Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

웹 필터링 개요

웹 필터링은 부적절한 웹 컨텐트에 대한 액세스를 차단하여 인터넷 사용을 관리할 수 있도록 합니다. 웹 필터링 솔루션에는 세 가지 유형이 있습니다.

  • 리다이치 웹 필터링—리디렉션 웹 필터링 솔루션은 HTTP 및 HTTPS 요청을 가로채고 Websense에서 제공하는 외부 URL 필터링 서버로 전송하여 요청을 차단할 것인지 여부를 확인합니다.

    리다이 리디렉션 웹 필터링에는 라이센스가 필요하지 않습니다.

  • 로컬 웹 필터링—로컬 웹 필터링 솔루션은 TCP 연결에서 모든 HTTP 요청과 HTTPS 요청을 가로채습니다. 이 경우, URL을 검색한 후 디바이스에서 의사 결정이 수행되어 사용자 정의 범주에 따라 허용 목록 또는 차단 목록에 있는지 확인합니다.

    로컬 웹 필터링은 라이센스나 원격 범주 서버를 요구하지 않습니다.

  • 강화된 웹 필터링—향상된 웹 필터링 솔루션은 HTTP 및 HTTPS 요청을 가로채 HTTP URL 또는 HTTPS 소스 IP를 Websense ThreatSeeker Cloud(TSC)로 전송합니다. TSC는 URL을 사전 정의한 151개 이상의 범주 중 하나에 범주화하고 사이트 평판 정보를 제공합니다. TSC는 URL 범주와 사이트 평판 정보를 장비에 반환합니다. 디바이스는 TSC에서 제공하는 정보를 기반으로 요청을 허용 또는 차단할 수 있는지 여부를 확인합니다.

    Websense는 Release Junos OS 시작하여 17.4R1 IPv6 트래픽을 지원한다.

웹 필터링 프로필 또는 바이러스 차단 프로필 또는 둘 모두를 방화벽 정책에 연계할 수 있습니다. 두 가지 모두 방화벽 정책에 구속되어 있는 경우 웹 필터링이 먼저 적용되고 바이러스 차단이 적용됩니다. 웹 필터링으로 URL이 차단되는 경우 TCP 연결이 폐쇄되어 바이러스 차단 검사가 필요하지 않습니다. URL이 허용되는 경우 트랜잭션 내용은 바이러스 차단 검사 프로세스로 전달됩니다.

웹 필터링은 TCP 포트 번호에 따라 적용됩니다.

웹 필터링은 HTTPS 프로토콜을 제공합니다. 웹 필터링 솔루션은 HTTPS 패킷의 IP 주소를 사용하여 차단 목록, 허용 목록, 허용 또는 차단 결정을 내릴 수 있습니다.

차단 결정 중 웹 필터링 솔루션은 HTTPS 세션에서 clear 텍스트를 사용할 수 아니기 때문에 차단 페이지를 생성하지 않습니다. 그러나 이 솔루션은 세션을 종료하고 차단된 HTTPS 세션에 대해 클라이언트와 서버에 리셋을 전송합니다.

HTTP에 대한 웹 필터링 구성은 HTTPS 세션에도 적용할 수 있습니다.

클라이언트당 세션은 CLI 트래픽을 동시에 생성하지 못하도록 세션 스로틀을 적용하는 명령으로 제한됩니다. 이는 웹 필터링을 지원하지 않습니다.

JUNOS OS Release 15.1X49-D100, HTTP, HTTPS, FTP, SMTP, POP3, IMAP 프로토콜을 위한 IPv6 패스스루 트래픽을 시작으로 웹 필터링 및 네트워크의 컨텐츠 필터링 보안 기능을 UTM(Unified Threat Management).

SNI(Server Name Indication) 지원

SNI는 클라이언트가 HTTPS 연결을 통해 어떤 서버 이름을 접촉하고 있는지 표시하기 위해 SSL/TLS 프로토콜의 확장입니다. SNI는 SSL 핸드핸스를 완료하기 전에 "Client Hello" 메시지에 대상 서버의 실제 호스트 이름을 명확한 텍스트 형식으로 삽입합니다. 웹 필터링에는 쿼리에 SNI 정보가 포함됩니다. 이 구현에서 SNI는 서버의 전체 URL이 아닌 서버 이름만 포함합니다. SNI 지원은 여러 HTTP 서버가 동일한 호스트 IP 주소를 공유할 수 있기 때문에 쿼리에서 대상 IP 주소만 사용하는 경우 웹 필터링 기능을 향상할 수 있기 때문에 결과의 부정확한 결과가 발생할 수 있습니다.

SNI 지원을 통해 웹 필터링은 HTTPS 트래픽의 첫 번째 패킷을 "Client Hello" 메시지로 분석하고 SNI 확장에서 서버 이름을 추출하고 대상 IP 주소와 함께 서버 이름을 사용하여 쿼리를 유지/실행합니다. 이 패킷에 SNI 확장이 없는 경우 또는 구문 분석 중 오류가 발생하는 경우 웹 필터링은 대상 IP 주소만 사용하는 것으로 다시 전송됩니다.

EWF(Web Filtering)에서 SSL 포로 프록시를 사용하는 HTTPS 세션이 활성화되면 웹 필터링 전에 Server Name Indication(SNI)를 획득하고 이에 대한 응답으로 사전 확인 쿼리, 사이트 평판 및 범주에 사용됩니다. 캐시가 활성화되면, 이러한 응답은 그 어떤 조치도 없이 캐시를 채우게 됩니다. EWF는 전체 경로를 추출하여 캐시가 있는지 확인합니다. 캐시의 전체 경로가 일치하지 않는 경우 EWF에서 쿼리를 전송합니다.

SNI 기능은 모든 유형의 웹 필터링을 기본적으로 지원하기 때문에 이 기능을 사용하는 추가 구성은 CLI 없습니다.

릴리스 내역 표
릴리스
설명
15.1X49-D100
릴리스 Junos OS 릴리스 15.1X49-D100, HTTP, HTTPS, FTP, SMTP, POP3, IMAP 프로토콜에 대한 IPv6 패스스루(pass-through) 트래픽을 시작으로 웹 필터링 및 네트워크의 컨텐츠 필터링 보안 기능을 UTM(Unified Threat Management).