웹 필터링 개요
웹 필터링을 사용하면 부적절한 웹 콘텐츠에 대한 액세스를 방지하여 인터넷 사용을 관리할 수 있습니다. 웹 필터링 솔루션에는 세 가지 유형이 있습니다.
리디렉션 웹 필터링 - 리디렉션 웹 필터링 솔루션은 HTTP 및 HTTPS 요청을 가로채 Websense에서 제공하는 외부 URL 필터링 서버로 전송하여 요청을 차단할지 여부를 결정합니다.
리디렉션 웹 필터링에는 라이센스가 필요하지 않습니다.
로컬 웹 필터링 - 로컬 웹 필터링 솔루션은 TCP 연결의 모든 HTTP 요청 및 HTTPS 요청을 가로챕니다. 이 경우 의사 결정은 URL을 조회한 후 디바이스에서 수행되어 사용자 정의 범주에 따라 허용 목록 또는 차단 목록에 있는지 확인합니다.
로컬 웹 필터링에는 라이센스나 원격 범주 서버가 필요하지 않습니다.
향상된 웹 필터링 - 향상된 웹 필터링 솔루션은 HTTP 및 HTTPS 요청을 가로채 HTTP URL 또는 HTTPS 소스 IP를 Websense TSC(ThreatSeeker Cloud)로 보냅니다. TSC는 URL을 미리 정의된 151개 이상의 범주 중 하나로 분류하고 사이트 평판 정보도 제공합니다. TSC는 URL 카테고리 및 사이트 평판 정보를 디바이스에 추가로 반환합니다. 디바이스는 TSC에서 제공하는 정보를 기반으로 요청을 허용하거나 차단할 수 있는지 여부를 결정합니다.
Junos OS 릴리스 17.4R1부터 Websense 리디렉션은 IPv6 트래픽을 지원합니다.
Junos OS 릴리스 22.2R1부터 웹 필터링은 애플리케이션 데이터 처리를 위해 JDPI-Decoder 지원을 사용합니다. JDPI-Decoder에는 APPID 라이선스가 필요합니다. APPID 라이선스 없이 로컬 웹 필터링을 사용하려면 JDPI-Decoder를 비활성화하고 WF-Decoder를 활성화하는 명령을 사용할 set security utm default-configuration web-filtering performance-mode
수 있습니다. 이 명령을 사용하려면 시스템을 재부팅해야 합니다.
웹 필터링 프로필이나 바이러스 백신 프로필 또는 둘 다를 방화벽 정책에 바인딩할 수 있습니다. 둘 다 방화벽 정책에 바인딩되면 웹 필터링이 먼저 적용된 다음 바이러스 백신이 적용됩니다. URL이 웹 필터링에 의해 차단되면 TCP 연결이 닫히고 바이러스 백신 검사가 필요하지 않습니다. URL이 허용되면 트랜잭션 내용이 바이러스 백신 검색 프로세스로 전달됩니다.
웹 필터링은 TCP 포트 번호로 적용됩니다.
웹 필터링은 HTTPS 프로토콜을 지원합니다. 웹 필터링 솔루션은 HTTPS 패킷의 IP 주소를 사용하여 차단 목록, 허용 목록, 허용 또는 차단 결정을 내립니다.
차단 결정 중에 웹 필터링 솔루션은 HTTPS 세션에 일반 텍스트를 사용할 수 없기 때문에 차단 페이지를 생성하지 않습니다. 그러나 솔루션은 세션을 종료하고 차단된 HTTPS 세션에 대한 재설정을 클라이언트와 서버로 보냅니다.
HTTP에 대한 웹 필터링 구성은 HTTPS 세션에도 적용할 수 있습니다.
악의적인 사용자가 동시에 많은 양의 트래픽을 생성하는 것을 방지하기 위해 세션 제한을 적용하는 sessions-per-client limit CLI 명령은 웹 필터링을 지원하지 않습니다.
Junos OS 릴리스 15.1X49-D100부터 콘텐츠 보안의 웹 필터링 및 콘텐츠 필터링 보안 기능을 위해 HTTP, HTTPS, FTP, SMTP, POP3, IMAP 프로토콜에 대한 IPv6 패스스루 트래픽이 지원됩니다.
SNI(서버 이름 표시) 지원
SNI는 클라이언트가 HTTPS 연결을 통해 연결하는 서버 이름을 나타내는 SSL/TLS 프로토콜의 확장입니다. SNI는 SSL 핸드셰이크가 완료되기 전에 대상 서버의 실제 호스트 이름을 "Client Hello" 메시지에 일반 텍스트 형식으로 삽입합니다. 웹 필터링은 쿼리에 SNI 정보를 포함합니다. 이 구현에서 SNI는 서버의 전체 URL이 아닌 서버 이름만 포함합니다. SNI를 지원하면 여러 HTTP 서버가 동일한 호스트 IP 주소를 공유할 수 있으므로 쿼리에 대상 IP 주소만 사용하면 부정확한 결과가 발생할 수 있으므로 웹 필터링 기능이 향상됩니다.
SNI 지원을 통해 웹 필터링은 HTTPS 트래픽의 첫 번째 패킷을 "Client Hello" 메시지로 분석하고 SNI 확장에서 서버 이름을 추출한 다음 대상 IP 주소와 함께 서버 이름을 사용하여 쿼리를 유지/실행합니다. 이 패킷에 SNI 확장이 없거나 구문 분석 중에 오류가 발생하면 웹 필터링은 대상 IP 주소만 사용하도록 되돌아갑니다.
EWF(Web Filtering)에서 SSL 포워드 프록시를 사용하는 HTTPS 세션이 활성화된 경우 웹 필터링 전에 SNI(Server Name Indication)를 가져와 사전 확인 쿼리, 사이트 평판 및 범주에 대한 응답에 사용합니다. 캐시가 활성화된 경우 이러한 응답은 아무 작업도 수행하지 않고 캐시를 채웁니다. EWF는 전체 경로를 추출하고 캐시가 있는지 확인합니다. 캐시의 전체 경로가 일치하지 않으면 EWF가 쿼리를 보냅니다.
SNI 기능은 모든 유형의 웹 필터링에 대해 기본적으로 사용되므로 CLI를 사용한 추가 구성이 필요하지 않습니다.
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.