Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

로컬 웹 필터링

웹 필터링은 부적절한 웹 컨텐트에 대한 액세스를 차단하여 인터넷 사용을 관리할 수 있도록 합니다. 웹 필터링 솔루션에는 네 가지 유형이 있습니다. 자세한 내용은 다음 항목을 참조하십시오.

로컬 웹 필터링 이해

로컬 웹 필터링을 사용하면 SRX 시리즈 장치에서 평가되는 차단 목록 및 허용 목록에 포함될 수 있는 맞춤형 URL 범주를 정의할 수 있습니다. 차단 목록의 각 범주에 대한 모든 URL은 거부되는 반면 허용 목록에 있는 각 범주에 대한 모든 URL은 허용됩니다.

로컬 웹 필터링을 통해 방화벽은 TCP 연결에서 모든 HTTP 요청을 가로채 URL을 추출합니다. URL을 확인한 후 디바이스가 사용자 정의 범주를 기준으로 허용 목록 또는 차단 목록에 있는지 여부를 판단합니다. URL을 차단 목록 URL과 먼저 비교합니다. 일치하는 것이 발견된 경우 요청이 차단됩니다. 일치할 수 없는 경우 URL은 허용 목록과 비교됩니다. 일치되는 경우 요청이 허용됩니다. URL이 두 목록에 없는 경우 사용자 지정 범주가 취해지게 됩니다(차단, 로그 및 허용 또는 허용). URL이 사용자 정의 범주에 없는 경우 정의된 기본 작업(차단, 로그 및 허용 또는 허용)이 수행됩니다. 웹 필터링 프로필을 방화벽 정책에 결합하여 요청된 사이트에 대한 액세스를 허용하거나 차단할 수 있습니다. 로컬 웹 필터링은 추가 라이센스 또는 외부 범주 서버를 요구하지 않고도 기본 웹 필터링을 제공합니다.

이 주제에는 다음 섹션이 포함되어 있습니다.

로컬 웹 필터링 프로세스

다음 섹션에서는 웹 필터링 모듈에 의해 웹 트래픽이 가로채고 어떻게 대우하는지 설명합니다.

  1. 이 장치는 TCP 연결을 가로채고 있습니다.

  2. 장치는 TCP 연결에서 각 HTTP 요청을 가로채습니다.

  3. 디바이스는 HTTP 요청에서 각 URL을 추출하고 사용자 정의 허용 목록 및 차단 목록과 URL을 검사합니다.

  4. 차단 목록에서 URL이 발견되는 경우 요청이 허용되지 않습니다. 거부 페이지가 http 클라이언트로 전송됩니다. 허용 목록에서 URL이 발견되는 경우 요청이 허용됩니다.

  5. URL이 허용 목록 또는 차단 목록에 없는 경우 구성된 기본 폴백 작업이 적용됩니다. 폴백 작업이 정의되지 않은 경우 요청이 허용됩니다.

사용자 정의 사용자 정의 URL 범주

로컬 웹 필터링을 수행하려면 차단 목록을 정의하고 프로필에 적용할 수 있는 허용 컨텐트가 있어야 합니다.

자체 URL 범주를 정의할 때 URL을 그룹화하고 요구에 따라 카테고리를 생성할 수 있습니다. 각 범주에는 최대 20개 URL이 있습니다. 범주를 만들면 사이트의 URL 또는 IP 주소를 추가할 수 있습니다. 사용자 정의 범주에 URL을 추가하면 디바이스가 DNS 룩업을 수행하고 호스트 이름을 IP 주소로 확인한 후 이 정보를 캐시합니다. 사용자가 사이트의 IP 주소를 사용하여 사이트에 액세스하도록 하게되면 디바이스는 캐싱된 IP 주소 목록을 검사하고 호스트 이름을 해결합니다. 많은 사이트에 동적 IP 주소가 있습니다. 즉, IP 주소는 주기적으로 변경됩니다. 사이트에 액세스를 시도하는 사용자는 장치의 캐시된 목록에 없는 IP 주소를 입력할 수 있습니다. 따라서 범주에 추가하는 사이트의 IP 주소를 알고 있는 경우 사이트의 URL과 IP 주소 모두를 입력합니다.

URL 패턴 목록 및 사용자 정의 URL 범주 목록 사용자 지정 객체를 사용하여 자체 범주를 정의합니다. 일단 정의되고 나면 글로벌 사용자 정의 url 차단 목록(차단) 또는 url 허용 목록(허용) 범주에 범주를 할당합니다.

웹 필터링은 HTTP 1.0 및 HTTP 1.1에 정의된 모든 메소드에서 수행됩니다.

로컬 웹 필터링 프로파일

정의된 사용자 정의 범주에 따라 URL을 허용하거나 차단하는 웹 필터링 프로필을 구성합니다. 웹 필터링 프로필은 다음 작업 중 하나에 할당된 URL 범주 그룹으로 구성됩니다.

  • 차단 목록 — 디바이스는 항상 이 목록에서 웹 사이트에 대한 액세스를 차단합니다. 사용자 정의 범주만 로컬 웹 필터링과 함께 사용됩니다.

  • 허용 목록 — 장치는 항상 이 목록의 웹사이트에 액세스할 수 있도록 허용합니다. 사용자 정의 범주만 로컬 웹 필터링과 함께 사용됩니다.

웹 필터링 프로필에는 허용 또는 차단 조치를 사용하는 여러 사용자 정의 범주가 있는 하나의 차단 목록 또는 하나의 허용 목록을 포함할 수 있습니다. 수신 URL이 프로필에 정의된 범주에 속하지 않는 경우 기본 폴백 작업을 정의할 수 있습니다. 기본 범주에 대한 조치가 차단되는 경우 프로필에 명시적으로 정의된 범주와 일치하지 않을 경우 수신 URL이 차단됩니다. 기본 조치에 대한 조치가 지정되지 않으면, 허용의 기본 조치가 수신 URL에 적용되어 그 어떤 범주와도 일치하지 않습니다.

릴리스 Junos OS 릴리스 17.4R1 로컬 웹 필터링을 위해 사용자 지정 범주 구성이 지원됩니다. 이 옵션은 로컬 웹 필터링 및 Websense 리디렉션 프로필 범주에서도 custom-message 지원됩니다. 사용자는 여러 URL 목록(사용자 정의 범주)을 생성하고 허용, UTM(Unified Threat Management), 차단, 검침과 같은 조치를 통해 웹 필터링 프로필에 적용할 수 있습니다. 글로벌 허용 목록 또는 차단 목록을 생성하려면 로컬 웹 필터링 프로필을 UTM(Unified Threat Management) 글로벌 규칙에 연결합니다.

웹 필터링을 위한 사용자 메시지 및 리디렉션 URL

새로운 옵션인 Junos OS Release 17.4R1 시작하여 각 EWF 범주에 대해 URL이 차단 또는 차단될 때 사용자에게 알리도록 사용자 메시지를 구성하고 URL을 리디렉션할 수 있도록 하는 명령문에 custom-message custom-objects 추가됩니다. 이 custom-message 옵션에는 다음과 같은 필수 속성이 있습니다.

  • 이름:사용자 지정 메시지의 이름, 최대 길이는 59 ASCII 문자입니다.

  • 유형:사용자 지정 메시지 user-message 유형: 또는 redirect-url

  • 컨텐트:사용자 지정 메시지 내용, 최대 길이는 1024 ASCII 문자입니다.

사용자 메시지 또는 리디렉션 URL을 사용자 정의 객체로 구성하고 사용자 정의 객체를 EWF 범주에 할당합니다.

  • 사용자 메시지는 조직의 액세스 정책에 따라 웹 사이트 액세스가 차단된 것을 나타냅니다. 사용자 메시지를 구성하기 위해 계층 수준에서 type user-message content message-text [edit security utm custom-objects custom-message message] 명령문을 포함합니다.

  • URL은 차단되거나 확인된 URL을 사용자 정의 URL로 리디렉션합니다. 리디렉션 URL을 구성하기 위해 계층 수준에서 type redirect-url content redirect-url [edit security utm custom-objects custom-message message] 명령문을 포함하십시오.

custom-message 옵션은 다음과 같은 이점을 제공합니다.

  • 각 EWF 범주에 대해 별도의 사용자 지정 메시지 또는 리디렉션 URL을 구성할 수 있습니다.

  • 이 옵션을 사용하면 어떤 URL이 차단되거나 검지되는지 알 수 있도록 메시지를 세부 조정하여 경찰을 custom-message 지원할 수 있습니다.

프로파일 일치 우선 순위

프로필이 URL 일치를 위해 여러 범주를 채용할 경우, 이들 범주는 다음 순서로 일치되는지 확인합니다.

  1. 있는 경우 글로벌 차단 목록이 먼저 체크됩니다. 일치하면 URL이 차단됩니다. 일치할 수 없는 경우...

  2. 다음에 글로벌 허용 목록이 체크됩니다. 일치하면 URL이 허용됩니다. 일치할 수 없는 경우...

  3. 사용자 정의 범주는 다음으로 체크됩니다. 일치하면 URL이 차단되거나 지정된 경우 허용됩니다.

예: 로컬 웹 필터링 구성

이 예에서는 웹 사이트 액세스를 관리하기 위한 로컬 웹 필터링을 구성하는 방법을 보여줍니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • SRX1500 디바이스

  • Junos OS 릴리스 12.1X46-D10 이상

시작하기 전에 웹 필터링에 대해 자세히 알아보시죠. 웹 필터링 개요를 참조하십시오.

개요

이 예에서는 로컬 웹 필터링 사용자 지정 객체, 로컬 웹 필터링 기능 프로파일 및 로컬 웹 필터링을 UTM(Unified Threat Management) 구성합니다. 또한 보안 정책에 로컬 웹 필터링 및 UTM(Unified Threat Management) 연결합니다. 표 1에는 로컬 웹 필터링 구성 유형, 단계 및 매개 변수에 대한 정보가 표시되어 있습니다.

표 1: 로컬 웹 필터링 구성 유형, 단계 및 매개 변수

구성 유형

구성 단계

구성 매개 변수

URL pattern and custom objects

우회하려는 URL 또는 주소의 URL 패턴 목록을 구성합니다.

패턴 [http://www.example1.net 192.0.2.0]을 포함하는 urllis1이라는 사용자 지정 객체를 생성합니다.

패턴 [http://www.example2.net 192.0.2.3]을 포함하는 urllist2라는 사용자 지정 객체를 생성합니다.

패턴[http://www.example3.net 192.0.2.9]을 포함하는 urllist3이라는 사용자 지정 객체를 생성합니다.

패턴[http://www.example4.net 192.0.2.8]을 포함하는 urllist4라고 하는 사용자 지정 객체를 생성합니다.

  • [http://www.example1.net 192.0.2.0]

  • [http://www.example2.net 192.0.2.3]

  • [http://www.example3.net 192.0.2.9]

  • [http://www.example4.net 192.0.2.8]

  • value urllist3

  • value urllist4

urllist1 및 urllist2 사용자 지정 객체는 각각 사용자 지정 URL 범주 cust-blocklist 및 cust-permit-list에 추가됩니다.

  • value urllist1

  • value urllist2

Feature profiles

웹 필터링 기능 프로파일 구성:

 
  • URL 차단 목록 필터링 범주를 custurl4로 설정하고 URL 허용 목록 필터링 범주를 custurl3로 설정합니다. 주니퍼-로컬에 웹 필터링 엔진의 유형을 설정합니다.

  • custurl3

  • custurl4

  • type juniper-local

  • localprofile1이라는 주니퍼-로컬 프로필을 생성합니다. 오류가 발생하는 요청에 대해 이 프로필에 대한 기본 작업(허용, 로그 및 허용, 차단)을 선택합니다. 다음 예제에서는 허용할 기본 작업을 지정합니다. 로그 및 허용 작업 및 차단 조치가 있는 cus-blocklist와 함께 범주 cust-permit-list 추가

  • localprofile1

  • Action: block

  • Action: log-and-permit

  • cust-black-list

  • cust-permit-list

  • 리디렉션 URL을 정의합니다. HTTP 요청이 차단될 때 전송할 사용자 지정 메시지를 입력합니다.

  • 구성된 각 범주에서 오류가 발생할 경우 이 프로필에 대한 폴백 설정(차단 또는 로그 및 허용)을 선택합니다. 이 예에서는 폴백 설정을 차단합니다.

  • block-message type custom-redirect-url

  • block-message url 192.0.2.10

  • custom-block-message “**Access to this site is not permitted**”.

  • fallback-settings:

    • block

    • log-and-permit

UTM policies

UTM(Unified Threat Management) 정책 utmp5를 생성하고 프로필 로컬프리미티(localfile)에 연결합니다1. 최종 구성 예에서 UTM(Unified Threat Management) 정책 utmp5를 보안 정책 p5에 연결합니다.

  • utm policy utmp5

  • policy p5

구성

로컬 웹 필터링 사용자 정의 객체 및 URL 패턴 구성

CLI 빠른 구성

예제의 이 섹션을 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 브레이크를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 CLI 명령어에 복사하여 붙여넣은 다음 구성 모드에서 [edit] commit 입력합니다.

릴리스 Junos OS 릴리스 15.1X49-D110 "* " 는 URL 패턴 웹 필터링 프로파일에 사용되는 와일드카드 구문에서 모든 하위 서브도머인과 일치합니다. 예를 들어 *.example.net 일치:

  • http://a.example.net

  • http://example.net

  • aaa.example.net

단계별 절차

다음 기능을 사용하여 로컬 웹 필터링을 CLI.

  1. list name을 생성하고 다음과 같이 값을 추가하여 URL 패턴 목록 사용자 지정 객체를 구성합니다.

    참고:

    URL 패턴 목록을 사용하여 사용자 정의 URL 범주 목록을 생성하기 때문에 사용자 정의 URL 범주 목록을 구성하기 전에 URL 패턴 목록 사용자 지정 객체를 구성해야 합니다.

    참고:
    • URL 패턴 와일드카드를 사용하는 지침은 다음과 같습니다. \*\[] \?* 및 500개가 있는 모든 와일드카드 URL에 http://. "*" URL의 시작에 있는 경우만 " 을 사용할 수 있으며 다음에 따라 "." " " """ URL 끝에서만 사용할 수 있습니다.

    • 다음 와일드카드 구문이 지원됩니다. http://* example.net, http://www.example.ne?, http://www.example.n?? 다음 와일드카드 구문은 지원되지 않습니다. *.example.???, http://*example.net, http://?.

  2. 사용자 지정 URL 범주에 URL 패턴을 적용합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show security utm custom-objects 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

기능 프로파일에 사용자 지정 객체 적용

CLI 빠른 구성

예제의 이 섹션을 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 브레이크를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 복제하여 CLI, 구성 모드에서 [edit] commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

로컬 웹 필터링 기능 프로파일을 구성하려면:

  1. 웹 필터링 URL 차단 목록, URL 허용 목록 및 웹 필터링 엔진을 구성합니다.

  2. 프로필 이름을 생성하고 포함된 허용 및 차단 목록 범주에서 범주를 선택합니다. 사용자 지정 범주 조치는 차단, 허용, 로그 및 허용, 검리가 될 수 있습니다.

  3. 장비가 일반 텍스트 HTML이 있는 차단 페이지를 전송하는 대신, 디바이스가 HTTP 리다이리 위치 필드에 내장된 특수 변수를 포함해 HTTP 302 리디렉션 서버로 리디렉션할 수 있도록 리디렉션 URL 서버를 정의합니다. 이러한 특수 변수는 리다이지 서버에 의해 구문 분석되어 이미지와 명확한 텍스트 형식을 사용하여 클라이언트에 대한 특수 차단 페이지로 사용할 수 있습니다.

  4. HTTP 요청이 차단될 때 전송할 사용자 지정 메시지를 입력합니다.

  5. 프로파일에 대해 다른 명시적 구성된 작업(차단 목록, 허용 목록, 사용자 지정 범주, 사전 정의 범주 작업 또는 사이트 평가 작업)이 일치하지 않는 경우 프로필에 대한 기본 조치(허용, 로그 및 허용, 차단 또는 검침)를 지정합니다.

  6. 이 프로필에 대한 폴백 설정(차단 또는 로그 및 허용)을 구성합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show security utm feature-profile 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

보안 정책에 UTM(Unified Threat Management) 웹 필터링 연결

CLI 빠른 구성

예제의 이 섹션을 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 브레이크를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 복제하여 CLI, 구성 모드에서 [edit] commit 입력합니다.

단계별 절차

네트워크 정책을 UTM(Unified Threat Management):

  1. 프로필을 UTM(Unified Threat Management) 정책을 생성합니다. 웹 필터링 프로필을 UTM(Unified Threat Management) 정책에 적용합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show security utm 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

대표적으로, 이는 명령 출력에 이 예제와 관련된 구성만 포함합니다. 시스템의 다른 구성은 타원(...)로 대체되었습니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

보안 정책에 로컬 웹 UTM(Unified Threat Management) 연결

CLI 빠른 구성

예제의 이 섹션을 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 브레이크를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 복제하여 CLI, 구성 모드에서 [edit] commit 입력합니다.

단계별 절차

보안 UTM(Unified Threat Management) 정책에 연결하기 위한 경우:

  1. 보안 정책을 생성하고 구성합니다.

  2. UTM(Unified Threat Management) 정책을 보안 정책에 적용합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show security policies 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

구성이 올바르게 작동하고 있는지 확인하려면 다음 작업을 수행하십시오.

웹 필터링의 UTM(Unified Threat Management) 검증

목적

허용 목록 및 차단 목록 히트와 사용자 지정 범주 조회를 포함한 연결에 대한 웹 필터링 통계를 확인합니다.

작업

작동 모드에서 명령어를 show security utm web-filtering statistics 입력합니다.

샘플 출력
명령 이름
릴리스 내역 표
릴리스
설명
17.4R1
릴리스 Junos OS 릴리스 17.4R1 로컬 웹 필터링을 위해 사용자 지정 범주 구성이 지원됩니다. 사용자 지정 메시지 옵션은 로컬 웹 필터링 및 Websense 리디렉션 프로필의 범주에서도 지원됩니다. 사용자는 여러 URL 목록(사용자 정의 범주)을 생성하고 허용, UTM(Unified Threat Management), 차단, 검침과 같은 조치를 통해 웹 필터링 프로필에 적용할 수 있습니다. 글로벌 허용 목록 또는 차단 목록을 생성하려면 로컬 웹 필터링 프로필을 UTM(Unified Threat Management) 글로벌 규칙에 연결합니다.
17.4R1
새로운 옵션인 Junos OS Release 17.4R1 시작하여 사용자 메시지를 구성하고 URL이 각 EWF 범주에 대해 차단 또는 차단될 때 사용자에게 알리도록 URL을 리디렉션할 수 있는 사용자 정의 객체 명령문에 추가됩니다.
15.1X49-D110
릴리스 Junos OS 릴리스 15.1X49-D110 URL 패턴 웹 필터링 프로필에 사용되는 와일드카드 구문의 "*"는 모든 서브도마인과 일치합니다.