AUF DIESER SEITE
Schritt 1: URLs auflisten, die Sie zulassen oder blockieren möchten
Schritt 2: Kategorisieren der URLs, die Sie zulassen oder blockieren möchten
Schritt 4: Verweisen auf ein Webfilterprofil in einer Inhaltssicherheitsrichtlinie
Schritt 5: Zuweisen einer Inhaltssicherheitsrichtlinie zu einer Sicherheitsrichtlinie
Schritt 6: Überprüfen, ob die URLs auf dem Server zugelassen oder blockiert sind
Zulassen oder Blockieren von Websites mithilfe der integrierten J-Web Content Security Webfilterung
Erfahren Sie mehr über die Webfilterung und das Filtern von URLs auf Firewalls der SRX-Serie mit aktivierter Inhaltssicherheit mithilfe von J-Web. Die Webfilterung hilft Ihnen, den Zugriff auf das Web zuzulassen oder zu blockieren und Ihren Netzwerkverkehr zu überwachen.
Inhaltssicherheit URL-Filterung – Übersicht
Heutzutage verbringen die meisten von uns viel Zeit im Internet. Wir surfen auf unseren Lieblingsseiten, folgen interessanten Links, die uns per E-Mail zugesandt werden, und nutzen eine Vielzahl von webbasierten Anwendungen für unser Büronetzwerk. Diese verstärkte Nutzung des Netzwerks hilft uns sowohl persönlich als auch beruflich. Es setzt das Unternehmen jedoch auch einer Vielzahl von Sicherheits- und Geschäftsrisiken aus, wie z. B. potenziellem Datenverlust, mangelnder Compliance und Bedrohungen wie Malware, Viren usw. In diesem Umfeld mit erhöhtem Risiko ist es für Unternehmen ratsam, Web- oder URL-Filter zur Kontrolle von Netzwerkbedrohungen zu implementieren. Sie können einen Web- oder URL-Filter verwenden, um Websites im Internet zu kategorisieren und den Benutzerzugriff zuzulassen oder zu blockieren.
Hier ist ein Beispiel für eine typische Situation, in der ein Benutzer des Büronetzwerks Zugriff auf eine Website blockiert hat:
Im Webbrowser gibt der Benutzer , eine beliebte Spieleseite ein www.game.co.uk. Der Benutzer erhält eine Meldung wie Access Denied oder The Website is blocked. Die Anzeige einer solchen Meldung bedeutet, dass Ihre Organisation einen Filter für die Spielewebsites eingefügt hat und Sie von Ihrem Arbeitsplatz aus nicht auf die Website zugreifen können.
Der Juniper Web (J-Web) Geräte-Manager unterstützt Content Security Webfilterung auf Firewalls der SRX-Serie.
Ab Junos OS 22.2R1:
-
In der J-Web-GUI wird der Begriff UTM durch Content Security ersetzt.
-
In Junos CLI-Befehlen verwenden wir weiterhin den alten Begriff UTM für Inhaltssicherheit.
In J-Web definiert ein Webfilterung-Profil eine Reihe von Berechtigungen und Aktionen basierend auf Webverbindungen, die durch Website-Kategorien vordefiniert sind. Sie können auch benutzerdefinierte URL-Kategorien und URL-Musterlisten für ein Webfilterungs-Profil erstellen.
URLs in E-Mails können nicht mit der J-Web Content Security-Webfilterung überprüft werden.
Vorteile der Inhaltssicherheit Webfilterung
-
Lokale Webfilterung:
-
Erfordert keine Lizenz.
-
Ermöglicht es Ihnen, Ihre eigenen Listen mit zulässigen Websites (Zulassungsliste) oder blockierten Websites (Blockliste) zu definieren, für die Sie eine Richtlinie erzwingen möchten.
-
-
Erweiterte Webfilterung:
-
Ist die leistungsstärkste integrierte Filtermethode und umfasst eine granulare Liste von URL-Kategorien, Unterstützung für Google Safe Search und eine Reputations-Engine.
-
Erfordert keine zusätzlichen Serverkomponenten.
-
Bietet eine Echtzeit-Bedrohungsbewertung für jede URL.
-
Ermöglicht es Ihnen, Benutzer von einer blockierten URL zu einer benutzerdefinierten URL umzuleiten, anstatt einfach den Benutzerzugriff auf die blockierte URL zu verhindern.
-
-
Webfilterung mit Weiterleitung:
-
Verfolgt alle Abfragen lokal, sodass Sie keine Internetverbindung benötigen.
-
Verwendet die Protokollierungs- und Berichtsfunktionen einer eigenständigen Websense-Lösung.
-
Workflow für die Webfilterung
Umfang
In diesem Beispiel werden Sie Folgendes tun:
-
Erstellen Sie Ihre eigenen benutzerdefinierten URL-Musterlisten und URL-Kategorien.
-
Erstellen Sie ein Webfilterung-Profil mit dem Engine-Typ Lokal. Hier definieren Sie Ihre eigenen URL-Kategorien, bei denen es sich um zugelassene Websites (Zulassungsliste) oder blockierte Websites (Blockliste) handeln kann, die auf der Firewall der SRX-Serie ausgewertet werden. Alle URLs, die für blockierte Websites hinzugefügt werden, werden abgelehnt, während alle URLs, die für zulässige Websites hinzugefügt werden, zulässig sind.
-
Blockieren Sie unangemessene Spiele-Websites und erlauben Sie geeignete Websites (z. B. www.juniper.net).
-
Definieren Sie eine benutzerdefinierte Meldung, die angezeigt wird, wenn Benutzer versuchen, auf Spiele-Websites zuzugreifen.
-
Wenden Sie das Webfilterung-Profil auf eine Inhaltssicherheitsrichtlinie an.
-
Weisen Sie die Content Security-Richtlinie einer Sicherheitsrichtlinienregel zu.
Webfilterung und URL-Filterung haben die gleiche Bedeutung. Wir verwenden in unserem Beispiel den Begriff "Webfilterung ".
Vorbereitungen
-
Wir gehen davon aus, dass Ihr Gerät mit der Grundkonfiguration eingestellt ist. Ist dies nicht der Fall, finden Sie weitere Informationen unter Konfigurations-Setup-Assistent.
-
Sie benötigen keine Lizenz, um das Webfilterung-Profil zu konfigurieren, wenn Sie den Modultyp Lokal verwenden. Dies liegt daran, dass Sie für die Definition Ihrer eigenen URL-Musterlisten und URL-Kategorien verantwortlich sind.
-
Sie benötigen eine gültige Lizenz (wf_key_websense_ewf), wenn Sie den erweiterten Juniper Engine-Typ für das Webfilterung Profil ausprobieren möchten. Für die Webfilterung mit Weiterleitungsfunktion ist keine Lizenz erforderlich.
-
Stellen Sie sicher, dass auf der Firewall der SRX-Serie, die Sie in diesem Beispiel verwenden, Junos OS Version 22.2R1 und höher ausgeführt wird.
Anmerkung:Ab Junos OS 22.2R1:
-
In der J-Web-GUI wird der Begriff "Content Security" durch "Content Security" ersetzt.
-
In Junos CLI-Befehlen verwenden wir weiterhin den alten Begriff Content Security für Content Security.
-
Topologie
In dieser Topologie ist ein PC mit einer Content Security-fähigen Firewall der SRX-Serie verbunden, die Zugriff auf das Internet hat. Lassen Sie uns J-Web verwenden, um die HTTP/HTTPS-Anfragen zu filtern, die mit diesem einfachen Setup an das Internet gesendet werden.
Sneak Peek – Schritte zur Webfilterung von J-Web-Content Security
Schritt 1: URLs auflisten, die Sie zulassen oder blockieren möchten
In diesem Schritt definieren wir benutzerdefinierte Objekte (URLs und Muster), um die URLs zu verarbeiten, die Sie zulassen oder blockieren möchten.
Sie befinden sich hier (in der J-Web-Benutzeroberfläche): Sicherheitsdienste>Inhaltssicherheit>Benutzerdefinierte Objekte.
So listen Sie URLs auf:
- Führen Sie die Aufgaben aus, die in der Spalte Aktion in der folgenden Tabelle aufgeführt sind:
Feld
Aktion
Name
Geben Sie allowed-sites oder ein blocked-sites.
Anmerkung:Verwenden Sie eine Zeichenfolge, die mit einem Buchstaben oder Unterstrich beginnt und aus alphanumerischen Zeichen und Sonderzeichen wie Bindestrichen und Unterstrichen besteht. Die maximale Länge beträgt 29 Zeichen.
Wert
-
Klicken Sie auf + , um einen Wert für das URL-Muster hinzuzufügen.
-
Geben Sie Folgendes ein:
-
Für allowed-sites—www.juniper.net und www.google.com
-
Für blockierte Websites –www.gematsu.com und www.game.co.uk
-
-
Klicken Sie auf das Häkchen-Symbol
.
Abbildung 1: Hinzufügen einer URL-Musterliste
-
- Klicken Sie auf OK, um die Änderungen zu speichern.
Gut Gemacht! Hier ist das Ergebnis Ihrer Konfiguration:
Schritt 2: Kategorisieren der URLs, die Sie zulassen oder blockieren möchten
Wir weisen nun die erstellten URL-Muster URL-Kategorielisten zu. Die Kategorieliste definiert die Aktion, die den zugeordneten URLs zugeordnet ist. Zum Beispiel sollte die Kategorie Glücksspiel blockiert werden.
Sie befinden sich hier: Sicherheitsdienste>Inhaltssicherheit>Benutzerdefinierte Objekte.
So kategorisieren Sie URLs:
- Führen Sie die Aufgaben aus, die in der Spalte Aktion in der folgenden Tabelle aufgeführt sind:
Feld
Aktion
Name
Geben Sie den Namen der URL-Kategorieliste für good-sites das URL-Muster für zulässige Websites oder stop-sites für das URL-Muster für blockierte Websites ein.
Anmerkung:Verwenden Sie eine Zeichenfolge, die mit einem Buchstaben oder Unterstrich beginnt und aus alphanumerischen Zeichen und Sonderzeichen wie Bindestrichen und Unterstrichen besteht. Die maximale Länge beträgt 59 Zeichen.
URL-Muster
-
Wählen Sie in der Spalte Verfügbar die URL-Musterwerte allowed-sites oder blocked-sites aus, um die URL-Musterwerte den URL-Kategorien good-sites bzw. stop-sites zuzuordnen.
-
Klicken Sie auf den Pfeil nach rechts, um die URL-Musterwerte in die Spalte Ausgewählt zu verschieben.
Abbildung 2: Hinzufügen einer URL-Kategorieliste
-
- Klicken Sie auf OK, um die Änderungen zu speichern.
Gut Gemacht! Hier ist das Ergebnis Ihrer Konfiguration:
Schritt 3: Hinzufügen eines Webfilterprofils
Verknüpfen Sie nun die erstellten URL-Objekte (Muster und Kategorien) mit einem Content Security Webfilterung-Profil. Mit dieser Zuordnung können Sie verschiedene Werte für Ihr Filterverhalten festlegen.
Sie befinden sich hier: Sicherheitsdienste>Inhaltssicherheit>Webfilterungsprofile.
So erstellen Sie ein Webfilterung-Profil:
- Führen Sie die Aufgaben aus, die in der Spalte Aktion in der folgenden Tabelle aufgeführt sind:
Feld
Aktion
Allgemein Name
Geben Sie wf-local für das Webfilterung-Profil ein.
Anmerkung:Die maximale Länge beträgt 29 Zeichen.
Zeitüberschreitung
Geben Sie 30 (in Sekunden) ein, um auf eine Antwort der lokalen Engine zu warten.
Der Maximalwert beträgt 1800 Sekunden. Der Standardwert ist 15 Sekunden.
Motortyp
Wählen Sie den lokalen Modultyp für die Webfilterung aus. Klicken Sie auf Weiter.
Anmerkung:Der Standardwert ist Juniper Enhanced.
URL-Kategorien +
Klicken Sie auf das Symbol "Hinzufügen", um das Fenster "URL-Kategorien auswählen" zu öffnen.
Auswählen der URL-Kategorien, die auf die Liste angewendet werden sollen
Wählen Sie Good-Sites oder Stop-Sites aus.
Aktion
Wählen Sie Protokollieren und Zulassen für die Kategorie "Gute Sites" aus der Liste aus.
Wählen Sie Blockieren für die Kategorie Stoppstellen aus der Liste aus.
Abbildung 3: Erstellen eines Webfilterprofils
- Klicken Sie auf Fertig stellen. Überprüfen Sie die Zusammenfassung der Konfiguration, und klicken Sie auf OK, um die Änderungen zu speichern.
Gut Gemacht! Hier ist das Ergebnis Ihrer Konfiguration:
Schritt 4: Verweisen auf ein Webfilterprofil in einer Inhaltssicherheitsrichtlinie
Wir müssen nun das Webfilterung-Profil (wf-local) einer Content Security-Richtlinie zuweisen, die auf eine Sicherheitsrichtlinie angewendet werden kann.
Sie befinden sich hier: Sicherheitsdienste>Inhaltssicherheit>Inhaltssicherheitsrichtlinien.
So erstellen Sie eine Inhaltssicherheitsrichtlinie:
- Klicken Sie auf Fertig stellen. Überprüfen Sie die Zusammenfassung der Konfiguration, und klicken Sie auf OK, um die Änderungen zu speichern.
Fast geschafft! Hier ist das Ergebnis Ihrer Konfiguration:
- Klicken Sie auf OK, um die Änderungen zu speichern.
Fast geschafft! Hier sehen Sie das Ergebnis Ihrer Content Security Standardkonfiguration für die Webfilterung.
Gute Nachricht! Sie sind mit der Konfiguration der Content Security Webfilterung fertig.
Schritt 5: Zuweisen einer Inhaltssicherheitsrichtlinie zu einer Sicherheitsrichtlinie
Sie haben die Content Security-Konfiguration noch nicht der Sicherheitsrichtlinie von der TRUST-Zone zur INTERNET-Zone zugewiesen. Filteraktionen werden erst ausgeführt, nachdem Sie die Content Security-Richtlinie Sicherheitsrichtlinienregeln zugewiesen haben, die als Übereinstimmungskriterien fungieren.
Wenn die Sicherheitsrichtlinienregeln zulässig sind, gilt für die Firewalls der SRX-Serie:
-
Fängt eine HTTP/HTTPS-Verbindung ab und extrahiert jede URL (in der HTTP/HTTPS-Anforderung) oder IP-Adresse.
Anmerkung:Für eine HTTPS-Verbindung wird die Webfilterung über SSL Forward Proxy unterstützt.
-
Sucht in der vom Benutzer konfigurierten Sperr- oder Zulassungsliste unter Webfilterung (Sicherheitsdienste>Inhaltssicherheit>Standardkonfiguration) nach URLs. Wenn sich die URL dann in der befindet:
-
Vom Benutzer konfigurierte Sperrliste, blockiert das Gerät die URL.
-
Vom Benutzer konfigurierte Zulassungsliste, das Gerät lässt die URL zu.
-
-
Überprüft die benutzerdefinierten Kategorien und blockiert oder lässt die URL basierend auf der benutzerdefinierten Aktion für die Kategorie zu.
-
Lässt die URL zu oder blockiert sie (wenn keine Kategorie konfiguriert ist) basierend auf der Standardaktion, die im Webfilterung-Profil konfiguriert ist.
Sie befinden sich hier: Sicherheitsrichtlinien und -objekte>Sicherheitsrichtlinien.
So erstellen Sie Sicherheitsrichtlinienregeln für die Content Security-Richtlinie:
- Klicken Sie auf das Häkchensymbol und dann auf Speichern, um die Änderungen zu speichern.
Anmerkung:
Scrollen Sie in der horizontalen Leiste zurück, wenn die Inline-Symbole für Häkchen und Abbrechen beim Erstellen einer neuen Regel nicht verfügbar sind.
Gut Gemacht! Hier ist das Ergebnis Ihrer Konfiguration:
Schritt 6: Überprüfen, ob die URLs auf dem Server zugelassen oder blockiert sind
Lassen Sie uns überprüfen, ob unsere Konfigurationen und Sicherheitsrichtlinien mit den definierten URLs in der Topologie gut funktionieren:
-
Wenn Sie www.gematsu.com und www.game.co.uk eingeben, sollte die SRX-Serie Firewall die URLs blockieren und die Meldung über die konfigurierte blockierte Site senden.
Anmerkung:Die meisten Websites verwenden HTTPS. Die Meldung "Blockierte Website" wird nur für HTTP-Websites angezeigt. Bei HTTPS können Sie mit der Fehlermeldung "Sichere Verbindung fehlgeschlagen" rechnen, z. B
An error occurred during a connection to <blocked-siteurl> PR_CONNECT_RESET_ERROR. . . -
Wenn Sie www.juniper.net und www.google.com eingeben, sollte die SRX-Serie Firewall die URLs mit ihrer Startseite zulassen.
Was kommt als nächstes
| Was ist zu tun? |
Wo? |
|---|---|
| Überwachen Sie Content Security Webfilterung Informationen und Statistiken. |
Navigieren Sie in J-Web zu Monitor>Sicherheitsdienste>Inhaltssicherheit>Webfilterung. |
| Generieren und Anzeigen von Berichten über zulässige und blockierte URLs. |
Gehen Sie in J-Web zu Berichte. Generieren Sie Berichte für Bedrohungsbewertungsberichte und die am häufigsten blockierten Anwendungen über Webfilter-Protokolle. |
| Erfahren Sie mehr über die Funktionen von Content Security. |
Beispielkonfigurationsausgabe
In diesem Abschnitt stellen wir Beispiele für Konfigurationen vor, die die in diesem Beispiel definierten Websites zulassen und blockieren.
Sie konfigurieren die folgenden Content Security-Konfigurationen auf Hierarchieebene [edit security utm] .
Erstellen von benutzerdefinierten Objekten:
custom-objects {
url-pattern {
blocked-sites {
value [ http://*.gematsu..com http://*.game.co.uk];
}
allowed-sites {
value [ http://*.juniper.net http://*.google.com];
}
}
custom-url-category {
good-sites {
value allowed-sites;
}
stop-sites {
value blocked-sites;
}
}
}
Erstellen des Webfilterung-Profils:
default-configuration {
web-filtering {
url-whitelist good-sites;
url-blacklist stop-sites;
type juniper-local;
juniper-local {
default block;
custom-block-message "Juniper Web Filtering has been set to block this site.";
fallback-settings {
default log-and-permit;
server-connectivity log-and-permit;
timeout log-and-permit;
too-many-requests log-and-permit;
}
}
}
}
feature-profile {
web-filtering {
juniper-local {
profile wf-local {
category {
stop-sites {
action block;
}
good-sites {
action log-and-permit;
}
}
timeout 30;
}
}
}
}
Erstellen der Inhaltssicherheitsrichtlinie:
utm-policy wf-custom-policy {
web-filtering {
http-profile wf-local;
}
}
Sie konfigurieren die Sicherheitsrichtlinienregeln auf Hierarchieebene [edit security policies] .
Erstellen von Regeln für eine Sicherheitsrichtlinie:
from-zone trust to-zone internet {
policy wf-local-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
utm-policy wf-custom-policy;
}
}
}
}
}