강화된 웹 필터링

EWF(Enhanced Web Filtering)를 위한 사용자 메시지 및 리디렉션 URL

Junos OS 릴리스 15.1X49-D110부터 각 EWF 범주에 대해 URL이 차단되거나 격리될 때 사용자에게 알리도록 사용자 메시지 및 리디렉션 URL을 구성할 수 있는 명령에 새로운 옵션 custom-message인 이(가) 추가됩니다 custom-objects . 옵션에는 custom-message 다음과 같은 필수 속성이 있습니다.

• 이름: 사용자 지정 메시지의 이름입니다. 최대 길이는 59바이트입니다.

• 유형: 사용자 지정 메시지 유형: user-message 또는 redirect-url.

• Content: 사용자 지정 메시지의 Content입니다. 최대 길이는 1024바이트입니다.

사용자 메시지 또는 리디렉션 URL을 사용자 지정 개체로 구성하고 사용자 지정 개체를 EWF 범주에 할당합니다.

• 사용자 메시지는 웹 사이트 액세스가 조직의 액세스 정책에 의해 차단되었음을 나타냅니다. 사용자 메시지를 구성하려면 계층 수준에서 문을 [edit security utm custom-objects custom-message message] 포함합니다type user-message content message-text.

• URL 리디렉션: 차단되거나 격리된 URL을 사용자 정의 URL로 리디렉션합니다. 리디렉션 URL을 구성하려면 계층 수준에서 문을 [edit security utm custom-objects custom-message message] 포함합니다type redirect-url content redirect-url.

이 custom-message 옵션은 다음과 같은 이점을 제공합니다.

• 각 EWF 범주에 대해 별도의 사용자 지정 메시지 또는 리디렉션 URL을 구성할 수 있습니다.

• 이 custom-message 옵션을 사용하면 차단 또는 격리된 URL을 알 수 있도록 정책을 지원하도록 메시지를 미세 조정할 수 있습니다.

  각 범주에 대해 하나의 custom-message 구성 옵션만 적용됩니다. 구성은 custom-message EWF(Enhanced Web Filtering)에서만 지원됩니다. 따라서 주니퍼 EWF 엔진 유형만 지원됩니다.

Junos OS 릴리스 17.4R1부터 로컬 및 Websense 리디렉션 프로필에 대한 사용자 지정 범주 구성 지원이 제공됩니다.

향상된 웹 필터링을 위한 기능 요구 사항

EWF(Enhanced Web Filtering)를 사용하려면 다음 항목이 필요합니다.

• License key— EWF 솔루션으로 업그레이드하려면 새 라이선스를 설치해야 합니다.

  "'wf_key_websense_ewf' 라이선스 필요" 경고 메시지는 일상적인 EWF 라이선스 유효성 검사에 의해 생성되므로 무시할 수 있습니다.

  라이선스 키가 만료된 후 EWF 기능에 대해 다른 콘텐츠 보안 기능과 일치하는 30일의 유예 기간이 제공됩니다.

  이 기능을 사용하려면 라이선스가 필요합니다. License Management에 대한 일반 정보는 Licensing Guide 를 참조하십시오. 자세한 내용은 SRX 시리즈 방화벽 의 제품 데이터시트를 참조하거나 주니퍼 어카운트 팀 또는 주니퍼 파트너에게 문의하십시오.

  EWF 기능에 대한 유예 기간이 경과한 경우(또는 기능이 설치되지 않은 경우) 웹 필터링이 비활성화되고, 모든 HTTP 요청이 웹 필터링을 우회하며, TSC에 대한 모든 연결이 비활성화됩니다. 유효한 라이센스를 설치하면 서버에 대한 연결이 다시 설정됩니다.

• 이 debug 명령은 디바이스에서 사용할 수 있는 각 TCP 연결에 다음 정보를 제공합니다.

  • 처리된 요청 수

  • 보류 중인 요청 수

  • 오류 수(삭제 또는 시간 초과된 요청)

• TCP connection between a Web client and a webserver- 애플리케이션 식별(APPID) 모듈은 HTTP 연결을 식별하는 데 사용됩니다. EWF 솔루션은 디바이스가 첫 번째 SYN 패킷을 수신한 후 HTTP 연결을 식별합니다. HTTP 요청을 차단해야 하는 경우 EWF는 디바이스에서 웹 클라이언트로 차단 메시지를 보냅니다. EWF는 TCP FIN 요청을 클라이언트에 보내고 TCP 재설정(RST)을 서버로 보내 연결을 사용하지 않도록 설정합니다. 디바이스는 플로우 세션을 통해 모든 메시지를 보냅니다. 메시지는 전체 서비스 체인을 따릅니다.

• HTTP request interception—EWF는 디바이스에서 첫 번째 HTTP 요청을 가로채고 HTTP 1.0 및 HTTP 1.1에 정의된 모든 메서드에서 URL 필터링을 수행합니다. 디바이스는 TSC의 응답을 기다리는 동안 원래 요청을 보유합니다. HTTP URL의 첫 번째 패킷이 단편화되거나 디바이스가 어떤 이유로 URL을 추출할 수 없는 경우 대상 IP 주소가 분류에 사용됩니다. 를 켜 http-reassemble면 EWF가 조각에서 전체 요청을 복구하고 URL을 가져올 수 있습니다.

  HTTP 1.1 영구 연결의 경우 해당 세션의 후속 요청은 EWF 모듈에서 무시됩니다.

  디바이스가 원래 요청을 오랫동안 보유하는 경우 클라이언트는 요청을 다시 전송합니다. URL 필터링 코드는 재전송된 패킷을 감지합니다. 원래 HTTP 요청이 이미 전달된 경우 EWF는 다시 전송된 패킷을 서버로 전달합니다. 그러나 EWF가 첫 번째 패킷 처리 중이거나 세션을 차단하는 계산을 하는 경우 솔루션은 재전송된 패킷을 삭제합니다. 카운터는 디바이스가 수신한 재전송된 패킷 수를 추적합니다.

  TSC가 디바이스의 분류 요청에 제때 응답하지 않으면 시간 초과 폴백 설정에 따라 원래 클라이언트 요청이 차단되거나 허용됩니다.

• HTTPS request interception—Junos OS 15.1X49-D40 및 Junos OS 릴리스 17.3R1부터 EWF는 SRX 시리즈 방화벽을 통과하는 HTTPS 트래픽을 가로챕니다. 디바이스의 보안 채널은 클라이언트와 디바이스 간의 SSL 채널 및 디바이스와 HTTPS 서버 간의 다른 SSL 채널로 나뉩니다. SSL 전달 프록시는 두 채널 모두에 대한 터미널 역할을 하며 일반 텍스트 트래픽을 Content Security로 전달합니다. Content Security는 HTTP 요청 메시지에서 URL을 추출합니다.

• Blocking message- 웹 클라이언트로 전송되는 차단 메시지는 사용자가 구성할 수 있으며 유형은 다음과 같습니다.

  • 주니퍼 네트웍스 차단 메시지는 사용자가 수정할 수 있는 디바이스에 정의된 기본 메시지입니다. 기본 차단 메시지에는 요청이 차단된 이유와 범주 이름(범주로 인해 차단된 경우)이 포함됩니다.

  • Syslog 메시지입니다.

  예를 들어 Enhanced_Search_Engines_and_Portals에 대한 작업을 차단하도록 설정한 상태에서 www.example.com 에 액세스하려고 하면 차단 메시지의 형식은 Juniper Web Filtering:Juniper Web Filtering has been set to block this site. CATEGORY: Enhanced_Search_Engines_and_Portals REASON: BY_PRE_DEFINED 다음과 같습니다. 그러나 테스트 대상 디바이스(DUT)의 해당 syslog 메시지는 다음과 같습니다 WEBFILTER_URL_BLOCKED: WebFilter: ACTION="URL Blocked" 56.56.56.2(59418)->74.125.224.48(80) CATEGORY="Enhanced_Search_Engines_and_Portals" REASON="by predefined category" PROFILE="web-ewf" URL=www.example.com OBJ=/ .

• Monitoring the Websense server- URL 필터링 모듈은 TSC가 활성 상태인지 확인하기 위해 소켓 연결 및 하트비트의 두 가지 방법을 사용합니다. EWF는 TSC에 대한 영구 TCP 소켓을 유지 관리합니다. TCP ACK가 활성화된 경우 서버는 TCP ACK로 응답합니다. EWF는 애플리케이션 계층 NOOP keepalive를 TSC로 보냅니다. 디바이스가 특정 기간 동안 세 번의 연속 NOOP keepalive에 대한 응답을 받지 못하면 소켓이 비활성 상태인지 확인합니다. EWF 모듈은 TSC에 대한 새 연결을 열려고 시도합니다. 모든 소켓이 비활성 상태이면 TSC는 비활성 상태로 간주됩니다. 따라서 오류가 발생합니다. 오류가 표시되고 기록됩니다. 후속 요청 및 보류 중인 요청은 TSC에 대한 새 연결이 다시 열릴 때까지 서버 연결 대체 설정에 따라 차단되거나 전달됩니다.

• HTTP protocol communication with the TSC—EWF는 HTTP 1.1 프로토콜을 사용하여 TSC와 통신합니다. 이렇게 하면 동일한 연결을 통해 여러 HTTP 요청을 지속적으로 연결하고 전송할 수 있습니다. 단일 HTTP 요청 또는 응답은 클라이언트 또는 서버 통신에 사용됩니다. TSC는 대기 중인 요청을 처리할 수 있습니다. 최적의 성능을 위해 비동기 요청 또는 응답 메커니즘이 사용됩니다. 요청은 TCP를 통해 전송되므로 요청 또는 응답 전달을 보장하기 위해 TCP 재전송이 사용됩니다. 또한 TCP는 재전송되지 않은 유효한 순차적 HTTP 스트림 데이터가 디바이스의 HTTP 클라이언트로 전송되도록 합니다.

• Responses- 응답은 기본 HTTP 규칙을 따릅니다. 성공적인 응답에는 20x 응답 코드(일반적으로 200)가 포함됩니다. 오류 응답에는 4xx 또는 5xx 코드가 포함됩니다. 4xx 시리즈의 오류 응답은 사용자 지정 코드의 문제를 나타냅니다. 5xx 시리즈의 오류 응답은 서비스에 문제가 있음을 나타냅니다.

  오류 코드와 의미는 다음과 같습니다.

  • 400–잘못된 요청

  • 403–금지됨

  • 404–찾을 수 없음

  • 408–요청이 취소되었거나 응답이 null입니다.

  • 500–내부 서버 오류

  400 시리즈의 오류는 요청에 문제가 있음을 나타냅니다. 500 시리즈의 오류는 TSC 서비스에 문제가 있음을 나타냅니다. Websense는 이러한 오류를 자동으로 통보받고 그에 따라 대응합니다.

  기본 폴백 설정을 구성하여 요청을 전달할지 또는 차단할지를 결정할 수 있습니다. set security utm feature-profile web-filtering juniper-enhanced profile juniper-enhanced fallback-settings default ?

  응답에는 사이트 분류 및 사이트 평판 정보도 포함됩니다.

• Categories- 디바이스에서 카테고리 목록을 사용할 수 있습니다. 이 목록은 범주로 구성되며 각 범주에는 범주 코드, 이름 및 상위 ID가 포함되어 있습니다. 범주는 사용자가 정의할 수도 있습니다. 각 범주는 URL 또는 IP 주소 목록으로 구성됩니다. 범주는 동적으로 업데이트되지 않으며 Junos OS 이미지로 컴파일해야 하기 때문에 Junos OS 릴리스에 연결됩니다. 범주의 모든 업데이트는 Junos OS 릴리스 주기와 동기화되어야 합니다.

  Junos OS 릴리스 17.4R1부터 새로운 EWF 범주를 다운로드하고 동적으로 로드할 수 있습니다. 새로운 EWF 범주의 다운로드 및 동적 로드에는 소프트웨어 업그레이드가 필요하지 않습니다. Websense는 때때로 새로운 EWF 카테고리를 출시합니다. EWF는 호스트, URL 또는 IP 주소에 따라 웹 사이트를 범주로 분류하고 범주에 따라 필터링을 수행합니다.

  기본 디바이스와 보조 디바이스 간에 범주 파일 전송이 실패하면 파일 전송으로 인해 업그레이드 오류가 발생하고 오류 로그가 생성됩니다.

  새 범주 파일을 설치하는 동안 범주 파일 이름이 변경되면 새 범주 파일이 내부 시스템의 이전 범주 파일을 덮어쓰고 모든 관련 출력 정보가 새 범주 이름으로 바뀝니다.

  Junos OS 릴리스 17.4R1부터 범주 파일에 정의된 사전 정의된 기본 필터가 개별 EWF 범주에 대해 지원됩니다. 각 EWF 범주에는 백업 필터 역할을 하기 위해 사용자 프로필에 연결된 기본 필터의 기본 작업이 있습니다. 범주가 사용자 프로필에 구성되지 않은 경우 기본 필터가 작업을 수행합니다.

  기본 필터는 범주 파일에 정의된 모든 범주에 대한 범주-작업 쌍을 포함하는 개체입니다. 기본 필터는 구조화된 객체이며, 필터 이름과 범주-작업 쌍의 배열을 통해 정의됩니다.

  다음은 범주-작업 쌍의 배열이 있는 기본 필터의 예입니다. Enhanced_Adult_Material 범주의 경우 작업은 차단입니다. Enhanced_Blog_Posting 범주의 경우 작업은 허용입니다. 등등.

  EWF는 최대 16개의 기본 필터를 지원합니다. Junos OS 릴리스 17.4R1은 기본 필터의 온라인 업그레이드도 지원합니다.

  사용자 프로필의 이름이 기본 필터와 같으면 웹 필터가 잘못된 프로필을 사용하는 것입니다.

• Caching- 성공적으로 분류된 응답이 디바이스에 캐시됩니다. 분류되지 않은 URL은 캐시되지 않습니다. 캐시의 크기는 사용자가 구성할 수 있습니다.

• Safe search (HTTP support only, not HTTPS)- 안전 검색 솔루션은 검색 엔진에서 받은 URL의 이미지와 같은 포함된 개체가 안전하고 바람직하지 않은 콘텐츠가 클라이언트에 반환되지 않도록 하는 데 사용됩니다.

  분류 정보를 제공하기 위해 TSC에 URL이 제공됩니다. 검색 URL인 경우 TSC는 안전 검색 문자열도 반환합니다. 예를 들어 안전 검색 문자열은 safe=active입니다. 이 안전 검색 문자열이 URL에 추가되고 안전 검색을 사용하여 클라이언트의 쿼리를 리디렉션하기 위한 리디렉션 응답이 설정됩니다. 이렇게 하면 안전하지 않은 콘텐츠가 클라이언트에 반환되지 않습니다. TSC에서 안전 검색이 필요하다고 표시되면 안전 검색 리디렉션을 수행할 수 있습니다.

  예를 들어 클라이언트는 EWF 프로필에서 허용하는 URL https://www.google.com/search?q=test 요청합니다. 패킷 모드에서 DUT의 EWF는 리디렉션 URL: https://www.google.com/search?q=test&safe=active 인 HTTP 302 응답을 생성합니다. 이 응답은 클라이언트로 반환됩니다. 이제 클라이언트는 이 URL로 안전한 리디렉션 요청을 보냅니다. 스트림 모드에서 DUT의 EWF는 URL을 다시 작성하여 https://www.google.com/search?q=test&safe=active 전달합니다.

  메모:

  안전 검색 리디렉션은 HTTP만 지원합니다. HTTPS에 대한 URL은 추출할 수 없습니다. 따라서 HTTPS 검색 URL에 대한 리디렉션 응답을 생성할 수 없습니다. 안전 검색 리디렉션은 CLI 옵션을 사용하여 비활성화할 수 있습니다 no-safe-search.

• Site reputation- TSC는 사이트 평판 정보를 제공합니다. 이러한 평판에 따라 차단 또는 허용 작업을 선택할 수 있습니다. URL이 허용 목록 또는 차단 목록에 의해 처리되지 않고 사용자 또는 사전 정의된 범주에 속하지 않는 경우 평판을 사용하여 URL 필터링 결정을 수행할 수 있습니다.

  Junos OS 릴리스 17.4R1부터 평판 기본 점수를 구성할 수 있습니다. 사용자는 Websense TSC(ThreatSeeker Cloud)에서 제공하는 글로벌 평판 값을 적용할 수 있습니다. 범주가 아닌 URL의 경우 필터링을 수행하는 데 글로벌 평판 값이 사용됩니다.

  평판 점수는 다음과 같습니다.

  • 100-90–사이트는 매우 안전한 것으로 간주됩니다.

  • 80-89–사이트는 적당히 안전한 것으로 간주됩니다.

  • 70-79–사이트는 상당히 안전한 것으로 간주됩니다.

  • 60-69–사이트가 의심스러운 것으로 간주됩니다.

  • 0-59–사이트가 유해한 것으로 간주됩니다.

  디바이스는 사이트 평판 점수에 따라 차단되거나 허용되는 URL에 대한 로그를 유지 관리합니다.

• Profiles- URL 필터링 프로필은 범주 목록으로 정의되며, 각 프로필에는 작업 유형(허용, 로그 및 허용, 차단, 격리)이 연결되어 있습니다. 사전 정의된 프로필은, junos-wf-enhanced-default 사용자가 자신의 프로필을 정의하지 않도록 선택하는 경우 사용자에게 제공됩니다.

  프로필의 사이트 평판을 기반으로 작업을 정의하여 수신 URL이 프로필에 정의된 범주에 속하지 않는 경우 작업을 지정할 수도 있습니다. 사이트 평판 처리 정보를 구성하지 않으면 기본 작업을 정의할 수 있습니다. 프로필에 정의된 카테고리 또는 정의된 평판 작업이 없는 모든 URL은 프로필에 명시적으로 정의된 기본 작업에 대한 차단 또는 허용 처리에 따라 차단, 허용, 기록 및 허용 또는 격리됩니다. 기본 작업을 지정하지 않으면 URL이 허용됩니다. 검색 엔진 요청의 경우 명시적인 사용자 정의 구성이 없고 URL 요청에 안전 검색 옵션이 없는 경우 EWF는 리디렉션 응답을 생성하여 클라이언트로 보냅니다. 클라이언트는 안전 검색 옵션을 사용하도록 설정된 새 검색 요청을 생성합니다.

  URL 필터링 프로필에는 다음 항목이 포함될 수 있습니다.

  • 여러 사용자 정의 및 사전 정의된 범주(각각 허용 또는 차단 작업 포함)

  • 여러 사이트 평판 처리 범주(각각 허용 또는 차단 작업 포함)

  • 허용 또는 차단 작업이 있는 하나의 기본 작업

  검색 순서는 차단 목록, 허용 목록, 사용자 정의 범주, 미리 정의된 범주, 안전 검색, 사이트 평판 및 기본 작업입니다.

향상된 웹 필터링을 위한 캐시 사전 로드

Junos OS 릴리스 23.2R1부터 캐시는 시스템 시작 단계에서 분류 정보와 함께 자주 방문하는 최고 등급의 URL 목록과 함께 로드됩니다. 이 기능은 인터넷 연결 속도가 느리고 원격 분류 서비스로 인해 웹에 액세스하는 동안 대기 시간이 긴 사용자에게 유용합니다. 웹 필터 정책 결정은 캐시에 미리 로드된 URL 범주 정보를 기반으로 하므로 첫 번째 요청이 이루어지더라도 지연이 발생하지 않습니다.

캐시는 기본적으로 사용하도록 설정되지 않습니다. 이 기능을 사용하려면 캐싱이 활성화되어 있는지 확인합니다. EWF(Enhanced Web Filtering)에 대한 캐싱을 활성화하려면 다음 구성이 필요하며 SRX 시리즈 방화벽에서 사용할 수 있습니다.

• security utm default-configuration web-filtering juniper-enhanced cache timeout

• security utm default-configuration web-filtering juniper-enhanced cache size

향상된 웹 필터링을 위한 캐시 사전 로드에 대해 다음 CLI 구성 명령문 옵션을 사용합니다.

표 1: 옵션

피드 URL	기본 하드 코딩된 파일 대신 대체 파일을 다운로드하는 데 사용됩니다. 필수는 아닙니다. 하드 코딩된 기본값이 설정되지 않은 경우 사용됩니다. 기본 피드 URL: https://update.juniper-updates.net/EWF-CACHE-PRELOAD/ 피드 유형에 따라 다음 기본값 중 하나가 사용됩니다. https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_feed.tgz https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_feed.tgz
자동 번역	사용자 상호 작용 없이 자동으로 다운로드 및 사전 로드 캐시를 설정하는 데 사용됩니다.
자동 간격<시간>	자동 캐시 미리 로드를 예약하는 데 사용됩니다. automatic 옵션을 지정하는 경우 필수입니다.
자동 재시도<time-in-hours>	어떤 이유로 자동 캐시 미리 로드가 실패하는 경우 재시도를 예약하는 데 사용됩니다. automatic 옵션을 지정하는 경우 필수입니다.
자동 피드 유형 <abs-urls-feed 또는 server-names-feed>	자동 다운로드 및 사전 로드 기능에 사용할 피드 유형을 지정하는 데 사용됩니다. automatic 옵션을 지정하는 경우 필수입니다.

메모:

다음 명령을 사용하여 캐시의 최대 항목 수를 제한할 수 있습니다.

set security utm default-configuration web-filtering juniper-enhanced cache size ?

가능한 완료:

<size> Juniper enhanced cache size (0..4096 kilobytes)

향상된 웹 필터링 캐시 사전 로드 기능에 대한 CLI에서 새로운 운영 명령을 사용할 수 있습니다.

운영 명령을 사용하여 원격 서버에서 원하는 URL 피드를 다운로드할 수 있습니다. Feed-URL 옵션은 기본 하드 코딩된 파일 대신 대체 파일을 다운로드하는 데 유용합니다. Feed-URL 옵션을 사용하더라도 server-names-feed 옵션 및 abs-urls-feed 옵션은 지정한 패키지에서 사용할 수 있는 피드 유형을 나타내는 데 필요합니다.

• request security utm web-filtering cache-preload download abs-urls-feed

• request security utm web-filtering cache-preload download server-names-feed

• request security utm web-filtering cache-preload download server-names-feed feed-url https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_fp_feed.tgz

• request security utm web-filtering cache-preload download abs-urls-feed feed-url https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_fp_feed.tgz

메모:

사용자 지정 패키지 유형 server-names-feed 에는 및 server_names_feed.ver 파일이 포함되어야 server_names_feed.csv 합니다.

사용자 지정 패키지 유형 abs-urls-feed must 에는 및 abs_urls_feed.ver 파일이 포함되어 abs_urls_feed.csv 있습니다.

다음은 하드 코딩된 링크입니다. 프로그램은 피드 유형에 따라 링크를 선택합니다.

https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_feed.tgz

https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_feed.tgz

다음 운영 명령을 사용하여 시스템 내의 기존 URL 피드를 사용하여 캐시 사전 로드를 트리거합니다. 이러한 명령은 다운로드 명령을 사용하여 패키지가 이미 설치된 경우 캐시를 로드합니다. server-names-feed 옵션을 사용하여 분류된 서버 이름을 미리 로드합니다. abs-urls-feed를 사용하여 분류된 URL 피드를 미리 로드합니다.

• request security utm web-filtering cache-preload load-active-local server-names-feed

• request security utm web-filtering cache-preload load-active-local abs-urls-feed

다음을 사용하여 원격 서버에서 기본 URL 피드를 다운로드하고, 설치하고, 캐시를 로드합니다. server-names-feed 옵션을 사용하여 분류된 서버 이름을 다운로드합니다. abs-urls-feed를 사용하여 분류된 URL 피드를 다운로드합니다.

• request security utm web-filtering cache-preload load-active server-names-feed

• request security utm web-filtering cache-preload load-active abs-urls-feed

캐시 사전 로드 기능의 상태를 확인하려면 다음 명령을 사용하십시오.

EWF(Enhanced Web Filtering)를 위한 사용자 메시지 및 리디렉션 URL

Junos OS 릴리스 15.1X49-D110부터 문에 custom-objects 새로운 옵션인 custom-message이(가) 추가되어 각 EWF 범주에 대해 URL이 차단되거나 격리될 때 사용자에게 알리도록 사용자 메시지와 리디렉션 URL을 구성할 수 있습니다. 옵션에는 custom-message 다음과 같은 필수 속성이 있습니다.

• 이름: 사용자 지정 메시지의 이름입니다. 최대 길이는 59자의 ASCII 문자입니다.

• 유형: 사용자 지정 메시지 유형: user-message 또는 redirect-url.

• Content: 사용자 지정 메시지의 Content입니다. 최대 길이는 1024자 ASCII 문자입니다.

사용자 메시지 또는 리디렉션 URL을 사용자 지정 개체로 구성하고 사용자 지정 개체를 EWF 범주에 할당합니다.

• 사용자 메시지는 웹 사이트 액세스가 조직의 액세스 정책에 의해 차단되었음을 나타냅니다. 사용자 메시지를 구성하려면 계층 수준에서 문을 [edit security utm custom-objects custom-message message] 포함합니다type user-message content message-text.

• URL 리디렉션: 차단되거나 격리된 URL을 사용자 정의 URL로 리디렉션합니다. 리디렉션 URL을 구성하려면 계층 수준에서 문을 [edit security utm custom-objects custom-message message] 포함합니다type redirect-url content redirect-url.

이 custom-message 옵션은 다음과 같은 이점을 제공합니다.

• 각 EWF 범주에 대해 별도의 사용자 지정 메시지 또는 리디렉션 URL을 구성할 수 있습니다.

• 이 custom-message 옵션을 사용하면 차단 또는 격리된 URL을 알 수 있도록 정책을 지원하도록 메시지를 미세 조정할 수 있습니다.

  각 범주에 대해 하나의 custom-message 구성 옵션만 적용됩니다. 구성은 custom-message EWF(Enhanced Web Filtering)에서만 지원됩니다. 따라서 주니퍼 EWF 엔진 유형만 지원됩니다.

Junos OS 릴리스 17.4R1부터 로컬 및 Websense 리디렉션 프로필에 대한 사용자 지정 범주 구성 지원이 제공됩니다.

지능형 웹 필터링 프로파일 선택

Junos OS 릴리스 23.2R1부터 JDPI의 동적 앱 정보는 최종 정책 일치가 완료되기 전에 정책 정보를 검색하는 데 사용됩니다. 웹 필터 프로필은 최종 응용 프로그램 일치를 기반으로 최종 정책을 선택한 후 다시 업데이트됩니다.

동적 앱 정보를 기반으로 검색되는 Content Security 프로필은 이전 방법인 기본 프로필을 적용하는 것보다 더 정확합니다.

동적 앱 기반 정책 검색은 이제 기본 동작입니다. 다음 노브는 Web 필터링 기본 구성 계층에 추가되어 필요한 경우 동적 앱 프로필 감지 기능을 비활성화합니다.

set security utm default-configuration web-filtering disable-dynapp-profile-selection

Content Security 정책 중 하나를 기본값으로 설정하기 위해 다음 명령이 도입됩니다.

set security utm default-policy <pol_name>

이 명령을 사용하여 모든 컨텐츠 보안 정책을 기본 정책으로 선택할 수 있습니다. 기본 정책이 통합된 다중 정책 구성 시나리오에서 구성된 경우 기본 컨텐츠 보안 웹 필터링 정책이 사용됩니다. 구성되지 않은 경우 junos-default-utm-policy가 기본 정책으로 사용됩니다.

메모:

기본 정책 변경 내용은 웹 필터링에만 적용되며 콘텐츠 필터링, 바이러스 백신 또는 스팸 차단에는 적용되지 않습니다.

다음 CLI 명령은 dynapp-profile-selection의 구성을 표시하는 데 사용됩니다.

show security utm web-filtering status

컨텐츠 보안 웹 필터링 상태:

다음 명령을 사용하여 정책 조회 활동에 대한 디버그 카운터 값을 표시합니다.

show security utm l7-app-policy statistics

디버깅을 위해 웹 필터링 통계에 새 카운터가 추가됩니다.

표 2: 웹 필터링 통계에 추가된 새 카운터

dynapp 정책과 일치하는 세션 수	uf_ng 세션과 연결된 정책이 새로 식별된 app-id에 따라 변경될 때마다 증가합니다.
기본 정책과 일치하는 세션 수	연결에 대해 수행된 Content Security 정책 작업이 사용자가 구성한 기본 정책을 기반으로 하는 경우 증가합니다. 이 카운터는 사용자가 구성한 기본 정책이 새 동적 앱으로 식별된 정책과 동일하거나 사용자가 구성한 기본 정책에 유효한 컨텐츠 보안 웹 필터링 프로필이 있고 정책이 없는 경우 기존 방화벽 정책과 일치하는 경우 증가합니다.
최종 정책과 일치하는 세션 수	정책 충돌 없이 Content Security 정책에 대한 작업이 수행될 때 증가합니다.

메모:

show services application-identification application-system-cache 명령을 사용하여 AppID 모듈로 식별된 동적 애플리케이션을 확인합니다.

EWF(Enhanced Web Filtering)를 위한 사용자 메시지 및 리디렉션 URL

Junos OS 릴리스 15.1X49-D110부터 문에 custom-objects 새로운 옵션인 custom-message이(가) 추가되어 각 EWF 범주에 대해 URL이 차단되거나 격리될 때 사용자에게 알리도록 사용자 메시지와 리디렉션 URL을 구성할 수 있습니다. 옵션에는 custom-message 다음과 같은 필수 속성이 있습니다.

• 이름: 사용자 지정 메시지의 이름입니다. 최대 길이는 59자의 ASCII 문자입니다.

• 유형: 사용자 지정 메시지 유형: user-message 또는 redirect-url.

• Content: 사용자 지정 메시지의 Content입니다. 최대 길이는 1024자 ASCII 문자입니다.

사용자 메시지 또는 리디렉션 URL을 사용자 지정 개체로 구성하고 사용자 지정 개체를 EWF 범주에 할당합니다.

• 사용자 메시지는 웹 사이트 액세스가 조직의 액세스 정책에 의해 차단되었음을 나타냅니다. 사용자 메시지를 구성하려면 계층 수준에서 문을 [edit security utm custom-objects custom-message message] 포함합니다type user-message content message-text.

• URL 리디렉션: 차단되거나 격리된 URL을 사용자 정의 URL로 리디렉션합니다. 리디렉션 URL을 구성하려면 계층 수준에서 문을 [edit security utm custom-objects custom-message message] 포함합니다type redirect-url content redirect-url.

이 custom-message 옵션은 다음과 같은 이점을 제공합니다.

• 각 EWF 범주에 대해 별도의 사용자 지정 메시지 또는 리디렉션 URL을 구성할 수 있습니다.

• 이 custom-message 옵션을 사용하면 차단 또는 격리된 URL을 알 수 있도록 정책을 지원하도록 메시지를 미세 조정할 수 있습니다.

• 각 범주에 대해 하나의 사용자 지정 메시지 구성 옵션만 적용됩니다. 사용자 지정 메시지 구성은 EWF(Enhanced Web Filtering)에서만 지원됩니다. 따라서 주니퍼 EWF 엔진 유형만 지원됩니다.

Junos OS 릴리스 17.4R1부터 로컬 및 Websense 리디렉션 프로필에 대한 사용자 지정 범주 구성 지원이 제공됩니다.