Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

로컬 웹 필터링

웹 필터링을 사용하면 부적절한 웹 콘텐츠에 대한 액세스를 방지하여 인터넷 사용을 관리할 수 있습니다. 웹 필터링 솔루션에는 네 가지 유형이 있습니다. 자세한 내용은 다음 항목을 참조하세요.

로컬 웹 필터링 이해

로컬 웹 필터링을 사용하면 SRX 시리즈 방화벽에서 평가되는 차단 목록 및 허용 목록에 포함될 수 있는 사용자 지정 URL 범주를 정의할 수 있습니다. 차단 목록의 각 카테고리에 대한 모든 URL은 거부되지만 허용 목록의 각 카테고리에 대한 모든 URL은 허용됩니다.

로컬 웹 필터링을 사용하면 방화벽이 TCP 연결의 모든 HTTP 및 HTTPS 요청을 가로채 URL을 추출합니다. 디바이스는 URL을 조회한 후 사용자 정의 범주에 따라 허용 목록 또는 차단 목록에 있는지 여부를 결정합니다. URL은 먼저 차단 목록 URL과 비교됩니다. 일치하는 항목이 발견되면 요청이 차단됩니다. 일치하는 항목이 없으면 URL을 허용 목록과 비교합니다. 일치하는 항목이 발견되면 요청이 허용됩니다. URL이 두 목록 중 하나에 없으면 사용자 지정 범주(차단, 로그 및 허용 또는 허용)가 사용됩니다. URL이 사용자 지정 범주에 속하지 않으면 정의된 기본 작업(차단, 로그 및 허용 또는 허용)이 수행됩니다. 웹 필터링 프로필을 방화벽 정책에 바인딩하여 요청된 사이트에 대한 액세스를 허용하거나 차단할 수 있습니다. 로컬 웹 필터링은 추가 라이선스 또는 외부 범주 서버 없이 기본 웹 필터링을 제공합니다.

이 항목에는 다음 섹션이 포함되어 있습니다.

로컬 웹 필터링 프로세스

다음 섹션에서는 웹 필터링 모듈에서 웹 트래픽을 가로채고 처리하는 방법에 대해 설명합니다.

  1. 디바이스가 TCP 연결을 가로챕니다.

  2. 디바이스는 TCP 연결의 각 HTTP 및 HTTPS 요청을 가로챕니다.

  3. 디바이스는 HTTP 및 HTTPS 요청에서 각 URL을 추출하고 해당 URL을 사용자 정의 허용 목록 및 차단 목록과 비교합니다.

  4. URL이 차단 목록에 있으면 요청이 허용되지 않으며 거부 페이지가 http 또는 https 클라이언트로 전송됩니다. URL이 허용 목록에 있으면 요청이 허용됩니다.

  5. 허용 목록 또는 차단 목록에서 URL을 찾을 수 없는 경우 구성된 기본 폴백 작업이 적용됩니다. 폴백 작업이 정의되지 않은 경우 요청이 허용됩니다.

사용자 정의 사용자 정의 URL 범주

로컬 웹 필터링을 수행하려면 프로필에 적용할 수 있는 차단 목록 및 허용 목록 콘텐츠를 정의해야 합니다.

고유한 URL 범주를 정의할 때 URL을 그룹화하고 필요에 따라 범주를 만들 수 있습니다. 각 카테고리에는 최대 20개의 URL이 있을 수 있습니다. 범주를 만들 때 사이트의 URL 또는 IP 주소를 추가할 수 있습니다. 사용자 정의 범주에 URL을 추가하면 디바이스는 DNS 조회를 수행하고, 호스트 이름을 IP 주소로 확인하며, 이 정보를 캐시합니다. 사용자가 사이트의 IP 주소로 사이트에 액세스하려고 하면 디바이스는 캐시된 IP 주소 목록을 확인하고 호스트 이름을 확인하려고 시도합니다. 많은 사이트에는 동적 IP 주소가 있으며, 이는 IP 주소가 주기적으로 변경됨을 의미합니다. 사이트에 액세스하려는 사용자는 디바이스의 캐시된 목록에 없는 IP 주소를 입력할 수 있습니다. 따라서 범주에 추가하려는 사이트의 IP 주소를 알고 있는 경우 사이트의 URL과 IP 주소를 모두 입력합니다.

URL 패턴 목록 및 사용자 지정 URL 범주 목록 사용자 지정 개체를 사용하여 고유한 범주를 정의합니다. 일단 정의되면 카테고리를 글로벌 사용자 정의 url-blocklist(차단) 또는 url-allowlist(permit) 카테고리에 할당합니다.

웹 필터링은 HTTP 1.0 및 HTTP 1.1에 정의된 모든 메서드에서 수행됩니다.

로컬 웹 필터링 프로필

정의된 사용자 지정 범주에 따라 URL을 허용하거나 차단하는 웹 필터링 프로필을 구성합니다. 웹 필터링 프로필은 다음 작업 중 하나가 할당된 URL 범주 그룹으로 구성됩니다.

  • 차단 목록 — 디바이스는 항상 이 목록에 있는 웹 사이트에 대한 액세스를 차단합니다. 사용자 정의 범주만 로컬 웹 필터링에 사용됩니다.

  • 허용 목록 — 디바이스는 항상 이 목록의 웹 사이트에 대한 액세스를 허용합니다. 사용자 정의 범주만 로컬 웹 필터링에 사용됩니다.

웹 필터링 프로필에는 하나의 차단 목록 또는 여러 사용자 정의 범주가 있는 하나의 허용 목록이 포함될 수 있으며, 각 범주에는 허용 또는 차단 작업이 있습니다. 수신 URL이 프로필에 정의된 범주에 속하지 않는 경우 기본 대체 작업을 정의할 수 있습니다. 기본 범주에 대한 작업이 차단인 경우 들어오는 URL이 프로필에 명시적으로 정의된 범주와 일치하지 않으면 차단됩니다. 기본 작업에 대한 작업을 지정하지 않으면 범주와 일치하지 않는 수신 URL에 허용의 기본 작업이 적용됩니다.

Junos OS 릴리스 17.4R1부터 로컬 웹 필터링을 위한 사용자 지정 범주 구성이 지원됩니다. 이 custom-message 옵션은 로컬 웹 필터링 및 Websense 리디렉션 프로파일의 범주에서도 지원됩니다. 사용자는 여러 URL 목록(사용자 정의 범주)을 작성하고 허용, 허용 및 로그, 차단 및 격리와 같은 작업을 통해 Content Security Web 필터링 프로파일에 적용할 수 있습니다. 전역 허용 목록 또는 차단 목록을 작성하려면 로컬 웹 필터링 프로파일을 컨텐츠 보안 정책에 적용하고 이를 전역 규칙에 첨부하십시오.

웹 필터링을 위한 사용자 메시지 및 리디렉션 URL

Junos OS 릴리스 17.4R1부터 각 EWF 범주에 대해 URL이 차단되거나 격리될 때 사용자에게 알리도록 사용자 메시지 및 리디렉션 URL을 구성할 수 있는 문에 새로운 옵션 custom-message인 이(가) 추가됩니다 custom-objects . 옵션에는 custom-message 다음과 같은 필수 속성이 있습니다.

  • 이름: 사용자 지정 메시지의 이름입니다. 최대 길이는 59자의 ASCII 문자입니다.

  • 유형: 사용자 지정 메시지 유형: user-message 또는 redirect-url.

  • Content: 사용자 지정 메시지의 Content입니다. 최대 길이는 1024자 ASCII 문자입니다.

사용자 메시지 또는 리디렉션 URL을 사용자 지정 개체로 구성하고 사용자 지정 개체를 EWF 범주에 할당합니다.

  • 사용자 메시지는 웹 사이트 액세스가 조직의 액세스 정책에 의해 차단되었음을 나타냅니다. 사용자 메시지를 구성하려면 계층 수준에서 문을 [edit security utm custom-objects custom-message message] 포함합니다type user-message content message-text.

  • URL 리디렉션: 차단되거나 격리된 URL을 사용자 정의 URL로 리디렉션합니다. 리디렉션 URL을 구성하려면 계층 수준에서 문을 [edit security utm custom-objects custom-message message] 포함합니다type redirect-url content redirect-url.

custom-message 옵션은 다음과 같은 이점을 제공합니다.

  • 각 EWF 범주에 대해 별도의 사용자 지정 메시지 또는 리디렉션 URL을 구성할 수 있습니다.

  • custom-message 옵션을 사용하면 차단 또는 격리된 URL을 알 수 있도록 정책을 지원하도록 메시지를 미세 조정할 수 있습니다.

프로필 일치 우선 순위

프로필이 URL 일치를 위해 여러 범주를 사용하는 경우 해당 범주는 다음 순서로 일치하는지 확인합니다.

  1. 있는 경우 전역 차단 목록이 먼저 확인됩니다. 일치하면 URL이 차단됩니다. 일치하는 항목이 없는 경우...

  2. 글로벌 허용 목록은 다음에 확인됩니다. 일치하는 경우 URL이 허용됩니다. 일치하는 항목이 없는 경우...

  3. 사용자 정의 범주는 다음에 선택됩니다. 일치하면 URL이 지정된 대로 차단되거나 허용됩니다.

또한보십시오

예: 로컬 웹 필터링 구성

이 예에서는 웹 사이트 액세스를 관리하기 위해 로컬 웹 필터링을 구성하는 방법을 보여 줍니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • SRX1500 장치

  • Junos OS 릴리스 12.1X46-D10 이상

시작하기 전에 웹 필터링에 대해 자세히 알아보세요. 웹 필터링 개요를 참조하십시오.

개요

이 예에서는 로컬 웹 필터링 사용자 정의 개체, 로컬 웹 필터링 기능 프로파일 및 로컬 웹 필터링 컨텐츠 보안 정책을 구성합니다. 또한 로컬 웹 필터링 컨텐츠 보안 정책을 보안 정책에 첨부합니다. 표 1 은 이 예에서 사용된 로컬 웹 필터링 구성 유형, 단계 및 매개 변수에 대한 정보를 보여줍니다.

표 1: 로컬 웹 필터링 구성 유형, 단계 및 매개 변수

구성 유형

구성 단계

구성 매개 변수

URL pattern and custom objects

우회할 URL 또는 주소의 URL 패턴 목록을 구성합니다.

[http://www.example1.net 192.0.2.0] 패턴이 포함된 urllis1이라는 사용자 지정 개체를 만듭니다.

[http://www.example2.net 192.0.2.3] 패턴이 포함된 urllist2라는 사용자 지정 개체를 만듭니다.

[http://www.example3.net 192.0.2.9] 패턴이 포함된 urllist3이라는 사용자 지정 개체를 만듭니다.

[http://www.example4.net 192.0.2.8] 패턴이 포함된 urllist4라는 사용자 지정 개체를 만듭니다.

  • [http://www.example1.net 192.0.2.0]

  • [http://www.example2.net 192.0.2.3]

  • [http://www.example3.net 192.0.2.9]

  • [http://www.example4.net 192.0.2.8]

  • value urllist3

  • value urllist4

그런 다음 urllist1 및 urllist2 사용자 지정 개체가 각각 사용자 지정 URL 범주 cust-blocklist 및 cust-permit-list에 추가됩니다.

  • value urllist1

  • value urllist2

Feature profiles

웹 필터링 기능 프로필을 구성합니다.

  

  • URL 차단 목록 필터링 범주를 custurl4로 설정하고 URL 허용 목록 필터링 범주를 custurl3으로 설정합니다. 웹 필터링 엔진 유형을 juniper-local로 설정합니다.

  • custurl3

  • custurl4

  • type juniper-local

  • localprofile1이라는 주니퍼 로컬 프로필 이름을 만듭니다. 오류가 발생하는 요청에 대해 이 프로필에 대한 기본 작업(허용, 로그 및 허용, 차단)을 선택합니다. 이 예제에서는 기본 작업을 permit으로 설정합니다. log-and-permit 작업을 사용하여 cust-permit-list 범주를 추가하고 차단 작업을 사용하여 cus-blocklist를 추가합니다.

  • localprofile1

  • Action: block

  • Action: log-and-permit

  • cust-black-list

  • cust-permit-list

  • 리디렉션 URL을 정의합니다. HTTP 및 HTTPS 요청이 차단될 때 보낼 사용자 지정 메시지를 입력합니다.

  • 구성된 각 범주에서 오류가 발생할 경우 이 프로필에 대한 대체 설정(차단 또는 로그 후 허용)을 선택합니다. 이 예제에서는 대체 설정을 block으로 설정합니다.

  • block-message type custom-redirect-url

  • block-message url 192.0.2.10

  • custom-block-message “**Access to this site is not permitted**”.

  • fallback-settings:

    • block

    • log-and-permit

Content Security policies

Content Security 정책을 utmp5 생성하고 프로필에 localprofile1첨부합니다. 마지막 구성 예에서 컨텐츠 보안 정책을 utmp5 보안 정책에 p5연결합니다.

  • utm policy utmp5

  • policy p5

구성

로컬 웹 필터링 사용자 지정 개체 및 URL 패턴 구성

CLI 빠른 구성

이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 복사하여 CLI [edit] 에 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

Junos OS 릴리스 15.1X49-D110부터 URL 패턴 웹 필터링 프로필에 사용되는 와일드카드 구문의 "* "는 모든 하위 도메인과 일치합니다. 예를 들어 *.example.net 은 다음과 일치합니다.

  • http://a.example.net

  • http://example.net

  • aaa.example.net

단계별 절차

CLI를 사용하여 로컬 웹 필터링을 구성하려면:

  1. 다음과 같이 목록 이름을 생성하고 값을 추가하여 URL 패턴 목록 사용자 정의 객체를 구성합니다.

    참고:

    URL 패턴 목록을 사용하여 사용자 지정 URL 범주 목록을 생성하므로 사용자 지정 URL 범주 목록을 구성하기 전에 URL 패턴 목록 사용자 지정 개체를 구성해야 합니다.
    참고:

    • URL 패턴 와일드카드를 사용하기 위한 지침은 다음과 같습니다: \*\를 사용합니다.[] \?*이며 모든 와일드카드 URL 앞에 http:// 붙습니다. URL의 시작 부분에 있고 뒤에 "."이 오는 경우에만 "*"를 사용할 수 있습니다. URL 끝에만 "?"를 사용할 수 있습니다.

    • 지원되는 와일드카드 구문은 http://*입니다. example.net, http://www.example.ne?, http://www.example.n??. 와일드카드 구문 *.example.???, http://*example.net, http://?은 지원되지 않습니다.

  2. 사용자 지정 URL 범주에 URL 패턴 적용

결과

구성 모드에서 명령을 입력하여 show security utm custom-objects 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

피쳐 프로파일에 사용자 정의 객체 적용

CLI 빠른 구성

이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 복사하여 CLI [edit] 에 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

로컬 웹 필터링 기능 프로필을 구성하려면:

  1. 프로필 이름을 만들고 포함된 허용 및 차단 목록 범주에서 범주를 선택합니다. 사용자 지정 범주 작업은 차단, 허용, 로그 및 허용 및 격리일 수 있습니다.

  2. 디바이스가 일반 텍스트 HTML이 포함된 블록 페이지를 전송하는 대신 디바이스가 HTTP 리디렉션 위치 필드에 특수 변수가 포함된 HTTP 302 리디렉션을 이 리디렉션 서버로 보내도록 리디렉션 URL 서버를 정의합니다. 이러한 특수 변수는 리디렉션 서버에 의해 구문 분석되며 이미지와 일반 텍스트 형식이 있는 클라이언트에 대한 특수 블록 페이지 역할을 합니다.

  3. HTTP 또는 HTTPS 요청이 차단될 때 보낼 사용자 지정 메시지를 입력합니다.

  4. 명시적으로 구성된 다른 작업(차단 목록, 허용 목록, 사용자 지정 범주, 사전 정의된 범주 작업 또는 사이트 평판 작업)이 일치하지 않는 경우 프로필에 대한 기본 작업(허용, 로그 및 허용, 차단 또는 격리)을 지정합니다.

  5. 이 프로필에 대한 대체 설정(차단 또는 로그 및 허용)을 구성합니다.

결과

구성 모드에서 명령을 입력하여 show security utm feature-profile 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

보안 정책에 웹 필터링 컨텐츠 보안 정책 연결

CLI 빠른 구성

이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 복사하여 CLI [edit] 에 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

Content Security 정책 구성하기:

  1. 프로파일을 참조하는 Content Security 정책을 작성하십시오. 웹 필터링 프로필을 Content Security 정책에 적용합니다.

결과

구성 모드에서 명령을 입력하여 show security utm 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

간결성을 위해 이 show 명령 출력에는 이 예와 관련된 구성만 포함됩니다. 시스템의 다른 모든 구성은 줄임표(...)로 대체되었습니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

로컬 웹 필터링 컨텐츠 보안 정책을 보안 정책에 연결

CLI 빠른 구성

이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 복사하여 CLI [edit] 에 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

Content Security 정책을 보안 정책에 첨부하려면,

  1. 보안 정책을 생성하고 구성합니다.

  2. 보안 정책에 Content Security 정책을 적용합니다.

결과

구성 모드에서 명령을 입력하여 show security policies 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.

Content Security Web Filtering의 통계 확인

목적

허용 목록 및 차단 목록 조회와 사용자 지정 범주 조회를 포함한 연결에 대한 웹 필터링 통계를 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security utm web-filtering statistics .

샘플 출력
명령 이름

또한보십시오

관련 문서

릴리스 기록 테이블
릴리스
설명
17.4R1
Junos OS 릴리스 17.4R1부터 로컬 웹 필터링을 위한 사용자 지정 범주 구성이 지원됩니다. 이 custom-message 옵션은 로컬 웹 필터링 및 Websense 리디렉션 프로파일의 범주에서도 지원됩니다. 사용자는 여러 URL 목록(사용자 정의 범주)을 작성하고 허용, 허용 및 로그, 차단 및 격리와 같은 작업을 통해 Content Security Web 필터링 프로파일에 적용할 수 있습니다. 전역 허용 목록 또는 차단 목록을 작성하려면 로컬 웹 필터링 프로파일을 컨텐츠 보안 정책에 적용하고 이를 전역 규칙에 첨부하십시오.
17.4R1
Junos OS 릴리스 17.4R1부터 각 EWF 범주에 대해 URL이 차단되거나 격리될 때 사용자에게 알리도록 사용자 메시지 및 리디렉션 URL을 구성할 수 있는 문에 새로운 옵션 custom-message인 이(가) 추가됩니다 custom-objects .
15.1X49-D110
Junos OS 릴리스 15.1X49-D110부터 URL 패턴 웹 필터링 프로필에 사용되는 와일드카드 구문의 " * "는 모든 하위 도메인과 일치합니다.