsprofile und Sicherheitsrichtlinien konfiguriert werden.
- Konfigurieren von benutzerdefinierten Objekten und URL-Mustern für erweiterte Webfilterung
- Konfigurieren von Funktionsprofilen für die erweiterte Webfilterung
- Sicherheitsrichtlinien für die Webfilterung an Sicherheitsrichtlinien anhängen
Konfigurieren von benutzerdefinierten Objekten und URL-Mustern für erweiterte Webfilterung
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security utm custom-objects url-pattern urllist3 value http://www.example.net set security utm custom-objects url-pattern urllist3 value 1.2.3.4 set security utm custom-objects url-pattern urllistblack value http://www.untrusted.com set security utm custom-objects url-pattern urllistblack value 13.13.13.13 set security utm custom-objects url-pattern urllistwhite value http://www.trusted.com set security utm custom-objects url-pattern urllistwhite value 11.11.11.11 set security utm custom-objects custom-url-category custurl3 value urllist3 set security utm custom-objects custom-url-category custblacklist value urllistblack set security utm custom-objects custom-url-category custwhiltelist value urllistwhite
Ab Junos OS Version 15.1X49-D110 stimmt das "* " in einer Platzhaltersyntax, das zum Erstellen eines URL-Musters für das Webfilterprofil erforderlich ist, mit allen Subdomänen überein. Beispiel: *.example.net stimmt mit Folgendem überein:
http://a.example.net
http://example.net
a.b.example.net
Eine benutzerdefinierte Kategorie hat keinen Vorrang vor einer vordefinierten Kategorie, wenn sie denselben Namen wie eine der vordefinierten Kategorien hat. Verwenden Sie für eine benutzerdefinierte Kategorie nicht denselben Namen, den Sie für eine vordefinierte Kategorie verwendet haben.
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie benutzerdefinierte Objekte und URL-Muster in der erweiterten Webfilterung:
Konfigurieren Sie eine URL-Musterliste (Zulassungsliste) mit URLs oder Adressen, die Sie umgehen möchten. Nachdem Sie die URL-Musterliste erstellt haben, erstellen Sie eine benutzerdefinierte URL-Kategorieliste und fügen ihr die Musterliste hinzu. Konfigurieren Sie ein benutzerdefiniertes URL-Musterlistenobjekt, indem Sie den Listennamen erstellen und ihm wie folgt Werte hinzufügen:
Anmerkung:Da Sie URL-Musterlisten verwenden, um benutzerdefinierte URL-Kategorielisten zu erstellen, müssen Sie benutzerdefinierte URL-Musterlistenobjekte konfigurieren, bevor Sie benutzerdefinierte URL-Kategorielisten konfigurieren.
[edit security utm] user@host# set custom-objects url-pattern urllist3 value [http://www. example.net 1.2.3.4]
Anmerkung:Die Richtlinie für die Verwendung eines URL-Musterplatzhalters lautet wie folgt: Verwenden Sie \*\.[] \?* und stellen Sie allen Platzhalter-URLs http:// voran. Sie können "*" nur verwenden, wenn es am Anfang der URL steht und von "." gefolgt wird. Sie können "?" nur am Ende der URL verwenden.
Die folgenden Platzhaltersyntaxen werden unterstützt: http://*. example.net, http://www.example.ne?, http://www.example.n??. Die folgenden Platzhaltersyntaxen werden nicht unterstützt: *.example.???, http://*example.net, http://?.
Erstellen Sie ein benutzerdefiniertes Objekt mit dem Namen urllist3, das das Muster http://www.example.net enthält, und fügen Sie dann das benutzerdefinierte Objekt urllist3 der benutzerdefinierten URL-Kategorie custurl3 hinzu.
[edit security utm] user@host# set custom-objects custom-url-category custurl3 value urllist3
Erstellen Sie eine Liste der nicht vertrauenswürdigen und vertrauenswürdigen Sites.
[edit security utm] user@host# set custom-objects url-pattern urllistblack value [http://www.untrusted.com 13.13.13.13] user@host# set custom-objects url-pattern urllistwhite value [http://www.trusted.com 11.11.11.11]
Konfigurieren Sie das benutzerdefinierte Objekt der benutzerdefinierten URL-Kategorieliste, indem Sie die URL-Musterliste der nicht vertrauenswürdigen und vertrauenswürdigen Websites verwenden.
[edit security utm] user@host# set custom-objects custom-url-category custblacklist value urllistblack user@host# set custom-objects custom-url-category custwhitelist value urllistwhite
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security utm custom-objects Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security utm custom-objects
url-pattern {
urllist3 {
value [ 1.2.3.4 http://www.example.net ];
}
urllistblack {
value [ 13.13.13.13 http://www.untrusted.com ];
}
urllistwhite {
value [ 11.11.11.11 http://www.trusted.com ];
}
}
custom-url-category {
custurl3 {
value urllist3;
}
custblacklist {
value urllistblack;
}
custwhiltelist {
value urllistwhite;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfigurieren von Funktionsprofilen für die erweiterte Webfilterung
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
Ab Junos OS Version 12.3X48-D25 sind neue CLI-Optionen verfügbar. Die http-reassemble Optionen und http-persist werden im show security utm feature-profile web-filtering Befehl hinzugefügt.
set security utm default-configuration web-filtering juniper-enhanced set security utm default-configuration web-filtering juniper-enhanced cache size 500 set security utm default-configuration web-filtering juniper-enhanced cache timeout 1800 set security utm default-configuration web-filtering juniper-enhanced server host rp.cloud.threatseeker.com set security utm default-configuration web-filtering juniper-enhanced server port 80 set security utm default-configuration web-filtering http-reassemble set security utm default-configuration web-filtering http-persist set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile category Enhanced_Hacking action log-and-permit set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile category Enhanced_Government action quarantine set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile site-reputation-action very-safe permit set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile default block set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile fallback-settings server-connectivity block set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile fallback-settings timeout block set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile fallback-settings too-many-requests block set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile timeout 10 set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile no-safe-search set security utm utm-policy mypolicy web-filtering http-profile ewf_my_profile set security policies from-zone utm_clients to-zone mgmt policy 1 then permit application-services utm-policy mypolicy
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie die EWF-Funktionsprofile:
-
Konfigurieren Sie die EWF-Engine und legen Sie die Parameter für die Cachegröße und das Cache-Timeout fest.
[edit security utm default-configuration web-filtering] user@host# set juniper-enhanced cache size 500 user@host# set juniper-enhanced cache timeout 1800
Legen Sie den Servernamen oder die IP-Adresse und die Portnummer für die Kommunikation mit dem Server fest. Der Standard-Hostwert im System ist rp.cloud.threatseeker.com.
[edit security utm default-configuration web-filtering] user@host# set juniper-enhanced server host rp.cloud.threatseeker.com user@host# set juniper-enhanced server port 80
Legen Sie die
http-reassembleAnweisung fest, um das angeforderte Paket wieder zusammenzusetzen, und die Anweisung, jedeshttp-persistHTTP-Anforderungspaket in derselben Sitzung zu überprüfen. Wenn diehttp-reassembleAnweisung nicht für Klartext-HTTP-Datenverkehr konfiguriert ist, setzt EWF die fragmentierte HTTP-Anforderung nicht wieder zusammen, um eine unvollständige Analyse in der paketbasierten Prüfung zu vermeiden. Wenn diehttp-persistAnweisung nicht für Klartext-HTTP-Verkehr konfiguriert ist, prüft EWF nicht jedes HTTP-Anforderungspaket in derselben Sitzung.[edit security utm default-configuration web-filtering] user@host# set http-reassemble user@host# set http-persist
Geben Sie die Aktion an, die abhängig von der für die URL zurückgegebenen Site-Reputation ausgeführt werden soll, wenn keine Kategorieübereinstimmung gefunden wird.
[edit security utm feature-profile web-filtering] user@host#set juniper-enhanced profile ewf_my_profile site-reputation-action very-safe permit
-
Geben Sie eine Standardaktion für das Profil an, wenn keine andere explizit konfigurierte Aktion übereinstimmt.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf_my_profile default block
Konfigurieren Sie die Fallback-Einstellungen (Blockieren oder Protokollieren und Zulassen) für dieses Profil.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf_my_profile fallback-settings default block user@host# set juniper-enhanced profile ewf_my_profile fallback-settings server-connectivity block user@host# set juniper-enhanced profile ewf_my_profile fallback-settings timeout block user@host# set juniper-enhanced profile ewf_my_profile fallback-settings too-many-requests block
Geben Sie einen Timeout-Wert in Sekunden ein. Wenn dieser Grenzwert erreicht ist, werden Fallback-Einstellungen angewendet. In diesem Beispiel wird der Timeoutwert auf 10 festgelegt. Sie können auch die Safe-Search-Funktion deaktivieren. Standardmäßig sind Suchanfragen Zeichenfolgen für die sichere Suche zugeordnet, und es wird eine Umleitungsantwort gesendet, um sicherzustellen, dass alle Suchanfragen sicher oder streng sind.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf_my_profile timeout 10 user@host# set juniper-enhanced profile ewf_my_profile no-safe-search
Anmerkung:Der Timeout-Wertebereich für SRX210, SRX220, SRX240, SRX300, SRX320, SRX345, SRX380, SRX550, SRX1500, SRX4100 und SRX4200 liegt zwischen 0 und 1800 Sekunden, und der Standardwert ist 15 Sekunden. Der Timeout-Wertebereich für SRX3400 und SRX3600 beträgt 1 bis 120 Sekunden, und der Standardwert ist 3 Sekunden.
-
Konfigurieren Sie eine Inhaltssicherheitsrichtlinie
mypolicyfür das HTTP-Protokoll für die Webfilterung, die sie der Inhaltssicherheitsrichtlinie zuordnetewf_my_profile, und fügen Sie diese Richtlinie an ein Sicherheitsprofil an, um sie zu implementieren.[edit security utm] user@host# set utm-policy mypolicy web-filtering http-profile ewf_my_profile
-
Hängen Sie die Inhaltssicherheitsrichtlinie
mypolicyan die Sicherheitsrichtlinie1an.[edit] user@host# set security policies from-zone utm_clients to-zone mgmt policy 1 then permit application-services utm-policy mypolicy
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security utm feature-profile Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security utm
default-configuration {
web-filtering {
http-reassemble;
http-persist;
juniper-enhanced {
cache {
timeout 1800;
size 500;
}
server {
host rp.cloud.threatseeker.com;
port 80;
}
}
}
}
feature-profile {
web-filtering {
http-reassemble;
http-persist;
juniper-enhanced {
profile ewf_my_profile {
category {
Enhanced_Hacking {
action log-and-permit;
}
Enhanced_Government {
action quarantine;
}
}
site-reputation-action {
very-safe permit;
}
default block;
fallback-settings {
server-connectivity block;
timeout block;
too-many-requests block;
}
timeout 10;
no-safe-search;
}
utm-policy mypolicy {
web-filtering {
http-profile ewf_my_profile;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Sicherheitsrichtlinien für die Webfilterung an Sicherheitsrichtlinien anhängen
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security policies from-zone trust to-zone untrust policy sec_policy match source-address any set security policies from-zone trust to-zone untrust policy sec_policy match destination-address any set security policies from-zone trust to-zone untrust policy sec_policy match application any set security policies from-zone trust to-zone untrust policy sec_policy then permit application-services utm-policy mypolicy
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So fügen Sie eine Content Security-Richtlinie an eine Sicherheitsrichtlinie an:
Erstellen Sie die Sicherheitsrichtlinie sec_policy.
[edit] user@host# set security policies from-zone trust to-zone untrust policy sec_policy
Geben Sie die Übereinstimmungsbedingungen für sec-policy an.
[edit security policies from-zone trust to-zone untrust policy sec_policy] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any
-
Hängen Sie die Content Security-Richtlinie mypolicy an die sec_policy der Sicherheitsrichtlinie an.
[edit security policies from-zone trust to-zone untrust policy sec_policy] user@host# set then permit application-services utm-policy mypolicy
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
sec_policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
utm-policy mypolicy;
}
}
}
}
}
default-policy {
permit-all;
}
Nachdem Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie in den Konfigurationsmodus.
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- Überprüfen des Status des Webfilterservers
- Überprüfen, ob die Webfilterstatistiken gestiegen sind
- Überprüfen, ob die Sicherheitsrichtlinie für Webfilterinhalte an die Sicherheitsrichtlinie angefügt ist
Überprüfen des Status des Webfilterservers
Zweck
Überprüfen Sie den Status des Webfilterservers.
Aktion
Geben Sie oben in der Konfiguration im Betriebsmodus den show security utm web-filtering status Befehl ein.
user@host> show security utm web-filtering status
UTM web-filtering status:
Server status: Juniper Enhanced using Websense server UP
Bedeutung
Die Befehlsausgabe zeigt, dass die Verbindung zum Webfilterserver aktiv ist.
Überprüfen, ob die Webfilterstatistiken gestiegen sind
Zweck
Überprüfen Sie den Anstieg der Webfilterstatistiken. Der anfängliche Zählerwert ist 0. Wenn eine HTTP-Anforderungs-URL getroffen wird, steigt die Webfilterstatistik.
Aktion
Geben Sie oben in der Konfiguration im Betriebsmodus den show security utm web-filtering statistics Befehl ein.
user@host> show security utm web-filtering statistics
UTM web-filtering statistics:
Total requests: 0
white list hit: 0
Black list hit: 0
Queries to server: 0
Server reply permit: 0
Server reply block: 0
Server reply quarantine: 0
Server reply quarantine block: 0
Server reply quarantine permit: 0
Custom category permit: 0
Custom category block: 0
Custom category quarantine: 0
Custom category qurantine block: 0
Custom category quarantine permit: 0
Site reputation permit: 0
Site reputation block: 0
Site reputation quarantine: 0
Site reputation quarantine block: 0
Site reputation quarantine permit: 0
Site reputation by Category 0
Site reputation by Global 0
Cache hit permit: 0
Cache hit block: 0
Cache hit quarantine: 0
Cache hit quarantine block: 0
Cache hit quarantine permit: 0
Safe-search redirect: 0
SNI pre-check queries to server: 1
SNI pre-check server responses: 1
Web-filtering sessions in total: 128000
Web-filtering sessions in use: 0
Fallback: log-and-permit block
Default 0 0
Timeout 0 0
Connectivity 0 0
Too-many-requests 0 0
Bedeutung
In der Ausgabe werden Webfilterstatistiken für Verbindungen angezeigt, einschließlich Treffern auf der Zulassungsliste und der Blockierliste sowie Treffern der benutzerdefinierten Kategorie. Wenn eine HTTP-Anforderungs-URL erreicht wird, erhöht sich die Webfilterstatistik gegenüber einem früheren Wert.
Überprüfen, ob die Sicherheitsrichtlinie für Webfilterinhalte an die Sicherheitsrichtlinie angefügt ist
Zweck
Vergewissern Sie sich, dass die Webfilter-Inhaltssicherheitsrichtlinie mypolicy an die sec_policy der Sicherheitsrichtlinie angefügt ist.
Aktion
Geben Sie im Betriebsmodus den show security policy Befehl ein.
user@host> show security policies global policy-name mypolicy detail
node0:
-
Global policies:
Policy: mypolicy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1
From zones: zone1, zone2
To zones: zone3, zone4
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Unified Threat Management: enabled
Bedeutung
Die Ausgabe zeigt eine Zusammenfassung aller auf dem Gerät konfigurierten Sicherheitsrichtlinien an. Wenn eine bestimmte Richtlinie angegeben ist, werden Informationen angezeigt, die für diese Richtlinie spezifisch sind. Wenn Content Security aktiviert ist, wird mypolicy an sec_policy angehängt.
Grundlegendes zur Quarantäneaktion für die erweiterte Webfilterung
Content Security Enhanced Web Filtering unterstützt Block-, Log-and-Permit- und Permit-Aktionen für HTTP/HTTPS-Anfragen. Darüber hinaus unterstützt Content Security Enhanced Web Filtering jetzt die Quarantäneaktion, die den Zugriff auf die blockierte Website basierend auf der Antwort des Benutzers auf die Nachricht zulässt oder verweigert.
In der folgenden Sequenz wird erläutert, wie die HTTP- oder HTTPS-Anforderung von der Quarantäneaktion abgefangen, umgeleitet und bearbeitet wird:
Der HTTP-Client fordert URL-Zugriff an.
Das Gerät fängt die HTTP-Anforderung ab und sendet die extrahierte URL an die Websense Thread Seeker Cloud (TSC).
Der TSC gibt die URL-Kategorie und die Site-Reputationsinformationen an das Gerät zurück.
Wenn die für die Kategorie konfigurierte Aktion Quarantäne ist, protokolliert das Gerät die Quarantäneaktion und sendet eine Umleitungsantwort an den HTTP-Client.
Die URL wird zur Umleitung an den HTTP-Server gesendet.
Das Gerät zeigt eine Warnmeldung an, die besagt, dass der Zugriff auf die URL gemäß den Sicherheitsrichtlinien der Organisation blockiert ist, und fordert den Benutzer auf, darauf zu reagieren.
Wenn der Benutzer mit "Nein" antwortet, wird die Sitzung beendet. Wenn die Benutzerantwort "Ja" lautet, wird dem Benutzer der Zugriff auf die Site gewährt, und dieser Zugriff wird protokolliert und dem Administrator gemeldet.
Die Quarantäneaktion wird nur für die erweiterte Webfilterung von Content Security oder die erweiterte Webfilterung von Juniper unterstützt.
Quarantine Message
Die Quarantänenachricht, die an den HTTP-Client gesendet wird, kann vom Benutzer konfiguriert werden und weist die folgenden Typen auf:
Standardmeldung
Die standardmäßige Quarantänemeldung wird angezeigt, wenn ein Benutzer versucht, auf eine unter Quarantäne gestellte Website zuzugreifen, und enthält die folgenden Informationen:
URL-Name
Grund für die Quarantäne
Kategorie (falls vorhanden)
Site-Reputation (falls vorhanden)
Wenn Sie z. B. die Aktion für Enhanced_Search_Engines_and_Portals auf Quarantäne festgelegt haben und versuchen, auf www.search.example.com zuzugreifen, lautet die Quarantänemeldung wie folgt:
***The requested webpage is blocked by your organization's access policy***.
Syslog-Meldung.
Die Syslog-Meldung wird vom System protokolliert, wenn der Benutzer auf die Webseite zugreift, die bereits unter Quarantäne gestellt und als Blockieren oder Zulassen markiert wurde.
Die entsprechende Syslog-Meldung auf dem zu testenden Gerät lautet:
Jan 25 15:10:40 rodian utmd[3871]: WEBFILTER_URL_BLOCKED: WebFilter: ACTION="URL Blocked" 99.99.99.4(60525)->74.125.224.114(80) CATEGORY="Enhanced_Search_Engines_and_Portals" REASON="by predefined category(quarantine)" PROFILE="ewf-test-profile" URL=www.search.example.com OBJ=/
Ab Junos OS 12.1X47-D40 und Junos OS Version 17.3R1 haben sich die strukturierten Protokollfelder geändert. Die Änderungen an den strukturierten Protokollfeldern in den Content Security-Webfilterprotokollen WEBFILTER_URL_BLOCKED, WEBFILTER_URL_REDIRECTED und WEBFILTER_URL_PERMITTED lauten wie folgt:
name -> categoryerror-message -> reasonprofile-name -> profileobject-name -> urlpathname -> obj
Benutzernachrichten und Weiterleitungs-URLs für die erweiterte Webfilterung (EWF)
Ab Junos OS Version 15.1X49-D110 wird eine neue Option, custom-message, für die Anweisung hinzugefügt, mit der custom-objects Sie Benutzernachrichten und Umleitungs-URLs konfigurieren können, um Benutzer zu benachrichtigen, wenn eine URL für jede EWF-Kategorie blockiert oder unter Quarantäne gestellt wird. Die custom-message Option hat die folgenden obligatorischen Attribute:
Name: Name der benutzerdefinierten Nachricht; Die maximale Länge beträgt 59 ASCII-Zeichen.
Typ: Typ der benutzerdefinierten Nachricht:
user-messageoderredirect-url.Inhalt: Inhalt der benutzerdefinierten Nachricht; Die maximale Länge beträgt 1024 ASCII-Zeichen.
Sie konfigurieren eine Benutzernachricht oder Umleitungs-URL als benutzerdefiniertes Objekt und weisen das benutzerdefinierte Objekt einer EWF-Kategorie zu.
Benutzernachrichten weisen darauf hin, dass der Zugriff auf die Website durch die Zugriffsrichtlinie einer Organisation blockiert wurde. Um eine Benutzernachricht zu konfigurieren, fügen Sie die
type user-message content message-textAnweisung auf Hierarchieebene[edit security utm custom-objects custom-message message]ein.Umleitungs-URLs: Leiten eine blockierte oder unter Quarantäne gestellte URL auf eine benutzerdefinierte URL um. Um eine Umleitungs-URL zu konfigurieren, fügen Sie die
type redirect-url content redirect-urlAnweisung auf Hierarchieebene[edit security utm custom-objects custom-message message]ein.
Die custom-message Option bietet die folgenden Vorteile:
Sie können für jede EWF-Kategorie eine separate benutzerdefinierte Nachricht oder Umleitungs-URL konfigurieren.
Mit dieser
custom-messageOption können Sie Nachrichten fein abstimmen, um Ihre Richtlinien zu unterstützen, um zu wissen, welche URL blockiert oder unter Quarantäne gestellt wurde.Für jede Kategorie wird nur eine benutzerdefinierte Nachrichtenkonfigurationsoption angewendet. Die benutzerdefinierte Nachrichtenkonfiguration wird nur bei der erweiterten Webfilterung (Enhanced Web Filtering, EWF) unterstützt. Daher wird nur der EWF-Engine-Typ von Juniper unterstützt.
Ab Junos OS Version 17.4R1 ist die Unterstützung für die Konfiguration benutzerdefinierter Kategorien für lokale und Websense-Umleitungsprofile verfügbar.
Siehe auch
Beispiel: Konfigurieren der Site Reputation-Aktion für erweiterte Webfilterung
In diesem Beispiel wird gezeigt, wie Sie die Aktion "Websitereputation" sowohl für kategorisierte als auch für nicht kategorisierte URLs konfigurieren.
Anforderungen
Bevor Sie beginnen, sollten Sie mit der Webfilterung und der erweiterten Webfilterung vertraut sein. Weitere Informationen finden Sie unter Übersicht über die Webfilterung und Grundlegendes zum erweiterten Webfilterungsprozess.
Überblick
In diesem Beispiel konfigurieren Sie Webfilterprofile mithilfe der Websitereputationsaktion für URLs gemäß definierten Kategorien. Sie legen die Filterkategorie für die URL-Zulassungsliste auf url-cat-white und den Typ der Webfilter-Engine auf juniper-enhanced. Anschließend legen Sie die Cachegrößenparameter für die Webfilterung und die Cache-Timeoutparameter auf 1 fest.
Dann erstellen Sie ein juniper-enhanced Profil mit dem Namen profile ewf-test-profile, legen die Kategorie URL-Zulassungsliste auf cust-cat-quarantineund legen die Reputationsaktion auf Quarantäne fest.
Sie geben eine benutzerdefinierte Nachricht ein, die gesendet werden soll, wenn HTTP-Anforderungen unter Quarantäne gestellt werden. In diesem Beispiel wird die folgende Nachricht gesendet: The requested webpage is blocked by your organization's access policy.
Sie blockieren URLs in der Kategorie Enhanced_News_and_Media und lassen URLs in der Kategorie Enhanced_Education zu. Anschließend stellen Sie die URLs in der Kategorie Enhanced_Streaming_Media unter Quarantäne und konfigurieren das Gerät so, dass die folgende Nachricht gesendet wird: The requested webpage is blocked by your organization's access policy.
In diesem Beispiel legen Sie die Standardaktion auf "Zulassen" fest. Sie wählen Fallback-Einstellungen (Blockieren oder Log-and-Permit) für dieses Profil aus, falls in jeder konfigurierten Kategorie Fehler auftreten. Schließlich legen Sie die Fallback-Einstellungen auf Blockieren fest.
Konfiguration
Konfigurieren der Aktion "Site Reputation"
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security utm feature-profile web-filtering juniper-enhanced cache size set security utm feature-profile web-filtering juniper-enhanced reputation reputation-very-safe 85 set security utm feature-profile web-filtering juniper-enhanced reputation reputation-moderately-safe 75 set security utm feature-profile web-filtering juniper-enhanced reputation reputation-fairly-safe 65 set security utm feature-profile web-filtering juniper-enhanced reputation reputation-suspicious 55 set security utm feature-profile web-filtering juniper-enhanced cache timeout 1 set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category cust-cat-quarantine action quarantine set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category Enhanced_News_and_Media action block set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category Enhanced_Education action permit set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category Enhanced_Education reputation-action harmful block set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category Enhanced_Streaming_Media action quarantine set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile default permit set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile default quarantine-message “*** The requested webpage is blocked by your organization’s access policy***”. set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile fallback-settings server-connectivity block set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile fallback-settings timeout block
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie die Aktion "Site-Reputation":
-
Geben Sie die Engine für erweiterte Webfilterung an, und legen Sie die Parameter für die Cachegröße fest.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced cache size
Konfigurieren Sie die grundlegenden Reputationsbewertungen.
[edit security utm feature-profile web-filtering] set juniper-enhanced reputation reputation-very-safe 85 set juniper-enhanced reputation reputation-moderately-safe 75 set juniper-enhanced reputation reputation-fairly-safe 65 set juniper-enhanced reputation reputation-suspicious 55
Anmerkung:Der Basis-Reputationswert muss bestellt werden.
Legen Sie die Parameter für das Cache-Timeout fest.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced cache timeout 1
Erstellen Sie einen Profilnamen und wählen Sie eine Kategorie aus der Zulassungsliste aus.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile category cust-cat-quarantine action quarantine
Erstellen Sie einen Profilnamen und wählen Sie eine Kategorie aus der Zulassungsliste aus.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile category Enhanced_News_and_Media action block [edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile category Enhanced_Education action permit user@host# set juniper-enhanced profile ewf-test-profile category Enhanced_Education action harmful block [edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile category Enhanced_Streaming_Media action quarantine
Geben Sie eine Warnmeldung ein, die gesendet werden soll, wenn HTTP-Anforderungen unter Quarantäne gestellt werden.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile quarantine-custom-message "***The requested webpage is blocked by your organization's access policy ***"
Wählen Sie eine Standardaktion (Zulassen, Protokollieren und Zulassen, Blockieren oder Quarantäne) für das Profil aus, wenn keine andere explizit konfigurierte Aktion (Sperrliste, Zulassungsliste, benutzerdefinierte Kategorie, vordefinierte Kategorie oder Site-Reputation) übereinstimmt.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile default permit
Wählen Sie Fallback-Einstellungen (Blockieren oder Anmelden und Zulassen) für dieses Profil aus.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile fallback-settings server-connectivity block user@host# set juniper-enhanced profile ewf-test-profile fallback-settings timeout block
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security utm Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security utm
feature-profile{
web-filtering {
type juniper-enhanced;
traceoptions;
flag all;
}
juniper-enhanced {
reputation {
reputation-very-safe 85
reputation-moderately-safe 75
reputation-fairly-safe 65
reputation-suspicious 55
cache {
timeout 1
}
profile ewf-test-profile {
category {
cust-cat-quarantine {
action quarantine;
}
Enhanced_News_and_Media {
action block;
reputation-action;
}
Enhanced_Education {
action permit;
reputation-action;
{
harmful block;
}
}
Enhanced_Streaming_Media {
action quarantine;
}
}
default permit;
quarantine-custom-message "***The requested webpage is blocked by your organization's access policy***".
fallback-settings {
server-connectivity block;
timeout block;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen des Status des Content Security-Dienstes
- Überprüfen des Status der Inhaltssicherheitssitzung
- Überprüfen des Status der Inhaltssicherheits-Webfilterung
- Überprüfen der Statistiken der Inhaltssicherheit Webfilterung
- Überprüfen des URL-Status mithilfe der Protokolldatei
Überprüfen des Status des Content Security-Dienstes
Zweck
Überprüfen Sie den Status des Content Security-Diensts.
Aktion
Geben Sie im Betriebsmodus den show security utm status Befehl ein.
Beispielausgabe
Befehlsname
user@host>show security utm status UTM service status: Running
Überprüfen des Status der Inhaltssicherheitssitzung
Zweck
Überprüfen Sie den Content Security-Sitzungsstatus.
Aktion
Geben Sie im Betriebsmodus den show security utm session Befehl ein.
Beispielausgabe
Befehlsname
user@host>show security utm session UTM session info: Maximum sessions: 4000 Total allocated sessions: 0 Total freed sessions: 0 Active sessions: 0
Überprüfen des Status der Inhaltssicherheits-Webfilterung
Zweck
Überprüfen Sie den Content Security Web-Filterstatus.
Aktion
Geben Sie im Betriebsmodus den show security utm web-filtering status Befehl ein.
Beispielausgabe
Befehlsname
user@host>show security utm web-filtering status
UTM web-filtering status:
Server status: Juniper Enhanced using Websense server UP
Überprüfen der Statistiken der Inhaltssicherheit Webfilterung
Zweck
Überprüfen Sie die Webfilterstatistiken für Verbindungen, einschließlich der Treffer auf der Zulassungsliste und der Blockierliste sowie der Treffer der benutzerdefinierten Kategorie.
Aktion
Geben Sie im Betriebsmodus den show security utm web-filtering statistics Befehl ein.
Beispielausgabe
Befehlsname
user@host>show security utm web-filtering statistics
UTM web-filtering statistics:
Total requests: 2594
white list hit: 0
Black list hit: 0
Queries to server: 2407
Server reply permit: 1829
Server reply block: 0
Server reply quarantine: 517
Server reply quarantine block: 0
Server reply quarantine permit: 8
Custom category permit: 0
Custom category block: 0
Custom category quarantine: 0
Custom category qurantine block: 0
Custom category quarantine permit: 0
Site reputation permit: 0
Site reputation block: 0
Site reputation quarantine: 0
Site reputation quarantine block: 0
Site reputation quarantine permit: 0
Site reputation by Category 0
Site reputation by Global 0
Cache hit permit: 41
Cache hit block: 0
Cache hit quarantine: 144
Cache hit quarantine block: 0
Cache hit quarantine permit: 1
Safe-search redirect: 0
Web-filtering sessions in total: 16000
Web-filtering sessions in use: 0
Fallback: log-and-permit block
Default 0 0
Timeout 0 0
Connectivity 0 1
Too-many-requests 0 0
Überprüfen des URL-Status mithilfe der Protokolldatei
Zweck
Überprüfen Sie den Status der blockierten und zulässigen URL mithilfe der Protokolldatei.
Aktion
Um blockierte und zugelassene URLs anzuzeigen, senden Sie die Content Security-Protokolle im Stream-Modus an einen Syslog-Server. Weitere Informationen finden Sie unter: Konfigurieren von externen binären Sicherheitsprotokolldateien.
Geben Sie im Betriebsmodus den show log messages | match RT_UTM Befehl ein.
Beispielausgabe
Befehlsname
user@host>show log messages | match RT_UTM RT_UTM: WEBFILTER_URL_BLOCKED: WebFilter: ACTION="URL Blocked" source-zone="trust" destination-zone="untrust" 4.0.0.3(59466)->5.0.0.3(80) SESSION_ID=268436912 APPLICATION="UNKNOWN" NESTED-APPLICATION="UNKNOWN" CATEGORY="URL_Blacklist" REASON="BY_BLACK_LIST" PROFILE="ewf" URL=www.example1.com OBJ=/ username N/A roles N/A application-sub-category N/A urlcategory-risk 0
Überblick über die Unterstützung für den TAP-Modus für Content Security
Im TAP-Modus wird eine Firewall der SRX-Serie mit einem Mirror-Port des Switches verbunden, der eine Kopie des Datenverkehrs bereitstellt, der den Switch durchquert. Eine Firewall der SRX-Serie im TAP-Modus verarbeitet den eingehenden Datenverkehr von der TAP-Schnittstelle und generiert ein Sicherheitsprotokoll, in dem Informationen zu erkannten Bedrohungen, Anwendungsnutzung und Benutzerdetails angezeigt werden.
Ab Junos OS Version 19.1R1 können Sie den TAP-Modus im Content Security-Modul aktivieren. Wenn Sie den TAP-Modus für das Content Security-Modul aktivieren, überprüft die Firewall der SRX-Serie den ein- und ausgehenden Datenverkehr, der mit einer oder mehreren Firewall-Richtlinien mit dem aktivierten Content Security-Service übereinstimmt. Der TAP-Modus kann den Datenverkehr nicht blockieren, generiert jedoch Sicherheitsprotokolle, Berichte und Statistiken, um die Anzahl der erkannten Bedrohungen, die Anwendungsnutzung und Benutzerdetails anzuzeigen. Wenn ein Paket in der TAP-Schnittstelle verloren geht, beendet Content Security die Verbindung, und der TAP-Modus generiert keine Sicherheitsprotokolle, Berichte und Statistiken für diese Verbindung. Die Content Security-Konfiguration bleibt die gleiche wie im Nicht-TAP-Modus.
Content Security-Funktionen, die auf einer Firewall der SRX-Serie konfiguriert sind, funktionieren weiterhin und tauschen Informationen vom Server aus. Um die Content Security-Funktionalität verwenden zu können, wenn die Firewall der SRX-Serie im TAP-Modus konfiguriert ist, müssen Sie den DNS-Server so konfigurieren, dass die IP-Adressen des Cloud-Servers aufgelöst werden.
Um den TAP-Modus zu verwenden, wird die Firewall der SRX-Serie mit einem Mirror-Port des Switches verbunden, der eine Kopie des Datenverkehrs bereitstellt, der den Switch durchquert. Die Firewall der SRX-Serie verarbeitet den eingehenden Datenverkehr von der TAP-Schnittstelle und generiert Sicherheitsprotokollinformationen, um Informationen über erkannte Bedrohungen, Anwendungsnutzung und Benutzerdetails anzuzeigen.
Im TAP-Modus führt die Firewall der SRX-Serie Folgendes aus:
Erweiterte Webfilterung (EWF) für gespiegelten HTTP-Datenverkehr.
Sophos Antivirus (SAV) für gespiegelten HTTP/FTP/SMTP/POP3/IMAP-Datenverkehr.
Antispam (AS) für gespiegelten SMTP-Datenverkehr.
Siehe auch
Tabelle "Änderungshistorie"
Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.
custom-message, für den Befehl hinzugefügt, mit der
custom-objects Sie Benutzernachrichten und Umleitungs-URLs konfigurieren können, um Benutzer zu benachrichtigen, wenn eine URL für jede EWF-Kategorie blockiert oder unter Quarantäne gestellt wird.
custom-message, für die Anweisung hinzugefügt, mit der
custom-objects Sie Benutzernachrichten und Umleitungs-URLs konfigurieren können, um Benutzer zu benachrichtigen, wenn eine URL für jede EWF-Kategorie blockiert oder unter Quarantäne gestellt wird.
custom-message, für die Anweisung hinzugefügt, mit der
custom-objects Sie Benutzernachrichten und Umleitungs-URLs konfigurieren können, um Benutzer zu benachrichtigen, wenn eine URL für jede EWF-Kategorie blockiert oder unter Quarantäne gestellt wird.