Filtrage Web local
Le filtrage Web vous permet de gérer l’utilisation d’Internet en empêchant l’accès à du contenu Web inapproprié. Il existe quatre types de solutions de filtrage Web. Pour plus d’informations, consultez les rubriques suivantes :
Présentation du filtrage Web local
Le filtrage Web local vous permet de définir des catégories d’URL personnalisées, qui peuvent être incluses dans les listes de blocage et d’autorisation évaluées sur le pare-feu SRX Series. Toutes les URL de chaque catégorie d’une liste de blocage sont refusées, tandis que toutes les URL de chaque catégorie d’une liste d’autorisation sont autorisées.
Avec le filtrage Web local, un pare-feu intercepte chaque requête HTTP et HTTPS dans une connexion TCP et extrait l’URL. Une décision est prise par l’appareil après avoir recherché une URL pour déterminer s’il figure dans la liste d’autorisation ou la liste de blocage en fonction de sa catégorie définie par l’utilisateur. Une URL est d’abord comparée aux URL de liste de blocage. Si une correspondance est trouvée, la demande est bloquée. Si aucune correspondance n’est trouvée, l’URL est comparée à la liste d’autorisation. Si une correspondance est trouvée, la demande est autorisée. Si l’URL ne figure dans aucune des listes, la catégorie personnalisée est supprimée (blocage, journalisation et autorisation ou autorisation). Si l’URL n’est pas dans la catégorie personnalisée, l’action par défaut définie est exécutée (bloquer, journaliser et autoriser ou autoriser). Vous pouvez autoriser ou bloquer l’accès à un site demandé en liant un profil de filtrage Web à une stratégie de pare-feu. Le filtrage Web local fournit un filtrage Web de base sans nécessiter de licence supplémentaire ou de serveur de catégories externe.
Cette rubrique contient les sections suivantes :
- Processus de filtrage Web local
- Catégories d’URL personnalisées définies par l’utilisateur
- Profils de filtrage Web local
- Messages utilisateur et URL de redirection pour le filtrage Web
- Priorité de correspondance de profil
Processus de filtrage Web local
La section suivante décrit comment le trafic Web est intercepté et traité par le module de filtrage Web.
L’appareil intercepte une connexion TCP.
-
L’appareil intercepte chaque requête HTTP et HTTPS dans la connexion TCP.
-
L’appareil extrait chaque URL de la requête HTTP et HTTPS et compare son URL à la liste d’autorisation et à la liste de blocage définies par l’utilisateur.
-
Si l’URL figure dans la liste de blocage, la demande n’est pas autorisée et une page de refus est envoyée au client http ou https. Si l’URL figure dans la liste d’autorisation, la demande est autorisée.
Si l’URL est introuvable dans la liste autorisée ou bloquée, l’action de secours par défaut configurée est appliquée. Si aucune action de secours n’est définie, la demande est autorisée.
Catégories d’URL personnalisées définies par l’utilisateur
Pour effectuer un filtrage Web local, vous devez définir un contenu de liste rouge et de liste autorisée qui peut être appliqué au profil.
Lorsque vous définissez vos propres catégories d’URL, vous pouvez regrouper les URL et créer des catégories spécifiques à vos besoins. Chaque catégorie peut avoir un maximum de 20 URL. Lorsque vous créez une catégorie, vous pouvez ajouter l’URL ou l’adresse IP d’un site. Lorsque vous ajoutez une URL à une catégorie définie par l’utilisateur, l’appareil effectue une recherche DNS, résout le nom d’hôte en adresses IP et met en cache ces informations. Lorsqu’un utilisateur tente d’accéder à un site avec l’adresse IP du site, l’appareil vérifie la liste des adresses IP mises en cache et tente de résoudre le nom d’hôte. De nombreux sites ont des adresses IP dynamiques, ce qui signifie que leurs adresses IP changent périodiquement. Un utilisateur qui tente d’accéder à un site peut taper une adresse IP qui ne figure pas dans la liste mise en cache sur l’appareil. Par conséquent, si vous connaissez les adresses IP des sites que vous ajoutez à une catégorie, entrez à la fois l’URL et la ou les adresses IP du site.
Vous définissez vos propres catégories à l’aide d’objets personnalisés de liste de modèles d’URL et de liste de catégories d’URL personnalisée. Une fois définies, vous affectez vos catégories aux catégories globales url-blocklist (blocage) ou url-allowlist (autoriser) définies par l’utilisateur.
Le filtrage Web est effectué sur toutes les méthodes définies dans HTTP 1.0 et HTTP 1.1.
Profils de filtrage Web local
Vous configurez des profils de filtrage Web qui autorisent ou bloquent les URL en fonction de catégories personnalisées définies. Un profil de filtrage Web se compose d’un groupe de catégories d’URL affectées à l’une des actions suivantes :
Liste de blocage — L’appareil bloque toujours l’accès aux sites Web de cette liste. Seules les catégories définies par l’utilisateur sont utilisées avec le filtrage Web local.
Liste d’autorisation — L’appareil autorise toujours l’accès aux sites Web de cette liste. Seules les catégories définies par l’utilisateur sont utilisées avec le filtrage Web local.
Un profil de filtrage Web peut contenir une liste de blocage ou une liste d’autorisation avec plusieurs catégories définies par l’utilisateur, chacune avec une action d’autorisation ou de blocage. Vous pouvez définir une action de secours par défaut lorsque l’URL entrante n’appartient à aucune des catégories définies dans le profil. Si l’action pour la catégorie par défaut est bloquer, l’URL entrante est bloquée si elle ne correspond à aucune des catégories explicitement définies dans le profil. Si aucune action pour l’action par défaut n’est spécifiée, l’action par défaut autorise est appliquée à l’URL entrante ne correspondant à aucune catégorie.
À partir de Junos OS version 17.4R1, la configuration de catégories personnalisées est prise en charge pour le filtrage Web local. L’option custom-message est également prise en charge dans une catégorie pour le filtrage Web local et les profils de redirection Websense. Les utilisateurs peuvent créer plusieurs listes d’URL (catégories personnalisées) et les appliquer à un profil de filtrage Web de sécurité de contenu avec des actions telles que autoriser, autoriser et journaliser, bloquer et mettre en quarantaine. Pour créer une liste globale d’autorisation ou de blocage, appliquez un profil de filtrage Web local à une stratégie de sécurité du contenu et joignez-le à une règle globale.
Messages utilisateur et URL de redirection pour le filtrage Web
À partir de Junos OS version 17.4R1, une nouvelle option, , custom-messageest ajoutée pour l’instruction qui vous permet de configurer les messages utilisateur et les URL de redirection pour avertir les utilisateurs lorsqu’une custom-objects URL est bloquée ou mise en quarantaine pour chaque catégorie EWF. L’option custom-message possède les attributs obligatoires suivants :
Nom : nom du message personnalisé ; la longueur maximale est de 59 caractères ASCII.
Type : Type de message personnalisé :
user-messageouredirect-url.Contenu : Contenu du message personnalisé ; la longueur maximale est de 1024 caractères ASCII.
Vous configurez un message utilisateur ou une URL de redirection en tant qu’objet personnalisé et affectez l’objet personnalisé à une catégorie EWF.
Les messages utilisateur indiquent que l'accès au site Web a été bloqué par la stratégie d'accès d'une organisation. Pour configurer un message utilisateur, incluez l’instruction
type user-message content message-textau niveau de la[edit security utm custom-objects custom-message message]hiérarchie.Les URL de redirection redirigent une URL bloquée ou mise en quarantaine vers une URL définie par l’utilisateur. Pour configurer une URL de redirection, incluez l’instruction
type redirect-url content redirect-urlau niveau de la[edit security utm custom-objects custom-message message]hiérarchie.
L’option custom-message offre les avantages suivants :
Vous pouvez configurer un message personnalisé distinct ou une URL de redirection pour chaque catégorie EWF.
Cette
custom-messageoption vous permet d’affiner les messages afin d’aider vos stratégies à savoir quelle URL est bloquée ou mise en quarantaine.
Priorité de correspondance de profil
Lorsqu’un profil utilise plusieurs catégories pour la correspondance d’URL, ces catégories sont vérifiées pour les correspondances dans l’ordre suivant :
Si elle est présente, la liste de blocage globale est vérifiée en premier. Si une correspondance est établie, l’URL est bloquée. Si aucune correspondance n’est trouvée...
La liste d’autorisation globale est ensuite vérifiée. Si une correspondance est établie, l’URL est autorisée. Si aucune correspondance n’est trouvée...
Les catégories définies par l’utilisateur sont ensuite cochées. Si une correspondance est établie, l’URL est bloquée ou autorisée comme spécifié.
Voir aussi
Exemple : configuration du filtrage Web local
Cet exemple montre comment configurer le filtrage Web local pour gérer l’accès au site Web.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
SRX1500 appareil
Junos OS version 12.1X46-D10 ou ultérieure
Avant de commencer, apprenez-en davantage sur le filtrage Web. Reportez-vous à la section Vue d’ensemble du filtrage Web.
Aperçu
Dans cet exemple, vous configurez des objets personnalisés de filtrage Web local, des profils de fonctionnalité de filtrage Web local et des stratégies de sécurité du contenu de filtrage Web local. Vous attachez également des stratégies de sécurité du contenu de filtrage Web local aux stratégies de sécurité. Le tableau 1 présente des informations sur le type de configuration du filtrage Web local, les étapes et les paramètres utilisés dans cet exemple.
Configuration Type |
Étapes de configuration |
Paramètres de configuration |
|---|---|---|
URL pattern and custom objects |
Configurez une liste de modèles d’URL d’URL ou d’adresses que vous souhaitez ignorer. Créez un objet personnalisé appelé urllis1 qui contient le modèle [http://www.example1.net 192.0.2.0] Créez un objet personnalisé appelé urllist2 qui contient le modèle [http://www.example2.net 192.0.2.3] Créez un objet personnalisé appelé urllist3 qui contient le modèle [http://www.example3.net 192.0.2.9] Créez un objet personnalisé appelé urllist4 qui contient le modèle [http://www.example4.net 192.0.2.8] |
|
Les objets personnalisés urllist1 et urllist2 sont ensuite ajoutés aux catégories d’URL personnalisées cust-blocklist et cust-permit-list respectivement. |
|
|
Feature profiles |
Configurez le profil de fonctionnalité de filtrage Web : |
|
|
|
|
|
|
|
|
|
|
Content Security policies |
Créez la stratégie |
|
Configuration
- Configuration du filtrage Web local Objets personnalisés et modèles d’URL
- Application d’objets personnalisés aux profils d’entités
- Attachement de stratégies de sécurité de contenu de filtrage Web aux stratégies de sécurité
- Attachement de stratégies de sécurité de contenu de filtrage Web local aux stratégies de sécurité
Configuration du filtrage Web local Objets personnalisés et modèles d’URL
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit du mode de configuration.
set security utm custom-objects url-pattern urllist1 value http://www.example1.net set security utm custom-objects url-pattern urllist1 value 192.0.2.0 set security utm custom-objects url-pattern urllist2 value http://www.example2.net set security utm custom-objects url-pattern urllist2 value 192.0.2.3 set security utm custom-objects url-pattern urllist3 value http://www.example3.net set security utm custom-objects url-pattern urllist3 value 192.0.2.9 set security utm custom-objects url-pattern urllist4 value http://www.example4.net set security utm custom-objects url-pattern urllist4 value 192.0.2.8 set security utm custom-objects custom-url-category cust-black-list value urllist1 set security utm custom-objects custom-url-category cust-permit-list value urllist2 set security utm custom-objects custom-url-category custurl3 value urllist3 set security utm custom-objects custom-url-category custurl4 value urllist4
À partir de Junos OS version 15.1X49-D110, le « * » dans une syntaxe générique, utilisé pour le profil de filtrage Web de modèle d’URL, correspond à tous les sous-domaines. Par exemple, *.example.net correspond :
http://a.example.net
http://example.net
aaa.example.net
Procédure étape par étape
Pour configurer le filtrage Web local à l’aide de l’interface de ligne de commande :
Configurez un objet personnalisé de liste de modèles d’URL en créant le nom de la liste et en y ajoutant des valeurs comme suit :
Note:Étant donné que vous utilisez des listes de modèles d’URL pour créer des listes de catégories d’URL personnalisées, vous devez configurer des objets personnalisés de liste de modèles d’URL avant de configurer des listes de catégories d’URL personnalisées.
[edit] user@host# set security utm custom-objects url-pattern urllist1 value [http://www.example1.net 192.0.2.0] user@host# set security utm custom-objects url-pattern urllist2 value [http://www.example2.net 192.0.2.3] user@host# set security utm custom-objects url-pattern urllist3 value [http://www.example3.net 192.0.2.9] user@host# set security utm custom-objects url-pattern urllist4 value [http://www.example4.net 192.0.2.8]
Note:Les instructions pour utiliser un caractère générique de modèle d’URL sont les suivantes : Utilisez \ *\.[] \ ?* et faites précéder toutes les URL génériques de http://. Vous ne pouvez utiliser « * » que s’il se trouve au début de l’URL et qu’il est suivi de « . ». Vous ne pouvez utiliser « ? » qu’à la fin de l’URL.
Les syntaxes génériques suivantes sont prises en charge : http://*. example.net, http://www.example.ne ?, http://www.example.n ??. Les syntaxes génériques suivantes ne sont pas prises en charge : *.example.???, http ://*example.net, http:// ?.
Application du modèle d’URL à une catégorie d’URL personnalisée.
[edit] user@host# set security utm custom-objects custom-url-category cust-black-list value urllist1 user@host# set security utm custom-objects custom-url-category cust-permit-list value urllist2 user@host# set security utm custom-objects custom-url-category custurl3 value urllist3 user@host# set security utm custom-objects custom-url-category custurl4 value urllist4
Résultats
Depuis le mode configuration, confirmez votre configuration en entrant la show security utm custom-objects commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
userhost#show security utm custom-objects
url-pattern {
urllist1 {
value [ http://www.example1.net 192.0.2.0 ];
}
urllist2 {
value [ http://www.example2.net 192.0.2.3 ];
}
urllist3 {
value [ http://www.example3.net 192.0.2.9 ];
}
urllist4 {
value [ http://www.example4.net 192.0.2.8 ];
}
}
custom-url-category {
cust-black-list {
value urllist1;
}
cust-permit-list {
value urllist2;
}
custurl3 {
value urllist3;
}
custurl4 {
value urllist4;
}
}
Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.
Application d’objets personnalisés aux profils d’entités
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit du mode de configuration.
set security utm feature-profile web-filtering juniper-local profile localprofile1 category cust-black-list action block set security utm feature-profile web-filtering juniper-local profile localprofile1 category cust-permit-list action log-and-permit set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message type custom-redirect-url set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message url http://192.0.2.10 set security utm feature-profile web-filtering juniper-local profile localprofile1 custom-block-message "Access to this site is not permitted." set security utm feature-profile web-filtering juniper-local profile localprofile1 default log-and-permit set security utm feature-profile web-filtering juniper-local profile localprofile1 fallback-settings default block set security utm feature-profile web-filtering juniper-local profile localprofile1 fallback-settings too-many-requests block
Procédure étape par étape
L’exemple suivant vous demande de naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande.
Créez un nom de profil et sélectionnez une catégorie dans les catégories de permis et de liste de blocage incluses. L’action de catégorie personnalisée peut être bloquer, autoriser, consigner et autoriser et mettre en quarantaine.
[edit security utm feature-profile web-filtering] user@host# set juniper-local profile localprofile1 category cust-black-list action block user@host# set juniper-local profile localprofile1 category cust-permit-list action log-and-permit
Définissez un serveur d’URL de redirection de sorte qu’au lieu que l’appareil envoie une page de blocage avec du HTML en texte brut, il envoie une redirection HTTP 302 à ce serveur de redirection avec des variables spéciales intégrées dans le champ d’emplacement de redirection HTTP. Ces variables spéciales sont analysées par le serveur de redirection et servent de page de bloc spéciale au client avec des images et un format de texte clair.
[edit security utm feature-profile web-filtering] user@host# set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message type custom-redirect-url user@host# set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message url http://192.0.2.10
-
Entrez un message personnalisé à envoyer lorsque les requêtes HTTP ou HTTPS sont bloquées.
[edit security utm feature-profile web-filtering] user@host# set juniper-local profile localprofile1 custom-block-message “Access to this site is not permitted”
Spécifiez une action par défaut (autoriser, journal et autoriser, bloquer ou mettre en quarantaine) pour le profil, lorsqu’aucune autre action configurée explicitement (liste de blocage, liste d’autorisation, catégorie personnalisée, actions de catégorie prédéfinies ou actions de réputation du site) n’est mise en correspondance.
[edit security utm feature-profile web-filtering] user@host# set juniper-local profile localprofile1 default log-and-permit
Configurez les paramètres de secours (bloquer ou consigner et autoriser) pour ce profil.
[edit security utm feature-profile web-filtering] user@host# set juniper–local profile localprofile1 fallback-settings default block user@host# set juniper–local profile localprofile1 fallback-settings too-many-requests block
Résultats
Depuis le mode configuration, confirmez votre configuration en entrant la show security utm feature-profile commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
userhost#show security utm feature-profile
web-filtering {
juniper-local {
profile localprofile1 {
default log-and-permit;
category {
cust-black-list {
action block;
}
cust-permit-list {
action log-and-permit;
}
}
custom-block-message "Access to this site is not permitted.";
block-message {
type custom-redirect-url;
url http://192.0.2.10;
}
fallback-settings {
default block;
too-many-requests block;
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.
Attachement de stratégies de sécurité de contenu de filtrage Web aux stratégies de sécurité
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit du mode de configuration.
set security utm utm-policy utmp5 web-filtering http-profile localprofile1
Procédure étape par étape
Pour configurer une stratégie de sécurité du contenu :
-
Créez la stratégie Content Security référençant un profil. Appliquez le profil de filtrage Web à la stratégie de sécurité du contenu.
[edit] user@host# set security utm utm-policy utmp5 web-filtering http-profile localprofile1
Résultats
Depuis le mode configuration, confirmez votre configuration en entrant la show security utm commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, cette sortie de commande show inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit]
userhost# show security utm
utm-policy utmp5 {
web-filtering {
http-profile localprofile1;
}
}
Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.
Attachement de stratégies de sécurité de contenu de filtrage Web local aux stratégies de sécurité
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit du mode de configuration.
set security policies from-zone trust to-zone untrust policy p5 match source-address any set security policies from-zone trust to-zone untrust policy p5 match destination-address any set security policies from-zone trust to-zone untrust policy p5 match application junos-http set security policies from-zone trust to-zone untrust policy p5 then permit application-services utm-policy utmp5
Procédure étape par étape
Pour attacher une stratégie de sécurité de contenu à une stratégie de sécurité :
Créez et configurez la stratégie de sécurité.
[edit security policies from-zone trust to-zone untrust policy p5] user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-http
-
Appliquez la stratégie de sécurité du contenu à la stratégie de sécurité.
[edit security policies from-zone trust to-zone untrust policy p5] user@host# set then permit application-services utm-policy utmp5
Résultats
Depuis le mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
userhost# show security policies
from-zone trust to-zone untrust {
policy p5 {
match {
source-address any;
destination-address any;
application junos-http;
}
then {
permit {
application-services {
utm-policy utmp5;
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez la tâche suivante :
Vérification des statistiques du filtrage Web Content Security
But
Vérifiez les statistiques de filtrage Web pour les connexions, y compris les accès à la liste autorisée et bloquée et les accès aux catégories personnalisées.
Action
En mode opérationnel, saisissez la show security utm web-filtering statistics commande.
Exemple de sortie
nom_commande
user@host>show security utm web-filtering statistics
UTM web-filtering statistics:
Total requests: 0
white list hit: 0
Black list hit: 0
Custom category permit: 0
Custom category block: 0
Custom category quarantine: 0
Custom category qurantine block: 0
Custom category quarantine permit: 0
Web-filtering sessions in total: 0
Web-filtering sessions in use: 0
Fallback: log-and-permit block
Default 0 0
Timeout 0 0
Connectivity 0 0
Too-many-requests 0 0
custom-message est également prise en charge dans une catégorie pour le filtrage Web local et les profils de redirection Websense. Les utilisateurs peuvent créer plusieurs listes d’URL (catégories personnalisées) et les appliquer à un profil de filtrage Web de sécurité de contenu avec des actions telles que autoriser, autoriser et journaliser, bloquer et mettre en quarantaine. Pour créer une liste globale d’autorisation ou de blocage, appliquez un profil de filtrage Web local à une stratégie de sécurité du contenu et joignez-le à une règle globale.
custom-messageest ajoutée pour l’instruction qui vous permet de configurer les messages utilisateur et les URL de redirection pour avertir les utilisateurs lorsqu’une
custom-objects URL est bloquée ou mise en quarantaine pour chaque catégorie EWF.