Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation du filtrage d’URL

Vous pouvez utiliser le filtrage d’URL pour déterminer quel contenu Web n’est pas accessible aux utilisateurs.

Les composants de cette fonctionnalité sont les suivants :

  • Fichier de base de données de filtre d’URL

  • Configuration d’un ou plusieurs modèles (jusqu’à huit par profil)

  • Plug-in de filtre d’URL (jservices-urlf)

  • Démon de filtrage d’URL (filtre d’URL)

Le fichier de base de données du filtre d’URL est stocké sur le moteur de routage et contient toutes les URL non répertoriées. Les modèles configurés définissent le trafic à surveiller, les critères à suivre et les actions à entreprendre. Vous configurez les modèles et l’emplacement du fichier de base de données de filtre d’URL dans un profil.

À partir des versions 17.2R2 et 17.4R1 de Junos OS, pour Adaptive Services, vous pouvez désactiver le filtrage du trafic HTTP qui contient une adresse IP intégrée (par exemple, http:/10.1.1.1) appartenant à un nom de domaine non déclaré dans la base de données du filtre d’URL. À partir de la version 19.3R2 de Junos OS, cette même fonctionnalité est prise en charge pour les services de nouvelle génération sur MX240, MX480 et MX960.

Pour activer la fonctionnalité de filtrage d’URL, vous devez le package-name configurer jservices-urlf au niveau de la [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] hiérarchie. Une fois activé, jservices-urlf conserve le profil de filtrage d’URL et reçoit tout le trafic à filtrer, les critères de filtrage et les actions à prendre sur le trafic filtré.

Note:

Le MX-SPC3 n’a pas besoin jservices-urlf explicitement de la [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] package-name hiérarchie. Il est pris en charge par défaut.

Le démon de filtrage d’URL (url-filterd), qui se trouve également sur le moteur de routage, résout le nom de domaine de chaque URL de la base de données de filtres d’URL dans une liste d’adresses IPv4 et IPv6. Il télécharge ensuite la liste des adresses IP sur le service PIC, qui exécute jservices-urlf. Ensuite, le filtrage d’url interagit avec le processus de pare-feu dynamique (dfwd) pour installer des filtres sur le moteur de transfert de paquets afin de placer le trafic sélectionné du moteur de transfert de paquets vers le pic de service.

Lorsque le nouveau trafic HTTP et HTTPS atteint le routeur, une décision est prise en fonction des informations contenues dans le fichier de base de données du filtre d’URL. Les règles de filtrage sont vérifiées et le routeur accepte le trafic et le transmet ou bloque le trafic. Si le trafic est bloqué, l’une des actions configurées suivantes est effectuée :

  • Une redirection HTTP est envoyée à l’utilisateur.

  • Une page personnalisée est envoyée à l’utilisateur.

  • Un code d’état HTTP est envoyé à l’utilisateur.

  • Une réinitialisation TCP est envoyée.

Accepter est également une option. Dans ce cas, le trafic n’est pas bloqué.

La figure 1 illustre le filtrage d’URL pour les sessions HTTP.

Figure 1 : Filtrage des url de flux de paquets pour les sessions Packet Flow-URL Filtering for HTTP Sessions HTTP

La figure 2 illustre le filtrage d’URL pour les sessions HTTPS.

Figure 2 : Filtrage des url de flux de paquets pour les sessions Packet Flow-URL Filtering for HTTPS Sessions HTTPS

Pour en savoir plus sur la fonctionnalité de filtrage d’URL, consultez les sections suivantes :

Fichier de base de données de filtre d’URL

Le fichier de base de données de filtre d’URL contient des entrées d’URL et d’adresses IP. Créez le fichier de base de données de filtres d’URL au format indiqué dans le tableau 1 et localisez-le sur le moteur de routage dans le répertoire /var/db/url-filterd .

Tableau 1 : Format de fichier de filtre d’URL

Entrée

Description

Exemple

FQDN

Nom de domaine complet.

www.badword.com/jjj/bad.jpg

URL

URL de chaîne complète sans le protocole de couche 7.

www.srch.com/*badword*/

www.srch.com

www.srch.com/xyz

www.srch.com/xyz*

Adresse IPv4

Demande HTTP sur une adresse IPv4 spécifique.

10.1.1.199

Adresse IPv6

demande HTTP sur une adresse IPv6 spécifique.

1::1

Vous devez spécifier une base de données de filtre d’URL personnalisée dans le profil. Si nécessaire, vous pouvez également attribuer un fichier de base de données de filtre d’URL personnalisé avec n’importe quel modèle, et cette base de données prend la priorité sur la base de données configurée au niveau du profil.

Si vous modifiez le contenu du fichier de base de données de filtres d’URL, utilisez la request services (url-filter | web-filter) update commande. D’autres commandes pour aider à maintenir le fichier de base de données de filtres d’URL sont les suivantes :

  • request services (url-filter | web-filter) delete

  • request services (url-filter | web-filter) force

  • request services (url-filter | web-filter) validate

Avertissements du profil de filtre URL

Le profil de filtre d’URL se compose de un à huit modèles. Chaque modèle se compose d’un ensemble d’interfaces logiques configurées où le trafic est surveillé pour le filtrage d’URL et un ou plusieurs termes.

Un terme est un ensemble de critères de correspondance comportant des mesures à prendre si les critères de correspondance sont respectés. Vous devez configurer au moins un terme pour configurer le filtrage d’URL. Chaque terme est constitué d’une from déclaration et d’une then instruction, où l’instruction from définit les préfixes IP source et les ports de destination qui sont surveillés. L’instruction then spécifie l’action à prendre. Si vous omettez l’instruction from , tout préfixe IP source et tout port de destination sont considérés comme correspondant. Mais vous ne pouvez omettre qu’une from seule déclaration par modèle ou par profil.

Exemple de configuration de plusieurs termes sans déclarations

Si vous omettez plusieurs from déclarations par modèle, vous recevrez le message d’erreur suivant lors de la validation :

Tableau de l’historique des versions
Libération
Description
19.3R2
À partir de la version 19.3R2 de Junos OS, cette même fonctionnalité est prise en charge pour les services de nouvelle génération sur MX240, MX480 et MX960.
17.2R2
À partir des versions 17.2R2 et 17.4R1 de Junos OS, pour Adaptive Services, vous pouvez désactiver le filtrage du trafic HTTP qui contient une adresse IP intégrée (par exemple, http:/10.1.1.1) appartenant à un nom de domaine non déclaré dans la base de données du filtre d’URL.