AUF DIESER SEITE
Schritt 1: Auflisten der URLs, die Sie zulassen oder blockieren möchten
Schritt 2: Kategorisieren Sie die URLs, die Sie zulassen oder blockieren möchten
Schritt 4: Verweisen auf ein Webfilterprofil in einer Inhaltssicherheitsrichtlinie
Schritt 5: Zuweisen einer Inhaltssicherheitsrichtlinie zu einer Sicherheitsrichtlinie
Schritt 6: Überprüfen, ob die URLs vom Server zugelassen oder blockiert wurden
Zulassen oder Blockieren von Websites mithilfe von J-Web Integrated Content Security Web Filtering
ZUSAMMENFASSUNG Erfahren Sie mehr über Webfilterung und wie Sie URLs auf Content Security-fähigen Firewalls der SRX-Serie mithilfe von J-Web filtern. Mit der Webfilterung können Sie den Zugriff auf das Web zulassen oder blockieren und Ihren Netzwerkverkehr überwachen.
Übersicht über die URL-Filterung für Inhaltssicherheit
Heutzutage verbringen die meisten von uns viel Zeit im Internet. Wir surfen auf unseren Lieblingsseiten, folgen interessanten Links, die uns per E-Mail zugesandt werden, und nutzen eine Vielzahl von webbasierten Anwendungen für unser Büronetzwerk. Diese verstärkte Nutzung des Netzes hilft uns sowohl persönlich als auch beruflich. Es setzt das Unternehmen jedoch auch einer Vielzahl von Sicherheits- und Geschäftsrisiken aus, wie z. B. potenziellem Datenverlust, mangelnder Compliance und Bedrohungen wie Malware, Viren usw. In diesem Umfeld mit erhöhtem Risiko ist es für Unternehmen ratsam, Web- oder URL-Filter zu implementieren, um Netzwerkbedrohungen zu kontrollieren. Sie können einen Web- oder URL-Filter verwenden, um Websites im Internet zu kategorisieren und den Benutzerzugriff zuzulassen oder zu blockieren.
Hier ist ein Beispiel für eine typische Situation, in der ein Benutzer eines Büronetzwerks den Zugriff auf eine Website blockiert hat:
Im Webbrowser gibt www.game.co.ukder Benutzer ein, eine beliebte Spieleseite. Der Benutzer erhält eine Meldung wie Access Denied oder The Website is blocked. Die Anzeige einer solchen Meldung bedeutet, dass Ihre Organisation einen Filter für die Spiele-Websites eingefügt hat und Sie von Ihrem Arbeitsplatz aus nicht auf die Website zugreifen können.
Der Juniper Web (J-Web) Geräte-Manager unterstützt die Content Security Webfilterung auf Firewalls der SRX-Serie.
Ab Junos OS 22.2R1:
In der J-Web GUI wird der Begriff UTM durch Content Security ersetzt.
In Junos CLI-Befehlen wird weiterhin der Legacy-Begriff UTM für Inhaltssicherheit verwendet.
In J-Web definiert ein Webfilterprofil eine Reihe von Berechtigungen und Aktionen, die auf Webverbindungen basieren, die nach Website-Kategorien vordefiniert sind. Sie können auch benutzerdefinierte URL-Kategorien und URL-Musterlisten für ein Webfilterprofil erstellen.
Sie können URLs in E-Mails nicht mit der Webfilterung von J-Web Content Security überprüfen.
Vorteile der Inhaltssicherheit Webfilterung
Lokale Webfilterung:
Keine Lizenz erforderlich.
Ermöglicht es Ihnen, Ihre eigenen Listen der zulässigen Websites (Zulassungsliste) oder blockierten Websites (Sperrliste) zu definieren, für die Sie eine Richtlinie erzwingen möchten.
Verbesserte Webfilterung:
Ist die leistungsstärkste integrierte Filtermethode und umfasst eine detaillierte Liste von URL-Kategorien, Unterstützung für die sichere Google-Suche und eine Reputations-Engine.
Erfordert keine zusätzlichen Serverkomponenten.
Bietet eine Echtzeit-Bedrohungsbewertung für jede URL.
Ermöglicht es Ihnen, Benutzer von einer blockierten URL zu einer benutzerdefinierten URL umzuleiten, anstatt einfach den Benutzerzugriff auf die blockierte URL zu verhindern.
Webfilterung umleiten:
Verfolgt alle Abfragen lokal, sodass Sie keine Internetverbindung benötigen.
Verwendet die Protokollierungs- und Berichterstellungsfunktionen einer eigenständigen Websense-Lösung.
Webfilter-Workflow
Umfang
In diesem Beispiel gehen Sie wie folgt vor:
Erstellen Sie Ihre eigenen benutzerdefinierten URL-Musterlisten und URL-Kategorien.
-
Erstellen Sie ein Webfilterprofil mit dem lokalen Modultyp. Hier definieren Sie Ihre eigenen URL-Kategorien, bei denen es sich um zugelassene Websites (Zulassungsliste) oder blockierte Websites (Blockliste) handeln kann, die auf der Firewall der SRX-Serie ausgewertet werden. Alle URLs, die für blockierte Websites hinzugefügt wurden, werden abgelehnt, während alle URLs, die für zulässige Websites hinzugefügt wurden, zulässig sind.
Blockieren Sie unangemessene Gaming-Websites und lassen Sie geeignete Websites zu (z. B. www.juniper.net).
Definieren Sie eine benutzerdefinierte Meldung, die angezeigt werden soll, wenn Benutzer versuchen, auf Spiele-Websites zuzugreifen.
Wenden Sie das Webfilterprofil auf eine Content Security-Richtlinie an.
Weisen Sie die Inhaltssicherheitsrichtlinie einer Sicherheitsrichtlinienregel zu.
Webfilterung und URL-Filterung haben die gleiche Bedeutung. Wir verwenden den Begriff Webfilterung in unserem gesamten Beispiel.
Vorbereitungen
Wir gehen davon aus, dass Ihr Gerät mit der Grundkonfiguration eingestellt ist. Wenn nicht, finden Sie weitere Informationen unter Konfigurieren des Setup-Assistenten.
Sie benötigen keine Lizenz zum Konfigurieren des Webfilterprofils, wenn Sie den Engine-Typ Lokal verwenden. Dies liegt daran, dass Sie dafür verantwortlich sind, Ihre eigenen URL-Musterlisten und URL-Kategorien zu definieren.
Sie benötigen eine gültige Lizenz (wf_key_websense_ewf), wenn Sie den erweiterten Engine-Typ von Juniper für das Webfilterprofil ausprobieren möchten. Für die Weiterleitungs-Webfilterung ist keine Lizenz erforderlich.
Stellen Sie sicher, dass auf der Firewall der SRX-Serie, die Sie in diesem Beispiel verwenden, Junos OS Version 22.2R1 und höher ausgeführt wird.
Hinweis:Ab Junos OS 22.2R1:
In der J-Web-GUI wird der Begriff "Inhaltssicherheit" durch "Inhaltssicherheit" ersetzt.
In Junos CLI-Befehlen wird weiterhin der Legacy-Begriff Content Security für die Inhaltssicherheit verwendet.
Topologie
In dieser Topologie haben wir einen PC, der mit einer Content Security-fähigen Firewall der SRX-Serie verbunden ist, die Zugriff auf das Internet hat. Lassen Sie uns J-Web verwenden, um die HTTP/HTTPS-Anforderungen zu filtern, die mit diesem einfachen Setup an das Internet gesendet werden.
Sneak Peek – Schritte zur Webfilterung von J-Web Content Security
Schritt 1: Auflisten der URLs, die Sie zulassen oder blockieren möchten
In diesem Schritt definieren wir benutzerdefinierte Objekte (URLs und Muster), um die URLs zu verarbeiten, die Sie zulassen oder blockieren möchten.
Sie befinden sich hier (in der J-Web-Benutzeroberfläche): Security Services>Content Security>Custom Objects.
So listen Sie URLs auf:
- Führen Sie die Aufgaben aus, die in der folgenden Tabelle in der Spalte Aktion aufgeführt sind:
Feld
Aktion
Namen
Geben Sie allowed-sites oder blocked-sites.
Hinweis:Verwenden Sie eine Zeichenfolge, die mit einem Buchstaben oder Unterstrich beginnt und aus alphanumerischen Zeichen und Sonderzeichen wie Bindestrichen und Unterstrichen besteht. Die maximale Länge beträgt 29 Zeichen.
Wert
Klicken Sie auf + , um einen URL-Musterwert hinzuzufügen.
Geben Sie Folgendes ein:
Für zulässige Sites—www.juniper.net und www.google.com
Für blockierte Websites –www.gematsu.com und www.game.co.uk
Klicken Sie auf das Häkchen-Symbol
.
Abbildung 1: URL-Musterliste
hinzufügen
- Klicken Sie auf OK , um die Änderungen zu speichern.
Gut Gemacht! Hier ist das Ergebnis Ihrer Konfiguration:
Schritt 2: Kategorisieren Sie die URLs, die Sie zulassen oder blockieren möchten
Wir weisen nun die erstellten URL-Muster URL-Kategorielisten zu. Die Kategorieliste definiert die Aktion, die den zugeordneten URLs zugeordnet ist. Zum Beispiel sollte die Kategorie Glücksspiel blockiert werden.
Sie befinden sich hier: Sicherheitsdienste>Inhaltssicherheit>Benutzerdefinierte Objekte.
So kategorisieren Sie URLs:
- Führen Sie die Aufgaben aus, die in der folgenden Tabelle in der Spalte Aktion aufgeführt sind:
Feld
Aktion
Namen
Geben Sie den Namen der URL-Kategorieliste als good-sites URL-Muster für zulässige Websites oder stop-sites für das URL-Muster für blockierte Websites ein.
Hinweis:Verwenden Sie eine Zeichenfolge, die mit einem Buchstaben oder Unterstrich beginnt und aus alphanumerischen Zeichen und Sonderzeichen wie Bindestrichen und Unterstrichen besteht. Die maximale Länge beträgt 59 Zeichen.
URL-Muster
Wählen Sie in der Spalte Verfügbar die URL-Musterwerte allowed-sites oder blocked-sites aus, um die URL-Musterwerte den URL-Kategorien good-sites bzw. stop-sites zuzuordnen.
Klicken Sie auf den Pfeil nach rechts, um die URL-Musterwerte in die Spalte Ausgewählt zu verschieben.
Abbildung 2: URL-Kategorieliste
hinzufügen
- Klicken Sie auf OK , um die Änderungen zu speichern.
Gut Gemacht! Hier ist das Ergebnis Ihrer Konfiguration:
Schritt 3: Hinzufügen eines Webfilterprofils
Verknüpfen wir nun die erstellten URL-Objekte (Muster und Kategorien) mit einem Content Security Webfilterprofil. Mit dieser Zuordnung können Sie unterschiedliche Werte für Ihr Filterverhalten festlegen.
Sie befinden sich hier: Sicherheitsdienste>Inhaltssicherheit>Webfilterprofile.
So erstellen Sie ein Webfilterprofil:
- Führen Sie die Aufgaben aus, die in der folgenden Tabelle in der Spalte Aktion aufgeführt sind:
Feld
Aktion
Allgemeine Namen
Geben Sie für das Webfilterprofil ein wf-local .
Hinweis:Die maximale Länge beträgt 29 Zeichen.
Timeout
Geben Sie (in Sekunden) ein 30 , um auf eine Antwort des lokalen Moduls zu warten.
Der Maximalwert beträgt 1800 Sekunden. Der Standardwert ist 15 Sekunden.
Motortyp
Wählen Sie den lokalen Engine-Typ für die Webfilterung aus. Klicken Sie auf Weiter.
Hinweis:Der Standardwert ist Juniper Enhanced.
URL-Kategorien +
Klicken Sie auf das Symbol "Hinzufügen", um das Fenster "URL-Kategorien auswählen" zu öffnen.
Wählen Sie die URL-Kategorien aus, die auf die Liste angewendet werden sollen
Wählen Sie good-sites oder stop-sites aus.
Aktion
Wählen Sie Protokoll und Genehmigung für die Kategorie Good-Sites aus der Liste aus.
Wählen Sie Block für die Kategorie Stop-Sites aus der Liste aus.
Abbildung 3: Erstellen eines Webfilterprofils
- Klicken Sie auf Fertig stellen. Überprüfen Sie die Zusammenfassung der Konfiguration, und klicken Sie auf OK , um die Änderungen zu speichern.
Gut Gemacht! Hier ist das Ergebnis Ihrer Konfiguration:
Schritt 4: Verweisen auf ein Webfilterprofil in einer Inhaltssicherheitsrichtlinie
Wir müssen nun das Webfilterprofil (wf-local) einer Content Security-Richtlinie zuweisen, die auf eine Sicherheitsrichtlinie angewendet werden kann.
Sie befinden sich hier: Sicherheitsdienste>Inhaltssicherheit>Inhaltssicherheitsrichtlinien.
So erstellen Sie eine Content Security-Richtlinie:
- Klicken Sie auf Fertig stellen. Überprüfen Sie die Zusammenfassung der Konfiguration, und klicken Sie auf OK, um die Änderungen zu speichern.
Fast geschafft! Hier ist das Ergebnis Ihrer Konfiguration:
- Klicken Sie auf OK, um die Änderungen zu speichern.
Fast geschafft! Hier sehen Sie das Ergebnis Ihrer Content Security-Standardkonfiguration für die Webfilterung.
Gute Neuigkeiten! Sie sind mit der Konfiguration der Content Security-Webfilterung fertig.
Schritt 5: Zuweisen einer Inhaltssicherheitsrichtlinie zu einer Sicherheitsrichtlinie
Sie haben der Sicherheitsrichtlinie noch nicht die Inhaltssicherheitskonfiguration von der Zone TRUST zur Zone INTERNET zugewiesen. Filteraktionen werden erst ausgeführt, nachdem Sie die Content Security-Richtlinie Sicherheitsregeln zugewiesen haben, die als Übereinstimmungskriterien fungieren.
Wenn die Regeln der Sicherheitsrichtlinie zulässig sind, kann die Firewall der SRX-Serie:
Fängt eine HTTP/HTTPS-Verbindung ab und extrahiert jede URL (in der HTTP/HTTPS-Anforderung) oder IP-Adresse.
Hinweis:Bei einer HTTPS-Verbindung wird die Webfilterung über einen SSL-Forward-Proxy unterstützt.
-
Sucht nach URLs in der vom Benutzer konfigurierten Sperrliste oder Zulassungsliste unter Webfilterung (Sicherheitsdienste>Inhaltssicherheit>Standardkonfiguration). Wenn sich die URL in der:
-
Benutzerkonfigurierte Blockierliste, das Gerät blockiert die URL.
-
Vom Benutzer konfigurierte Zulassungsliste, das Gerät lässt die URL zu.
-
Überprüft die benutzerdefinierten Kategorien und blockiert oder lässt die URL basierend auf der benutzerdefinierten Aktion für die Kategorie zu.
Lässt die URL zu (wenn keine Kategorie konfiguriert ist) basierend auf der im Webfilterprofil konfigurierten Standardaktion zu oder blockiert sie.
Sie befinden sich hier: Sicherheitsrichtlinien & Objekte>Sicherheitsrichtlinien.
So erstellen Sie Sicherheitsrichtlinienregeln für die Content Security-Richtlinie:
- Klicken Sie auf das Häkchensymbol und dann auf Speichern , um die Änderungen zu speichern.
Hinweis:
Scrollen Sie in der horizontalen Leiste zurück, wenn das Inline-Häkchen und die Abbrechen-Symbole beim Erstellen einer neuen Regel nicht verfügbar sind.
Gut Gemacht! Hier ist das Ergebnis Ihrer Konfiguration:
Schritt 6: Überprüfen, ob die URLs vom Server zugelassen oder blockiert wurden
Lassen Sie uns überprüfen, ob unsere Konfigurationen und Sicherheitsrichtlinien mit den definierten URLs in der Topologie einwandfrei funktionieren:
-
Wenn Sie www.gematsu.com und www.game.co.uk eingeben, sollte die Firewall der SRX-Serie die URLs blockieren und die konfigurierte Meldung zum Blockieren der Website senden.
Hinweis:Die meisten Websites verwenden HTTPS. Die Meldung über blockierte Websites wird nur für HTTP-Websites angezeigt. Bei HTTPS können Sie mit der Fehlermeldung "Fehler bei sicherer Verbindung" rechnen, z. B
An error occurred during a connection to <blocked-siteurl> PR_CONNECT_RESET_ERROR. . -
Wenn Sie www.juniper.net und www.google.com eingeben, sollte die Firewall der SRX-Serie die URLs mit ihrer Startseite zulassen.
Was kommt als nächstes
Was ist zu tun? |
Wo? |
|---|---|
Überwachen Sie Informationen und Statistiken zur Inhaltssicherheit und Webfilterung. |
Navigieren Sie in J-Web zu Monitor>Security Services>Content Security>Web Filtering. |
Generieren und Anzeigen von Berichten über zulässige und blockierte URLs. |
Gehen Sie in J-Web zu Berichte. Generieren Sie Berichte für Bedrohungsbewertungsberichte und am häufigsten blockierte Anwendungen über Webfilter-Protokolle. |
Erfahren Sie mehr über die Content Security-Funktionen. |
Beispiel für eine Konfigurationsausgabe
In diesem Abschnitt stellen wir Beispiele für Konfigurationen vor, die die in diesem Beispiel definierten Websites zulassen und blockieren.
Die folgenden Content Security-Konfigurationen konfigurieren Sie auf Hierarchieebene [edit security utm] .
Erstellen von benutzerdefinierten Objekten:
custom-objects {
url-pattern {
blocked-sites {
value [ http://*.gematsu..com http://*.game.co.uk];
}
allowed-sites {
value [ http://*.juniper.net http://*.google.com];
}
}
custom-url-category {
good-sites {
value allowed-sites;
}
stop-sites {
value blocked-sites;
}
}
}
Erstellen des Webfilterprofils:
default-configuration {
web-filtering {
url-whitelist good-sites;
url-blacklist stop-sites;
type juniper-local;
juniper-local {
default block;
custom-block-message "Juniper Web Filtering has been set to block this site.";
fallback-settings {
default log-and-permit;
server-connectivity log-and-permit;
timeout log-and-permit;
too-many-requests log-and-permit;
}
}
}
}
feature-profile {
web-filtering {
juniper-local {
profile wf-local {
category {
stop-sites {
action block;
}
good-sites {
action log-and-permit;
}
}
timeout 30;
}
}
}
}
Erstellen der Inhaltssicherheitsrichtlinie:
utm-policy wf-custom-policy {
web-filtering {
http-profile wf-local;
}
}
Sie konfigurieren die Sicherheitsrichtlinienregeln auf Hierarchieebene [edit security policies] .
Erstellen von Regeln für eine Sicherheitsrichtlinie:
from-zone trust to-zone internet {
policy wf-local-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
utm-policy wf-custom-policy;
}
}
}
}
}