Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

웹 필터링 개요

웹 필터링을 사용하면 부적절한 웹 콘텐츠에 대한 액세스를 방지하여 인터넷 사용을 관리할 수 있습니다. 웹 필터링 솔루션에는 다음 세 가지 유형이 있습니다.

  • 리디렉션 웹 필터링 - 리디렉션 웹 필터링 솔루션은 HTTP 및 HTTPS 요청을 차단하고 Websense에서 제공하는 외부 URL 필터링 서버로 전송하여 요청을 차단할지 여부를 결정합니다.

    리디렉션 웹 필터링은 라이선스가 필요하지 않습니다.

  • 로컬 웹 필터링 - 로컬 웹 필터링 솔루션이 TCP 연결에서 모든 HTTP 요청과 HTTPS 요청을 차단합니다. 이 경우, 사용자 정의 범주를 기반으로 허용 목록 또는 차단 목록에 있는지 확인하기 위해 URL을 조사한 후 디바이스에서 의사 결정이 수행됩니다.

    로컬 웹 필터링은 라이선스 또는 원격 카테고리 서버가 필요하지 않습니다.

  • 향상된 웹 필터링 - 향상된 웹 필터링 솔루션은 HTTP 및 HTTPS 요청을 차단하고 HTTP URL 또는 HTTPS 소스 IP를 Websense ThreatSeeker 클라우드(TSC)로 보냅니다. TSC는 URL을 사전 정의된 151개 이상의 범주 중 하나로 분류하고 사이트 평판 정보도 제공합니다. TSC는 URL 범주와 사이트 평판 정보를 디바이스에 추가로 반환합니다. 디바이스는 TSC에서 제공하는 정보를 기반으로 요청을 허용하거나 차단할 수 있는지 여부를 결정합니다.

    릴리스 17.4R1 Junos OS Websense 리디렉션은 IPv6 트래픽을 지원합니다.

웹 필터링 프로필 또는 바이러스 차단 프로파일 또는 둘 다 방화벽 정책에 바인딩할 수 있습니다. 두 가지 모두 방화벽 정책에 바인딩되면 웹 필터링이 먼저 적용되고 바이러스 차단이 적용됩니다. 웹 필터링으로 URL이 차단되면 TCP 연결이 닫혀 바이러스 차단 검사가 필요하지 않습니다. URL이 허용되면 트랜잭션 내용이 바이러스 차단 검사 프로세스로 전달됩니다.

웹 필터링은 TCP 포트 번호에 의해 적용됩니다.

웹 필터링은 HTTPS 프로토콜을 지원합니다. 웹 필터링 솔루션은 HTTPS 패킷의 IP 주소를 사용하여 차단 목록, 허용 목록, 허용 또는 차단 결정을 내릴 수 있습니다.

차단 결정 중에 웹 필터링 솔루션은 HTTPS 세션에 명확한 텍스트를 사용할 수 없기 때문에 블록 페이지를 생성하지 않습니다. 그러나 솔루션은 세션을 종료하고 차단된 HTTPS 세션을 위해 클라이언트와 서버로 재설정을 보냅니다.

HTTP에 대한 웹 필터링 구성도 HTTPS 세션에도 적용됩니다.

클라이언트당 세션 제한 CLI 명령은 악의적인 사용자가 대량의 트래픽을 동시에 생성하지 못하도록 하는 세션 스로틀을 적용하여 웹 필터링을 지원하지 않습니다.

Junos OS 릴리스 15.1X49-D100부터 HTTP, HTTPS, FTP, SMTP, POP3에 대한 IPv6 패스스루 트래픽, IPAP 프로토콜은 컨텐츠 보안의 웹 필터링 및 컨텐츠 필터링 보안 기능에 대해 지원됩니다.

서버 이름 표시(SNI) 지원

SNI는 클라이언트가 HTTPS 연결을 통해 접촉하는 서버 이름을 나타내기 위한 SSL/TLS 프로토콜의 확장입니다. SNI는 SSL 핸드셰이크가 완료되기 전에 "Client Hello" 메시지에 대상 서버의 실제 호스트 이름을 명확한 텍스트 형식으로 삽입합니다. 웹 필터링은 쿼리에 SNI 정보를 포함합니다. 이 구현에서 SNI는 서버의 전체 URL이 아닌 서버 이름만 포함합니다. SNI의 지원은 여러 HTTP 서버가 동일한 호스트 IP 주소를 공유할 수 있기 때문에 쿼리에서 대상 IP 주소만 사용하는 것처럼 웹 필터링 기능을 향상합니다.

웹 필터링은 SNI 지원을 통해 HTTPS 트래픽의 첫 번째 패킷을 "클라이언트 Hello" 메시지로 분석하고 SNI 확장에서 서버 이름을 추출하고, 대상 IP 주소와 함께 서버 이름을 사용하여 쿼리를 유지/실행합니다. 이 패킷에 SNI 확장이 없거나 구문 분석 중에 오류가 발생하면 웹 필터링은 대상 IP 주소만 사용하여 로 돌아갑니다.

웹 필터링(EWF)에서 SSL 포워드 프록시와의 HTTPS 세션이 활성화된 경우, 웹 필터링 전에 서버 이름 표시(SNI)를 얻어 사전 확인 쿼리, site-reputation 및 범주에 대응합니다. 캐시가 활성화된 경우, 이러한 응답은 아무런 조치 없이 캐시를 채웁니다. EWF는 전체 경로를 추출하고 캐시가 있는지 확인합니다. 캐시의 전체 경로가 일치하지 않으면 EWF는 쿼리를 보냅니다.

SNI 기능은 모든 유형의 웹 필터링에 대해 기본적으로 활성화되어 있으므로 CLI를 사용한 추가 구성은 필요하지 않습니다.

관련 문서

릴리스 기록 테이블
릴리스
설명
15.1X49-D100
Junos OS 릴리스 15.1X49-D100부터 HTTP, HTTPS, FTP, SMTP, POP3, IMAP 프로토콜에 대한 IPv6 패스스루 트래픽은 컨텐츠 보안의 웹 필터링 및 컨텐츠 필터링 보안 기능을 지원합니다.