Filtrage Web de redirection
La solution de filtrage Web de redirection intercepte les requêtes HTTP et les envoie à un serveur de filtrage d’URL externe, fourni par Websense, pour déterminer s’il faut bloquer les requêtes. Pour plus d’informations, consultez les rubriques suivantes :
Comprendre le filtrage Web de redirection
Avec le filtrage Web de redirection, le module de filtrage Web intercepte une requête HTTP. L’URL de la requête est ensuite envoyée au serveur Websense externe, qui prend une décision d’autorisation ou de refus. Si l’accès à l’URL en question est autorisé, la requête HTTP d’origine et toutes les requêtes suivantes sont envoyées au serveur HTTP prévu. Mais si l’accès à l’URL en question est refusé, un message de blocage est envoyé au client.
Il s’agit d’une description générale de la façon dont le trafic Web est intercepté, redirigé et traité par le module de filtrage Web :
Un client Web établit une connexion TCP avec le serveur Web.
Le client Web envoie alors une requête HTTP.
L’appareil intercepte les requêtes et extrait l’URL. L’URL est comparée aux listes d’autorisation et de blocage de filtrage Web globales. Si aucune correspondance n’est établie, les paramètres de configuration du serveur Websense sont utilisés. Sinon, le processus se poursuit avec l’étape 6.
L’URL est envoyée au serveur Websense pour vérification,
Le serveur Websense renvoie une réponse indiquant si l’URL doit être autorisée ou bloquée ou non.
Si l’accès est autorisé, la requête HTTP d’origine est envoyée au serveur web. Si l’accès est refusé, l’équipement envoie un message de blocage au client et interrompt la connexion TCP.
Le filtrage Web est effectué sur toutes les méthodes définies dans HTTP 1.0 et HTTP 1.1. Toutefois, le filtrage Web de redirection utilise l’adresse IP de destination comme URL lorsqu’il vérifie le trafic HTTPS.
La prise de décision à partir d’options en temps réel offre un niveau de précision plus élevé, c’est pourquoi la mise en cache pour le filtrage Web de redirection n’est pas prise en charge.
Le filtrage Web redirigé ne nécessite pas de licence d’abonnement.
- Messages utilisateur et URL de redirection pour le filtrage Web
- Prise en charge dynamique des nouvelles catégories Websense EWF
Messages utilisateur et URL de redirection pour le filtrage Web
À partir de la version 17.4R1 de Junos OS, une nouvelle option, custom-message, est ajoutée pour l’instruction custom-objects qui vous permet de configurer les messages utilisateur et de rediriger les URL pour avertir les utilisateurs lorsqu’une URL est bloquée ou mise en quarantaine pour chaque catégorie EWF. L’option custom-message possède les attributs obligatoires suivants :
Nom : Nom du message personnalisé ; la longueur maximale est de 59 caractères ASCII.
Type : Type de message personnalisé :
user-messageouredirect-url.Contenu : Contenu du message personnalisé ; La longueur maximale est de 1024 caractères ASCII.
Vous configurez un message utilisateur ou une URL de redirection en tant qu’objet personnalisé et affectez l’objet personnalisé à une catégorie EWF.
Les messages des utilisateurs indiquent que l’accès au site Web a été bloqué par la stratégie d’accès d’une organisation. Pour configurer un message utilisateur, incluez l’instruction
type user-message content message-textau niveau de la[edit security utm custom-objects custom-message message]hiérarchie.Les URL de redirection redirigent une URL bloquée ou mise en quarantaine vers une URL définie par l’utilisateur. Pour configurer une URL de redirection, incluez l’instruction
type redirect-url content redirect-urlau niveau de la[edit security utm custom-objects custom-message message]hiérarchie.
Cette custom-message option offre les avantages suivants :
Vous pouvez configurer un message personnalisé distinct ou une URL de redirection pour chaque catégorie EWF.
Cette
custom-messageoption vous permet d’affiner les messages pour prendre en charge vos stratégies afin de savoir quelle URL est bloquée ou mise en quarantaine.
Prise en charge dynamique des nouvelles catégories Websense EWF
À partir de la version 17.4R1 de Junos OS, vous pouvez télécharger et charger dynamiquement de nouvelles catégories de filtrage Web amélioré (EWF). Le téléchargement et le chargement dynamique des nouvelles catégories EWF ne nécessitent pas de mise à jour logicielle. Websense publie occasionnellement de nouvelles catégories EWF. EWF classe les sites Web en catégories en fonction de l’hôte, de l’URL ou de l’adresse IP et effectue un filtrage en fonction des catégories. Les utilisateurs peuvent exploiter les nouvelles catégories dès qu’elles sont disponibles plutôt que d’attendre la publication d’un correctif.
Les configurations existantes ne sont pas affectées par les nouvelles catégories, mais peuvent être modifiées pour les utiliser.
Voir aussi
Exemple : Renforcement de la sécurité en configurant le filtrage Web redirigé à l’aide d’objets personnalisés
Cet exemple montre comment gérer l’utilisation d’Internet en configurant le filtrage Web redirigé à l’aide d’objets personnalisés et en empêchant l’accès au contenu Web inapproprié.
Exigences
Avant de commencer, apprenez-en davantage sur le filtrage Web. Reportez-vous à la section Présentation du filtrage Web.
Aperçu
L’avantage du filtrage Web est qu’il extrait les URL des messages de requête HTTP et effectue le filtrage en fonction des exigences. L’avantage de la configuration du filtrage Web de redirection est qu’elle extrait les URL des requêtes HTTP et les envoie à un serveur de filtrage d’URL externe pour déterminer s’il faut autoriser ou refuser l’accès.
Dans cet exemple, vous allez configurer le filtrage Web redirigé des objets personnalisés, rediriger les profils d’entités de filtrage Web et rediriger les stratégies de sécurité du contenu de filtrage Web. Vous pouvez également joindre les stratégies de redirection filtrage Web Content Security aux stratégies de sécurité.
Le numéro de port par défaut du serveur websense-redirect est 15868.
Vous sélectionnez les paramètres de secours (bloquer ou enregistrer et autoriser) pour ce profil, au cas où des erreurs se produiraient dans chaque catégorie configurée. Dans cet exemple, les paramètres de secours sont définis pour bloquer le profil. Vous entrez le nombre de sockets utilisés pour la communication entre le client et le serveur. La valeur par défaut est 32 pour les pare-feu SRX Series.
Enfin, vous entrez une valeur de délai d’attente en secondes. Une fois cette limite atteinte, les paramètres du mode d’échec sont appliqués. La valeur par défaut est de 15 secondes et vous pouvez entrer une valeur comprise entre 1 et 1800 secondes. Dans cet exemple, la valeur du délai d’attente est définie sur 10.
Topologie
La figure 1 illustre l’architecture globale de la fonctionnalité de redirection Websense.
redirection Websense
Configuration
- configuration du filtrage Web de redirection Objets personnalisés
- Configuration des profils d’entités de filtrage Web de redirection
- Configuration des stratégies de sécurité du filtrage Web redirigé et rattachement des stratégies de sécurité du filtrage Web redirigé au fichier Stratégies de sécurité
configuration du filtrage Web de redirection Objets personnalisés
Configuration rapide de la CLI
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security utm custom-objects url-pattern urllist4 value 1.2.3.4 set security utm custom-objects url-pattern urllistblack value http://www.untrusted.com set security utm custom-objects url-pattern urllistblack value 13.13.13.13 set security utm custom-objects url-pattern urllistwhite value http://www.trusted.com set security utm custom-objects url-pattern urllistwhite value 7.7.7.7 set security utm custom-objects custom-url-category custurl4 value urllist4 set security utm custom-objects custom-url-category custblacklist value urllistblack set security utm custom-objects custom-url-category custwhitelist value urllistwhite
Procédure étape par étape
Pour configurer le filtrage Web de redirection des objets personnalisés :
Créez des objets personnalisés et créez la liste de modèles d’URL.
[edit security utm] user@host# set custom-objects url-pattern urllist4 value [http://www.example.net 1.2.3.4]
Configurez l’objet personnalisé de la liste des catégories d’URL personnalisées à l’aide de la liste de modèles d’URL.
[edit security utm] user@host# set custom-objects custom-url-category custurl4 value urllist4
Créer une liste de sites non approuvés
[edit security utm] user@host# set custom-objects url-pattern urllistblack value [http://www.untrusted.com 13.13.13.13]
Configurez l’objet personnalisé de liste de catégories d’URL personnalisées à l’aide de la liste de modèles d’URL des sites non approuvés.
[edit security utm] user@host# set custom-objects custom-url-category custblacklist value urllistblack
Créez une liste de sites de confiance.
[edit security utm] user@host# set custom-objects url-pattern urllistwhite value [http://www.trusted.com 7.7.7.7]
Configurez l’objet personnalisé de liste de catégories d’URL personnalisées à l’aide de la liste de modèles d’URL des sites approuvés.
[edit security utm] user@host# set custom-objects custom-url-category custwhitelist value urllistwhite
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security utm custom-objects commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
userhost# show security utm custom-objects
url-pattern {
urllist4 {
value [ http://www.example.net 1.2.3.4 ];
}
urllistblack {
value [ http://www.untrusted.com 13.13.13.13 ];
}
urllistwhite {
value [ http://www.trusted.com 7.7.7.7 ];
}
}
custom-url-category {
custurl4 {
value urllist4;
}
custblacklist {
value urllistblack;
}
custwhitelist {
value urllistwhite;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration des profils d’entités de filtrage Web de redirection
Configuration rapide de la CLI
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security utm feature-profile web-filtering url-whitelist custwhitelist set security utm feature-profile web-filtering url-blacklist custblacklist set security utm feature-profile web-filtering type websense-redirect set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 server host Websenseserver set security utm feature-profile web-filtering websense-redirect profile p1 category cust-white-list action log-and-permit set security utm feature-profile web-filtering websense-redirect profile p1 category cust-list2 action permit set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 server port 15868 set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 fallback-settings server-connectivity block set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 fallback-settings timeout block set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 fallback-settings too-many-requests block set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 timeout 10 set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 sockets 1
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer les profils d’entités de filtrage Web de redirection :
Configurez la liste de blocage des URL de filtrage Web.
[edit security utm feature-profile web-filtering] user@host# set url-blacklist custblacklist
Configurez la liste d’autorisation des URL de filtrage Web.
[edit security utm feature-profile web-filtering] user@host# set url-whitelist custwhitelist
Spécifiez le type de filtrage Web, créez un nom de profil et définissez le nom du serveur ou l’adresse IP.
[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 server host Websenseserver
Configurez l’action
log-and-permitde catégorie personnalisée etpermitpour la liste d’autorisation d’URL et cust-list2, respectivement.[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 category cust-white-list action log-and-permit user@host# set websense-redirect profile websenseprofile1 category cust-list2 action permit
Entrez le numéro de port pour la communication avec le serveur.
[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 server port 15868
Configurez l’action
blockdes paramètres de secours pour ce profil.[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 fallback-settings default block
user@host# set websense-redirect profile websenseprofile1 fallback-settings server-connectivity block user@host# set websense-redirect profile websenseprofile1 fallback-settings timeout block user@host# set websense-redirect profile websenseprofile1 fallback-settings too-many-requests block
Entrez le nombre de sockets utilisés pour la communication entre le client et le serveur.
[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 sockets 1
Entrez une valeur de délai d’expiration, en secondes.
[edit security utm feature-profile web-filtering] user@host# set .websense-redirect profile websenseprofile1 timeout 10
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security utm feature-profile commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
userhost# show security utm feature-profile
web-filtering {
url-whitelist custwhitelist;
url-blacklist custblacklist;
type websense-redirect {
profile websenseprofile1 {
server {
host Websenseserver;
port 15868;
}
category {
cust-white-list {
action log-and-permit ;
cust-list2 {
action permit;
}
}
}
fallback-settings {
server-connectivity block;
timeout block;
too-many-requests block;
}
timeout 10;
sockets 1;
}
}
}
content-filtering {
profile contentfilter1;
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration des stratégies de sécurité du filtrage Web redirigé et rattachement des stratégies de sécurité du filtrage Web redirigé au fichier Stratégies de sécurité
Configuration rapide de la CLI
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security utm utm-policy utmp6 web-filtering http-profile websenseprofile1 set security policies from-zone trust to-zone untrust policy p6 match source-address any set security policies from-zone trust to-zone untrust policy p6 match destination-address any set security policies from-zone trust to-zone untrust policy p6 match application junos-http set security policies from-zone trust to-zone untrust policy p6 then permit application-services utm-policy utmp6
Procédure étape par étape
Pour configurer une stratégie de sécurité du contenu et l’associer à une stratégie de sécurité :
-
Créez la stratégie de sécurité des contenus référençant un profil.
[edit security utm] user@host# set utm-policy utmp6 web-filtering http-profile websenseprofile1
Créez et configurez la stratégie de sécurité.
[edit security policies from-zone trust to-zone untrust policy p6] user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-http
-
Joignez la stratégie de sécurité du contenu à la politique de sécurité.
[edit security policies from-zone trust to-zone untrust policy p6] user@host# set then permit application-services utm-policy utmp6
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security utm commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
userhost# show security utm
utm-policy utmp6 {
web-filtering {
http-profile websenseprofile1;
}
}
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
userhost# show security policies
from-zone trust to-zone untrust {
policy p6 {
match {
source-address any;
destination-address any;
application junos-http;
}
then {
permit {
application-services {
utm-policy utmp6;
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification de la configuration des objets personnalisés de filtrage Web de redirection
- Vérification de la configuration des profils d’entités de filtrage Web de redirection
- Vérification de l’attachement des stratégies de sécurité du filtrage Web de redirection vers les stratégies de sécurité
Vérification de la configuration des objets personnalisés de filtrage Web de redirection
But
Vérifiez la configuration des objets personnalisés de filtrage Web de redirection.
Action
En haut de la configuration, en mode configuration, entrez la show security utm custom-objects commande.
[edit]
userhost# show security utm custom-objects
url-pattern {
urllist4 {
value [ http://www.example.net 1.2.3.4 ];
}
urllistblack {
value [ http://www.untrusted.com 13.13.13.13 ];
}
urllistwhite {
value [ http://www.trusted.com 7.7.7.7 ];
}
}
custom-url-category {
custurl4 {
value urllist4;
}
custblacklist {
value urllistblack;
}
custwhitelist {
value urllistwhite;
}
}
Signification
L’exemple de sortie affiche la liste des objets personnalisés créés.
Vérification de la configuration des profils d’entités de filtrage Web de redirection
But
Vérifiez la configuration des profils d’entités de filtrage Web de redirection.
Action
En haut de la configuration, en mode configuration, entrez la show security utm feature-profile commande.
[edit]
userhost# show security utm feature-profile
web-filtering {
url-whitelist custwhitelist;
url-blacklist custblacklist;
type websense-redirect {
profile websenseprofile1 {
server {
host Websenseserver;
port 15868;
}
fallback-settings {
server-connectivity block;
timeout block;
too-many-requests block;
}
timeout 10;
sockets 1;
}
}
}
content-filtering {
profile contentfilter1;
}
Signification
L’exemple de sortie montre le profil d’entités configuré pour un serveur de redirection Websense.
Vérification de l’attachement des stratégies de sécurité du filtrage Web de redirection vers les stratégies de sécurité
But
Vérifiez l’attachement de la redirection nouvellement créée filtrage Web stratégies de sécurité du contenu aux stratégies de sécurité.
Action
En haut de la configuration, en mode configuration, entrez les show security utm commandes and show security policies .
[edit]
userhost# show security utm
utm-policy utmp6 {
web-filtering {
http-profile websenseprofile1;
}
}
[edit]
userhost# show security policies
from-zone trust to-zone untrust {
policy p6 {
match {
source-address any;
destination-address any;
application junos-http;
}
then {
permit {
application-services {
utm-policy utmp6;
}
}
}
}
}
Signification
L’exemple de sortie montre les stratégies de sécurité auxquelles sont attachées les stratégies de redirection filtrage Web de sécurité du contenu nouvellement créées.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
custom-message, est ajoutée pour l’instruction
custom-objects qui vous permet de configurer les messages utilisateur et de rediriger les URL pour avertir les utilisateurs lorsqu’une URL est bloquée ou mise en quarantaine pour chaque catégorie EWF.