Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filtrage de contenu

Le filtrage de contenu fournit une fonctionnalité de base de protection contre la perte de données. Le filtrage de contenu filtre le trafic en fonction du type MIME, de l’extension des fichiers et des commandes de protocole. Vous pouvez également utiliser le module de filtrage de contenu pour bloquer ActiveX, les applets Java et d’autres types de contenu. Le filtrage de contenu ne nécessite pas de licence distincte. Pour plus d’informations, consultez les rubriques suivantes :

Présentation du filtrage de contenu

Filtrage du contenu en fonction du type de fichier

Auparavant, le filtrage de contenu était effectué pour bloquer ou autoriser certains types de trafic en fonction du type MIME, de l’extension de fichier et de la commande protocol. Le filtre de contenu contrôle les transferts de fichiers sur la passerelle en comparant le trafic aux listes de filtres configurées. Ce type d’évaluation basé sur le type de fichier est pris en charge uniquement sur les versions de Junos OS antérieures à la version 21.4R1 de Junos OS.

À partir de Junos OS version 21.4R1, l’évaluation du contenu est effectuée en fonction du contenu du fichier. L’évaluation du contenu basée sur le type de fichier est obsolète et les configurations associées sont masquées.

Vous pouvez utiliser la fonctionnalité héritée si vous ne souhaitez pas migrer vers la fonctionnalité de filtrage de contenu améliorée. Vous serez autorisé à utiliser les anciennes configurations, mais tous les boutons de configuration hérités sont obsolètes et masqués. De plus, vous recevrez des journaux système et des messages d’erreur lorsque vous utiliserez les options de configuration héritées.

Dans ce type d’évaluation, le module de filtrage de contenu évalue le trafic avant tous les autres modules de sécurité de contenu, à l’exception du filtrage Web. Par conséquent, si le trafic répond aux critères configurés dans le filtre de contenu, le filtre de contenu agit en premier sur ce trafic.

Vous pouvez configurer les types de filtres de contenu suivants :

  • Filtre de modèle MIME : les modèles MIME sont utilisés pour identifier le type de trafic dans les protocoles HTTP et MAIL. Il existe deux listes de modèles MIME qui sont utilisées par le filtre de contenu pour déterminer l’action à entreprendre. La liste des blocs MIME contient une liste du trafic de type MIME qui doit être bloqué par le filtre de contenu. La liste des exceptions MIME contient des modèles MIME qui ne doivent pas être bloqués par le filtre de contenu et qui sont généralement des sous-ensembles d’éléments de la liste de blocage. Notez que la liste d’exceptions a une priorité plus élevée que la liste de blocage. Si des entrées MIME apparaissent dans les deux listes, ces types MIME ne sont pas bloqués par le filtre de contenu, car la liste des exceptions est prioritaire. Par conséquent, lorsque vous ajoutez des éléments à la liste d’exceptions, il est à votre avantage d’être précis.

  • Liste d’extensions de blocs — Étant donné que le nom d’un fichier est disponible pendant les transferts de fichiers, l’utilisation d’extensions de fichiers est un moyen très pratique de bloquer ou d’autoriser les transferts de fichiers. La liste des filtres de contenu contient une liste d’extensions de fichiers à bloquer. Tous les protocoles prennent en charge l’utilisation de la liste d’extensions de blocs.

  • Listes de blocage et d’autorisation des commandes de protocole : différents protocoles utilisent différentes commandes pour communiquer entre les serveurs et les clients. En bloquant ou en autorisant certaines commandes, le trafic peut être contrôlé au niveau des commandes de protocole.

    Les listes de commandes de blocage et d’autorisation sont destinées à être utilisées en combinaison, la liste d’autorisation agissant comme une liste d’exceptions à la liste de blocage.

    Si une commande de protocole apparaît à la fois dans la liste d’autorisation et dans la liste de blocage, cette commande est autorisée.

    À partir de la version 15.1X49-D100 de Junos OS, le trafic relais IPv6 pour les protocoles HTTP, FTP, SMTP, POP3, IMAP est pris en charge pour le filtrage Web et les fonctionnalités de sécurité de filtrage de contenu de Content Security.

Étant donné que tous les fichiers ou composants nuisibles ne peuvent pas être contrôlés par le type MIME ou par l’extension de fichier, vous pouvez également utiliser le module de filtrage de contenu pour bloquer ActiveX, les applets Java et d’autres types de contenu. Les types de blocage de contenu suivants sont pris en charge uniquement pour HTTP :

  • Bloquer ActiveX

  • Bloquer les applets Java

  • Bloquer les cookies

  • Bloquer les fichiers EXE

  • Bloquer les fichiers ZIP

Filtrage de contenu en fonction du contenu du fichier

Auparavant, le filtrage du contenu était effectué en fonction du type de fichier, du type MIME, du type de contenu et des commandes de protocole. La détection des fichiers à l’aide du type MIME, des filtres de commande de protocole ou des filtres d’extension de fichier n’est pas toujours fiable. Le moyen le plus simple d’identifier un type de fichier est d’utiliser les extensions de nom de fichier, mais ce n’est pas authentique car n’importe quelle extension peut être donnée à n’importe quel type de fichier.

À partir de Junos OS version 21.4R1, Content Security effectue un filtrage de contenu pour déterminer le type de fichier en fonction de son contenu et non des extensions de fichier. Le contenu du fichier est d’abord analysé pour déterminer avec précision le type de fichier. Cette fonctionnalité complète l’identification des applications (App ID) et vous permet de configurer le pare-feu pour identifier et contrôler l’accès au trafic Web (HTTP et HTTPS) et pour protéger votre réseau contre les attaques. Lorsque la correspondance finale de l’application est confirmée par l’ID de l’application, la stratégie de sécurité du contenu correspondante est prise en compte pour le filtrage du contenu.

Content Filtering Based on File Content

Le filtrage du contenu en fonction du contenu du fichier s’effectue comme suit :

  • Identification du fichier : Pour chaque type de fichier, des règles sont définies pour examiner le contenu et déterminer le type de fichier. Le processus de sécurité du contenu utilise le contenu du fichier et le compare aux règles définies pour déterminer le type de fichier.

  • Définir des règles de filtrage du contenu pour la direction du trafic : le processus Content Security lit la configuration à partir de l’interface de ligne de commande, analyse et interprète les ensembles de règles et les règles. Vous pouvez définir les règles de filtrage de contenu et appliquer les règles pour diriger le trafic.

    Les configurations de l’ensemble de règles et des règles sont ajoutées au niveau de la [edit security utm utm-policy <utm-policy-name> content-filtering] hiérarchie.

    Vous pouvez configurer l’option de réinitialisation de la connexion dans la règle de filtrage de contenu. Lorsque le contenu répertorié dans la règle est détecté, les gestionnaires de protocole effectuent la réinitialisation de la connexion TCP avec le client et le serveur exactement comme configuré dans la stratégie.

    Note:

    Les options de filtrage de contenu basées sur les commandes mime-type, content-type et protocol ne sont pas prises en charge. Après la mise à niveau vers Junos OS version 21.4R1, les options de filtrage de contenu basées sur les extensions de fichiers précédemment existantes sous les [edit security utm utm-policy <utm-policy-name> content-filtering] hiérarchies et [edt security utm feature-profile content-filtering profile <profile-name>ne sont pas prises en charge.

  • Utiliser les règles et les ensembles de règles définis pour le filtrage de contenu : vous pouvez utiliser les règles et les ensembles de règles définis ci-dessus à partir de la [edit security utm default-configuration content-filtering hiérarchie. Ces règles et cet ensemble de règles vous permettent de configurer des filtres de contenu spécifiques et de réinitialiser la connexion.
  • Sélection de la stratégie de sécurité du contenu pour le filtrage du contenu : une fois que la correspondance finale de l’application est confirmée par l’ID de l’application, la stratégie de sécurité du contenu potentielle correspondante dans laquelle les règles de filtrage du contenu sont définies est choisie pour le traitement.

    Pour chaque stratégie de sécurité du contenu, une chaîne est créée avec une liste de nœuds d’ensemble de règles et toutes les règles configurées sous un ensemble de règles sont ajoutées à une liste, puis attachées au nœud d’ensemble de règles respectif.

    Une fois toutes les vérifications effectuées, un ID unique est attribué à chaque ensemble de règles et règle configurée pour préserver et organiser les informations respectives dans la mémoire locale. Ce stockage dans la mémoire locale est nécessaire pour suivre les modifications de configuration que vous apportez et pour synchroniser les mises à jour.

  • Vérification : utilisez les commandes suivantes pour afficher les statistiques et les erreurs du système de filtrage de contenu.

    • Pour afficher les statistiques de filtrage de contenu dans une stratégie au sein du système logique racine, utilisez les show security utm content-filtering statistics utm policy <utm policy name> commandes and show security utm content-filtering statistics root-logical-system utm-policy <utm policy name> .

    • Pour afficher des statistiques de filtrage de contenu dans une stratégie au sein d’un système logique spécifié, utilisez la show security utm content-filtering statistics logical-system <logical-system-name> utm-policy <utm policy name> commande .

Si vous migrez vers cette nouvelle fonctionnalité et s’il existe des options héritées dans vos configurations, vous recevrez les messages d’erreur suivants et la validation échouera.

Les fonctionnalités obsolètes ne peuvent pas aller de pair avec le filtrage de contenu amélioré (ensemble de règles/règle)\n") ; Supprimez la configuration marquée comme obsolète pour aller de l’avant (pour plus de détails : show security utm)\n")

Vous pouvez utiliser la fonctionnalité de filtrage de contenu héritée si vous ne souhaitez pas migrer vers la fonctionnalité de filtrage de contenu améliorée. Les options de configuration héritées sont obsolètes et masquées. Le message d’erreur suivant s’affiche lorsque vous utilisez les options obsolètes.

ERRMSG (« La configuration \'%s\' est obsolète », « security utm utm-policy <> content-filtering http-profile »)

Avantages

  • Fournit un accès Web sécurisé et protège votre réseau contre les attaques en utilisant des types de fichiers détectés avec précision dans les règles de filtrage de contenu.

  • Contrôle le trafic qui traverse votre réseau et applique des règles de filtrage de contenu en fonction de la direction du trafic.

  • Amélioration des messages de journal pour inclure des informations sur l’identité de l’utilisateur et de la source, l’ID de session et la direction des paquets.

À partir de la version 22.4R1 de Junos OS, le module de filtrage de contenu Content Security est intégré à l’analyseur JDPI et les contextes JDPI sont utilisés pour appeler les fonctionnalités de filtrage de contenu.

La sécurité du contenu, le filtrage de contenu, les paquets et les flux sont ajoutés pour gérer le trafic simple.

Lors de l’exécution d’actions pour les protocoles de messagerie, la dépendance au proxy TCP est supprimée. notify-mail-sender La prise en charge de la configuration CLI est supprimée pour les protocoles de messagerie.

Comprendre la prise en charge du protocole de filtrage de contenu

Chaque protocole pris en charge peut implémenter différemment les filtres de contenu disponibles. Toutes les fonctionnalités de filtrage ne sont pas prises en charge pour chaque protocole. Cette rubrique contient les sections suivantes :

Prise en charge de HTTP

Le protocole HTTP prend en charge toutes les fonctionnalités de filtrage de contenu. Avec HTTP, le filtre de contenu reste dans la passerelle, vérifiant chaque requête et réponse entre le client HTTP et le serveur.

Si une requête HTTP est abandonnée en raison d’un filtrage de contenu, le client reçoit une réponse telle que :

Par conséquent, un message peut apparaître comme suit :

Prise en charge FTP

Le protocole FTP ne prend pas en charge toutes les fonctionnalités de filtrage de contenu. Il prend uniquement en charge les éléments suivants : Liste d’extensions de blocs et Liste de blocage de commandes de protocole.

Lorsque le filtrage de contenu bloque une requête FTP, la réponse suivante est envoyée via le canal de contrôle :

Par conséquent, un message peut apparaître comme suit :

Assistance par e-mail

Les protocoles de messagerie électronique (SMTP, IMAP, POP3) ont une prise en charge limitée du filtrage de contenu pour les fonctionnalités suivantes : liste d’extensions de blocs, liste de blocage de commandes de protocole et filtrage de modèles MIME. La prise en charge des protocoles de messagerie est limitée pour les raisons suivantes :

  • Le filtre de contenu n’analyse qu’un seul niveau de l’en-tête d’un e-mail. Par conséquent, les en-têtes d’e-mails récursifs et les pièces jointes chiffrées ne sont pas analysés.

  • Si l’intégralité d’un e-mail est codée en MIME, le filtre de contenu ne peut rechercher que le type MIME.

  • Si une partie d’un e-mail est bloquée en raison d’un filtrage de contenu, l’e-mail d’origine est supprimé et remplacé par un fichier texte avec une explication de la raison pour laquelle l’e-mail a été bloqué.

À partir de la version 19.4R1 de Junos OS, la fonctionnalité antivirus et de filtrage de contenu prend en charge les protocoles SMTPS, IMAP et POP3S implicites et explicites, et prend uniquement en charge les FTPS explicites en mode passif.

Mode implicite : connectez-vous au port chiffré SSL/TLS à l’aide d’un canal sécurisé.

Mode explicite : connectez-vous d’abord au canal non sécurisé, puis sécurisez la communication en émettant la commande STARTTLS. Pour POP3S, utilisez la commande STLS.

Spécification des protocoles de filtrage de contenu (procédure CLI)

Pour configurer les protocoles de filtrage de contenu, utilisez les instructions de configuration CLI suivantes :

Présentation de la configuration du filtrage de contenu

Un filtre de sécurité de contenu bloque ou autorise un certain type de trafic en fonction du type MIME, de l’extension de fichier, des commandes de protocole et du type d’objet incorporé. Le filtre de contenu contrôle les transferts de fichiers sur la passerelle en comparant le trafic aux listes de filtres configurées. Le module de filtrage de contenu évalue le trafic avant tous les autres modules de sécurité de contenu, si le trafic répond aux critères configurés dans le filtre de contenu, le filtre de contenu agit en premier sur ce trafic. La procédure suivante répertorie l’ordre recommandé dans lequel vous devez configurer les filtres de contenu :

  1. Configurez les objets personnalisés Content Security pour la fonctionnalité. Reportez-vous à la section Exemple : Configuration du filtrage de contenu d’objets personnalisés.
  2. Configurez les principaux paramètres d’entité à l’aide de profils d’entités. Reportez-vous à la section Exemple : Configuration des profils d’entités de filtrage de contenu .
  3. Configurez une stratégie de sécurité du contenu pour chaque protocole et attachez-la à un profil. Reportez-vous à la section Exemple : Configuration du filtrage de contenu Stratégies de sécurité du contenu.
  4. Attachez la stratégie de sécurité du contenu à une politique de sécurité. Voir Exemple : Attachement de filtrage de contenu Stratégies de sécurité de contenu aux stratégies de sécurité.

Exemple : Configuration du filtrage de contenu d’objets personnalisés

Cet exemple montre comment configurer le filtrage de contenu des objets personnalisés.

Exigences

Avant de commencer :

  1. Décidez du type de filtre de contenu dont vous avez besoin. Reportez-vous à la section Présentation du filtrage de contenu.

  2. Découvrez l’ordre dans lequel les paramètres de filtrage de contenu sont configurés. Reportez-vous à la section Présentation de la configuration du filtrage de contenu.

Aperçu

Dans cet exemple, vous définissez des objets personnalisés qui sont utilisés pour créer des profils de filtrage de contenu. Pour définir des objets personnalisés, effectuez les tâches suivantes :

  1. Créez deux listes de commandes de protocole appelées ftpprotocom1 et ftpprotocom2, et ajoutez-y les commandes user, pass, port et type.

  2. Créez une liste d’extensions de noms de fichiers appelée extlist2 et ajoutez-y les extensions .zip, .js et .vbs.

  3. Définissez l’appel de liste block-mime cfmime1 et ajoutez des motifs à la liste.

Configuration

Procédure

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.

Pour configurer le filtrage de contenu des objets personnalisés :

  1. Créez deux listes de commandes de protocole.

  2. Ajoutez des commandes de protocole à la liste.

  3. Créez une liste d’extensions de noms de fichiers.

  4. Ajoutez des extensions à la liste.

  5. Créez des listes d’analyse antivirus.

  6. Ajoutez des motifs aux listes.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security utm commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérification du filtrage de contenu des objets personnalisés

But

Vérifiez le filtrage du contenu des objets personnalisés.

Action

À partir du mode opérationnel, entrez la show configuration security utm commande.

Exemple : configuration du filtrage de contenu Stratégies de sécurité du contenu

Cet exemple décrit comment créer une stratégie de sécurité du contenu de filtrage de contenu à attacher à votre profil de fonctionnalité.

Exigences

Avant de commencer :

  1. Décidez du type de filtre de contenu dont vous avez besoin. Reportez-vous à la section Présentation du filtrage de contenu.

  2. Configurez les objets personnalisés Content Security pour chaque fonctionnalité et définissez le profil de filtrage de contenu. Reportez-vous à la section Présentation de la configuration du filtrage de contenu.

Aperçu

Vous configurez les stratégies de sécurité du contenu afin d’appliquer de manière sélective diverses solutions de sécurité du contenu au trafic réseau passant par un appareil compatible avec la sécurité du contenu. Par le biais de profils d’entités, vous associez des objets personnalisés à ces stratégies et spécifiez le blocage ou l’autorisation de certains types de trafic.

Dans cet exemple, vous configurez une stratégie de sécurité du contenu appelée utmp4, puis affectez le profil d’entités préconfiguré confilter1 à cette stratégie.

Configuration

Procédure

Procédure étape par étape

Pour configurer une stratégie de sécurité du contenu de filtrage de contenu :

Vous pouvez configurer différentes applications de protocole dans la stratégie de sécurité du contenu. L’exemple ne montre que HTTP et aucun autre protocole. Précédemment, vous avez configuré des objets personnalisés pour FTP (ftpprotocom1 et ftpprotocom2). Ensuite, vous devez ajouter une politique de filtrage de contenu pour FTP, par exemple :

set security utm utm-policy utmp4 content-filtering ftp upload-profile confilter1

set security utm utm-policy utmp4 content-filtering ftp download-profile confilter1

  1. Créez une stratégie de sécurité du contenu.

  2. Joignez la stratégie de sécurité du contenu au profil.

  3. Si vous avez terminé de configurer l’appareil, validez la configuration.

Vérification

Vérifier la configuration de la sécurité du contenu

But

Pour vérifier le bon fonctionnement de la configuration de la sécurité, Content Security

Action

À partir du mode opérationnel, entrez la show security utm commande.

Exemple : Attacher des politiques de filtrage de contenu de sécurité de contenu à des stratégies de sécurité

Cet exemple montre comment créer une stratégie de sécurité et y associer la politique de sécurité du contenu.

Exigences

Avant de commencer :

  1. Configurez les objets personnalisés Content Security, définissez le profil de filtrage du contenu et créez une stratégie Content Security. Reportez-vous à la section Présentation de la configuration du filtrage de contenu.

  2. Activez et configurez une stratégie de sécurité. Voir Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser tout le trafic.

Aperçu

En attachant les politiques de sécurité du contenu de filtrage de contenu aux stratégies de sécurité, vous pouvez filtrer le trafic transitant d’une zone de sécurité à une autre.

Dans cet exemple, vous créez une stratégie de sécurité appelée p4 et spécifiez que le trafic provenant de n’importe quelle adresse source vers n’importe quelle adresse de destination avec une application HTTP correspond aux critères. Vous affectez ensuite une stratégie de sécurité du contenu appelée utmp4 à la stratégie de sécurité p4. Cette politique de sécurité du contenu s’applique à tout trafic qui correspond aux critères spécifiés dans la politique de sécurité p4.

Configuration

Procédure

Configuration rapide de la CLI

Pour associer rapidement une stratégie de filtrage de contenu à une stratégie de sécurité, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.

Pour associer une stratégie de sécurité du contenu à une politique de sécurité :

  1. Créez une stratégie de sécurité.

  2. Spécifiez les conditions de correspondance de la stratégie.

  3. Joignez la stratégie de sécurité du contenu à la politique de sécurité.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

vérification, attachement de contenu, filtrage, politiques de sécurité de contenu aux stratégies de sécurité,

But

Vérifiez le rattachement de la stratégie de filtrage de contenu Content Security à la politique de sécurité.

Action

À partir du mode opérationnel, entrez la show security policy commande.

Surveillance des configurations de filtrage de contenu

But

Consultez les statistiques de filtrage de contenu.

Action

Pour afficher les statistiques de filtrage de contenu dans l’interface de ligne de commande, entrez la user@host > show security utm content-filtering statistics commande.

La commande de filtrage de show statistics contenu affiche les informations suivantes :

Pour afficher les statistiques de filtrage de contenu à l’aide de J-Web :

  1. Sélectionnez Effacer les statistiques de filtrage de contenuMonitor>Security>UTM>Content FilteringMonitor>Security>UTM>Content Filtering.

    Les statistiques suivantes s’affichent dans le volet de droite.

  2. Vous pouvez cliquer sur Effacer les statistiques de filtrage du contenu pour effacer toutes les statistiques actuellement visibles et commencer à collecter de nouvelles statistiques.

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libérer
Description
15.1X49-D100
À partir de la version 15.1X49-D100 de Junos OS, le trafic relais IPv6 pour les protocoles HTTP, FTP, SMTP, POP3, IMAP est pris en charge pour le filtrage Web et les fonctionnalités de sécurité de filtrage de contenu de Content Security.