컨텐츠 보안 지원 기능
컨텐츠 보안 기능에 대한 WELF 로깅
컨텐츠 보안 기능에 대한 WELF 로깅 이해하기
컨텐츠 보안 기능은 WELF 표준을 지원합니다. WELF Reference는 WebTrends 업계 표준 로그 파일 교환 형식을 정의합니다. 이 형식으로 가는 모든 시스템 로깅은 방화벽 Suite 2.0 이상, 방화벽 보고 센터 1.0 이상, 보안 보고 센터 2.0 이상과 호환됩니다.
WELF 로그 파일은 기록으로 구성됩니다. 각 기록은 파일의 한 줄입니다. 기록은 항상 연대순으로 되어 있습니다. 가장 초기 기록은 파일의 첫 번째 기록입니다. 가장 최근의 기록은 파일의 마지막 기록입니다. WELF는 로그 파일 이름이나 로그 파일 로테이션 정책에 제한을 두지 않습니다.
각 WELF 레코드는 필드로 구성됩니다. 레코드 식별자 필드(id=)는 기록의 첫 번째 필드여야 합니다. 다른 모든 필드는 임의의 순서로 나타날 수 있습니다.
다음은 WELF 레코드 샘플입니다.
id=firewall time="2000-2-4 12:01:01" fw=192.168.0.238 pri=6 rule=3 proto=http
src=192.168.0.23 dst=6.1.0.36 rg=www.example.com/index.html op=GET result=0
rcvd=1426
예제 WELF 레코드의 필드에는 다음 필수 요소가 포함됩니다(다른 모든 필드는 선택 사항).
id(기록 식별자)time(날짜/시간)fw(방화벽 IP 주소 또는 이름)pri(기록의 우선 순위)
예: 컨텐츠 보안 기능을 위한 WELF 로깅 구성
이 예는 컨텐츠 보안 기능에 대한 WELF 로깅을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 WELF 로그 파일을 생성하고 기록하는 데 사용되는 필드를 검토합니다. 컨텐츠 보안 개요를 참조하십시오.
개요
WELF 로그 파일은 기록으로 구성됩니다. 각 기록은 파일의 한 줄입니다. 기록은 항상 연대순으로 되어 있습니다. 가장 초기 기록은 파일의 첫 번째 기록입니다. 가장 최근의 기록은 파일의 마지막 기록입니다. WELF는 로그 파일 이름이나 로그 파일 로테이션 정책에 제한을 두지 않습니다. 이 예에서 심각도 수준은 긴급하며 보안 로그 스트림의 이름은 입니다 utm-welf.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
set security log source-address 1.2.3.4 stream utm-welf set security log source-address 1.2.3.4 stream utm-welf format welf set security log source-address 1.2.3.4 stream utm-welf format welf category content-security set security log source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency set security log source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency host 5.6.7.8
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
컨텐츠 보안 기능에 대한 WELF 로깅 구성 방법:
보안 로그 소스 IP 주소를 설정합니다.
[edit security log] user@host# set source-address 1.2.3.4
참고:WELF 로깅 메시지를 전용 WebTrends 서버에 저장해야 합니다.
보안 로그 스트림의 이름을 지정합니다.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf
로그 메시지의 형식을 설정합니다.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf
전송된 로그 메시지 범주를 설정합니다.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security
전송되는 로그 메시지의 심각도 수준을 설정합니다.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency
로그 메시지를 보낼 전용 WebTrends 서버의 호스트 주소를 입력합니다.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency host 5.6.7.8
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다 show security log . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security log
stream utm-welf {
severity emergency;
format welf;
category content—
security;
host {
5.6.7.8;
}
}
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .
컨텐츠 보안을 위한 명시적 프록시
컨텐츠 보안은 컨텐츠 보안에 대한 EWF(Enhanced Web Filtering) 및 Sophos 바이러스 차단(SAV)을 위한 클라우드 기반 연결을 위한 명시적 프록시의 사용을 지원합니다. 명시적 프록시는 소스 디바이스의 ID를 숨기고 대상 디바이스와의 연결을 설정합니다.
- 명시적 프록시 이해하기
- Juniper Enhanced Server에서 명시적 프록시 구성
- Juniper Enhanced Server에서 명시적 프록시 구성 확인
- 명시적 프록시를 사용하여 사전 정의된 범주 업그레이드 및 기본 필터 구성 구성
- 사전 정의된 범주 업그레이드 및 기본 필터 구성 확인
- Sophos 바이러스 차단 패턴 업데이트 구성
- Sophos 바이러스 차단 패턴 업데이트 확인
명시적 프록시 이해하기
명시적 프록시는 소스 디바이스의 ID를 숨기고, Websense Threateeker Cloud(TSC) 서버와 직접 통신하고 대상 디바이스와의 연결을 설정합니다. 명시적 프록시 구성은 포트 주소와 직접 IP 주소 또는 호스트 이름으로 구성됩니다.
명시적 프록시를 사용하려면 하나 이상의 프록시 프로필을 생성하고 해당 프로필을 참조하십시오.
EWF에서 명시적 프록시는 계층에서
security utm default-configuration web-filtering juniper-enhanced server생성된proxy-profile을(를) 참조하여 구성됩니다. TSC 서버와 연결이 설정됩니다.EWF 사전 정의된 범주 업그레이드 및 기본 필터에서 명시적 프록시는 계층에서
security utm custom-objects category-package proxy-profile생성된proxy-profile을(를) 참조하여 구성됩니다. 소프트웨어 업그레이드 없이 새로운 EWF 범주를 다운로드하고 동적으로 로드할 수 있습니다.proxy-profile범주 파일이 설치되어 트래픽 전송에 사용됩니다.SRX 시리즈 방화벽은 프록시 서버에 CONNECT 요청을 전송하고, SRX 시리즈 방화벽 및 TSC 서버는 HTTP 연결을 통해 통신합니다. 그런 다음 프록시 서버는 구성된 IP 주소를 식별하고, 허용 목록을 지정하며, SRX 시리즈 방화벽이 프록시를 통해 클라우드의 TSC 서버로 트래픽을 전송할 수 있도록 합니다. 프록시 필터링 후 실제 TSC 서버에 대한 연결을 생성합니다.
Sophos 바이러스 차단(SAV)에서 명시적 프록시는 계층에서
security utm default-configuration anti-virus sophos-engine pattern-update생성된proxy-profile을(를) 참조하여 구성됩니다. utmd 프로세스는 클라우드의 SAV 패턴 업데이트 서버 대신 프록시 호스트에 연결됩니다.
EWF에서 프록시 프로필이 컨텐츠 보안 웹 필터링 구성에서 구성된 경우, TSC 서버 연결은 클라우드의 컨텐츠 보안 서버 대신 프록시 호스트와 함께 설정됩니다.
SAV에서 프록시 프로필이 구성된 경우 utmd 프로세스는 클라우드의 SAV 패턴 업데이트 서버 대신 프록시 호스트에 연결됩니다.
구성된 경우 proxy-profile 프록시 서버 인증은 지원되지 않습니다.
Juniper Enhanced Server에서 명시적 프록시 구성
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
호스트 및 포트 정보가 포함된 프록시 프로필을 생성하고 Juniper 고급 서버에서 이를 참조하여 컨텐츠 보안 클라우드 서버에 대한 연결을 설정합니다.
다음 구성은 Juniper 강화된 서버에서 명시적 프록시를 구성하는 방법을 보여줍니다.
Results
구성 모드에서 및 show services 명령을 입력하여 구성을 show security 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security
default-configuration {
web-filtering {
type juniper-enhanced;
juniper-enhanced {
server {
proxy-profile proxy1;
}
}
}
}
[edit]
user@host# show services
proxy {
profile proxy1 {
protocol {
http {
host 192.0.2.1;
port 3128;
}
}
}
}
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .
Juniper Enhanced Server에서 명시적 프록시 구성 확인
목적
Juniper 강화된 서버에 명시적 서버의 상태를 표시합니다.
작업
운영 모드에서 명령을 입력합니다 show security utm web-filtering status .
user@host> show security utm web-filtering statusUTM web-filtering status: Server status: Juniper Enhanced using Websense server UP
의미
이 명령은 Websense Threateeker Cloud(TSC)를 사용하여 EWF(Enhanced Web Filtering)의 서버 상태에 대한 정보를 제공합니다.
명시적 프록시를 사용하여 사전 정의된 범주 업그레이드 및 기본 필터 구성 구성
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
호스트 및 포트 정보가 포함된 프록시 프로필을 생성하고 사전 정의된 카테고리 업그레이드 및 기본 필터에서 참조하여 소프트웨어 업그레이드 없이 새로운 EWF 범주를 다운로드하고 동적으로 로드합니다.
다음 구성은 사전 정의된 범주 업그레이드 및 기본 필터에서 명시적 프록시를 구성하는 방법을 보여줍니다.
Results
구성 모드에서 및 show services 명령을 입력하여 구성을 show security 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security
custom-objects {
category-package {
proxy-profile proxy1;
}
}
[edit]
user@host# show services
proxy {
profile proxy1 {
protocol {
http {
host 203.0.113.1;
port 3128;
}
}
}
}
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .
사전 정의된 범주 업그레이드 및 기본 필터 구성 확인
목적
EWF(Enhanced Web Filtering) 사전 정의된 카테고리 패키지 다운로드, 설치 및 업데이트 상태를 표시합니다.
작업
운영 모드에서 CLI 명령을 입력 show security utm web-filtering category status 하여 웹 필터링 범주 상태를 확인합니다.
CLI 명령을 실행 show security utm web-filtering category status 하기 전에 결과를 얻으려면 CLI 명령을 실행 request security utm web-filtering category download-install 해야 합니다.
user@host> show security utm web-filtering category status
UTM category status:
Installed version: 1
Download version: 0
Update status: Done
의미
이 명령은 설치 및 다운로드된 범주의 수와 업데이트 상태에 대한 정보를 제공합니다.
Sophos 바이러스 차단 패턴 업데이트 구성
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
호스트 및 포트 정보가 포함된 프록시 프로필을 생성하고 Sophos 바이러스 차단(SAV) 패턴 업데이트에서 이를 참조합니다. utmd 프로세스는 클라우드의 SAV 패턴 업데이트 서버 대신 프록시 호스트에 연결됩니다.
다음 구성은 SAV 패턴 업데이트에 대한 명시적 프록시를 구성하는 방법을 보여줍니다.
Results
구성 모드에서 및 show services 명령을 입력하여 구성을 show security 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security
default-configuration {
anti-virus {
sophos-engine {
pattern-update {
proxy-profile proxy1;
}
}
}
}
[edit]
user@host# show services
proxy {
profile proxy1 {
protocol {
http {
host 203.0.113.1;
port 3128;
}
}
}
}
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .
Sophos 바이러스 차단 패턴 업데이트 확인
목적
Sophos 바이러스 차단(SAV) 업데이트 패턴 상태를 표시합니다.
작업
운영 모드에서 CLI 명령을 입력 show security utm anti-virus status 하여 컨텐츠 보안 바이러스 차단 상태를 확인합니다.
user@host> show security utm anti-virus status
UTM anti-virus status:
Anti-virus key expire date: 2018-08-02 00:00:00
Update server: https://host2.example.com/SAV/
Interval: 1000 minutes
Pattern update status: next update in 979 minutes
Pattern update via proxy server: 203.0.113.1:3128
Last result: already have latest database
Anti-virus signature version: 1.13 (1.02)
Scan engine type: sophos-engine
Scan engine information: last action result: No error
의미
이 명령은 Sophos 바이러스 차단(SAV) 패턴 업데이트 서버, 업데이트 상태, 바이러스 차단 서명 버전, 바이러스 차단 엔진 유형 및 바이러스 차단 엔진 정보에 대한 정보를 제공합니다.
컨텐츠 보안을 위한 통합 정책
통합 정책 이해 [컨텐츠 보안]
이제 SRX 시리즈 방화벽에서 통합 정책이 지원되어 기존 보안 정책 내에서 동적 레이어 7 애플리케이션을 세부적으로 제어하고 적용할 수 있습니다.
통합 정책은 기존 5-tuple 또는 6-tuple 일치 조건(사용자 방화벽 포함)과 일치하는 조건으로 동적 애플리케이션을 사용하여 시간이 지남에 따라 애플리케이션 변경을 감지할 수 있는 보안 정책입니다. 통합 정책을 사용하면 전송 트래픽에 대한 일련의 규칙을 적용할 수 있습니다. 일치 기준, 즉 소스 영역, 대상 영역, 소스 주소, 대상 주소 및 애플리케이션 이름을 사용합니다. 이로 인해 잠재적인 일치 정책이 발생합니다.
통합 정책 구성은 모든 AppFW(Application Firewall) 기능을 처리하고 네트워크에서 애플리케이션 트래픽을 허용하거나 차단하도록 방화벽 정책을 구성하는 작업을 단순화합니다. 통합 정책의 일환으로 새로운 동적 애플리케이션 정책 일치 조건이 SRX 시리즈 방화벽에 추가되어 관리자가 레이어 7 애플리케이션의 동작을 보다 효과적으로 제어할 수 있도록 합니다.
컨텐츠 보안에서 레이어 7 애플리케이션 기반 정책을 수용하기 위해 명령이 [edit security utm default-configuration] 도입됩니다. 특정 컨텐츠 보안 기능 프로필 구성의 매개 변수가 구성되지 않은 경우, 컨텐츠 보안 기본 구성의 해당 매개변수가 적용됩니다.
또한 동적 애플리케이션이 식별되기 전에 발생하는 초기 정책 조회 단계에서 다른 콘텐츠 보안 프로필을 포함하는 잠재적 정책 목록에 여러 정책이 존재하는 경우, SRX 시리즈 방화벽은 보다 명시적인 일치가 발생할 때까지 기본 컨텐츠 보안 프로필을 적용합니다.
기본 컨텐츠 보안 정책 이해
새로운 사전 정의된 기본 컨텐츠 보안 정책은 기본 컨텐츠 보안 구성을 제공하기 위한 공장 기본 구성과 함께 사용할 수 있습니다. 이 사전 정의된 글로벌 컨텐츠 보안 정책은 기본 컨텐츠 보안 구성 프로필에서 구성을 상속합니다.
정의된 기존 컨텐츠 보안 정책이 있는 경우, 기존 보안 정책 구성에 따라 트래픽을 평가하는 데 계속 사용됩니다.
정책 조회가 수행되면 글로벌 정책 이전에 기존 컨텐츠 보안 정책이 평가됩니다. 컨텐츠 보안 세션 생성 프로세스 중에 잠재적 정책 목록에 여러 콘텐츠 보안 정책이 존재하는 경우 사전 정의된 컨텐츠 보안 기본 정책을 활용합니다.
사전 정의된 컨텐츠 보안 기본 정책 매개 변수는 계층 수준에 포함 [edit security utm default-configuration] 됩니다. 이러한 매개 변수는 웹 필터링, 콘텐츠 필터링, 바이러스 차단 및 스팸 차단 프로파일에 사용할 수 있습니다. 컨텐츠 보안 기능 프로파일이 구성되지 않은 경우(웹 필터링, 컨텐츠 필터링, 바이러스 차단, 스팸 차단), 사전 정의된 글로벌 컨텐츠 보안 구성의 매개 변수가 적용됩니다.
사전 정의된 컨텐츠 보안 기본 정책은 에서 [edit groups junos-defaults security utm]사용할 수 있습니다. 웹 필터링, 콘텐츠 필터링, 바이러스 차단 및 스팸 차단에 대한 특정 매개 변수를 수정할 수 있습니다. 웹 필터링, 콘텐츠 필터링, 바이러스 차단 및 스팸 차단 기능 프로필에 대한 기본 컨텐츠 보안 프로필 매개 변수도 에서 [edit security utm default-configuration]수정할 수 있습니다.
더 보기
섀시 클러스터를 위한 컨텐츠 보안 지원
컨텐츠 보안은 액티브/액티브 섀시 클러스터 및 액티브/백업 섀시 클러스터 구성에 지원됩니다. 자세한 내용은 다음 주제를 참조하십시오.
액티브/액티브 섀시 클러스터에 대한 컨텐츠 보안 지원 이해
컨텐츠 보안은 섀시 클러스터 설정에서 각 디바이스에 대한 라이선스를 필요로 합니다. 소프트웨어 라이선스 구매 방법에 대한 자세한 내용은 https://www.juniper.net/in/en/contact-us/ 주니퍼 네트웍스 영업 담당자에게 문의하고 자세한 내용은 라이선싱 가이드를 참조하십시오.
다음 모든 컨텐츠 보안 기능은 액티브/액티브 섀시 클러스터에서 지원됩니다.
스팸 차단 필터링
컨텐츠 필터링
Sophos 바이러스 차단 검사
향상된 웹 필터링
로컬 웹 필터링
Websense 리디렉션 웹 필터링
온박스/Avira AV
컨텐츠 보안은 Junos OS 릴리스 19.4R1 이후의 액티브/액티브 섀시 클러스터 구성을 지원합니다. 액티브/액티브 클러스터는 두 클러스터 노드에서 인터페이스가 동시에 활성화될 수 있는 클러스터입니다. 이는 두 개 이상의 데이터 플레인 중복 그룹이 있는 경우, 즉 중복 그룹 1 이상이거나 클러스터 노드에서 로컬(비 reth) 인터페이스가 사용되는 경우입니다.
향상된 웹 필터링 클라우드 연결은 페일오버를 지원하지 않으며, 이전 연결이 폐지된 후 자동으로 새로운 연결을 생성합니다.
Active/Backup 섀시 클러스터에 대한 컨텐츠 보안 지원 이해
컨텐츠 보안은 섀시 클러스터 설정에서 각 디바이스에 대한 라이선스를 필요로 합니다. 소프트웨어 라이선스 구매 방법에 대한 자세한 내용은 https://www.juniper.net/in/en/contact-us/ 주니퍼 네트웍스 영업 담당자에게 문의하십시오.
섀시 클러스터에서는 다음과 같은 컨텐츠 보안 기능이 지원됩니다.
컨텐츠 필터링
URL(웹) 필터링
스팸 차단 필터링
전체 파일 기반 바이러스 차단 검사
Sophos 바이러스 차단 검사
액티브/액티브 클러스터는 인터페이스가 두 클러스터 노드에서 동시에 활성화될 수 있는 클러스터입니다. 이중화 그룹 1 이상 또는 클러스터 노드에서 로컬(비-reth) 인터페이스가 사용되는 경우 등 둘 이상의 데이터 플레인 중복 그룹이 있는 경우입니다.
여러 데이터 플레인 중복 그룹이 구성된 경우, 컨텐츠 보안은 모든 중복 그룹이 단일 노드에서 활성화된 경우에만 작동합니다. 중복 그룹 중 하나가 자동으로 다른 노드로 장애가 발생하면 컨텐츠 보안이 작동하지 않습니다.
더 보기
허용 목록
URL allowlist는 특정 범주에 나열된 모든 URL을 정의하여 항상 검사 프로세스를 우회합니다. 허용 목록에는 SSL 프록시 처리를 받을 때 면제하려는 호스트 이름이 포함됩니다. 자세한 내용은 다음 주제를 참조하십시오.
- MIME 허용 목록 이해
- 예: 안티바이러스 검사를 우회하도록 MIME 허용 목록 구성
- URL 허용 목록 이해
- 바이러스 차단 검사를 우회하도록 URL Allowlist 구성(CLI 절차)
MIME 허용 목록 이해
게이트웨이 디바이스는 MIME(Multipurpose Internet Mail Extension) 유형을 사용하여 바이러스 차단 검사를 우회할 수 있는 트래픽을 결정합니다. MIME 허용 목록은 MIME 유형 목록을 정의하고 하나 또는 많은 MIME 항목을 포함할 수 있습니다.
MIME 항목은 대소문자 무감각합니다. 빈 MIME는 잘못된 항목이며 MIME 목록에 나타나지 않아야 합니다. MIME 항목이 / 문자로 끝나는 경우, 접두사 일치가 발생합니다. 그렇지 않으면 정확한 일치가 발생합니다.
MIME 유형 바이러스 차단 검사를 우회하는 데 사용되는 두 가지 유형의 MIME 목록이 있습니다.
mime-allowlist 목록 - 바이러스 차단 검사를 우회할 수 있는 MIME 유형의 포괄적인 목록입니다.
예외 목록 - 예외 목록은 mime-allowlist 목록에서 일부 MIME 유형을 제외하기 위한 목록입니다. 이 목록은 mime-allowlist에서 발견되는 MIME 유형의 하위 집합입니다.
예를 들어, mime-allowlist에 항목
video/이 포함되어 있고 예외 목록에 이 두 가지 목록을 사용하여 항목video/x-shockwave-flash이 포함된 경우 , "video/" MIME 유형이 있는 개체를 우회할 수 있지만 "video/x-shockwave-flash" MIME 유형을 우회할 수는 없습니다.다음과 같이 mime-allowlist 항목에는 제한이 있다는 점에 유의해야 합니다.
MIME 목록에서 MIME 항목의 최대 수는 50개입니다.
각 MIME 항목의 최대 길이는 40바이트로 제한됩니다.
MIME 목록 이름 문자열의 최대 길이는 40바이트로 제한됩니다.
예: 안티바이러스 검사를 우회하도록 MIME 허용 목록 구성
이 예는 안티바이러스 검사를 우회하는 MIME 허용 목록을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 MIME 유형 바이러스 차단 검색 우회 구성에 사용되는 MIME 목록 유형을 결정합니다. MIME 허용 목록 이해를 참조하십시오.
개요
이 예에서 avmime2 및 ex-avmime2라는 MIME 목록을 생성하고 패턴을 추가합니다.
구성
절차
단계별 절차
MIME를 구성하려면 안티바이러스 검사를 우회하는 허용 목록:
MIME 목록을 생성하고 목록에 패턴을 추가합니다.
[edit] user@host# set security utm custom-objects mime-pattern avmime2 value [video/quicktime image/x-portable-anymap x-world/x-vrml] user@host# set security utm custom-objects mime-pattern ex-avmime2 value [video/quicktime-inappropriate]
디바이스 구성이 완료되면 구성을 커밋합니다.
[edit] user@host# commit
URL 허용 목록 이해
URL allowlist는 특정 범주에 나열된 모든 URL을 정의하여 항상 검사 프로세스를 우회합니다. 허용 목록에는 SSL 프록시 처리를 통해 면제하려는 호스트 이름이 포함됩니다. 금융 및 은행 사이트를 면제하는 법적 요구 사항도 있습니다. 이러한 면제는 URL 허용 목록에 따라 해당 호스트 이름에 해당하는 URL 범주를 구성하여 달성됩니다. URL에 스캔이 필요하지 않은 경우 해당 범주를 이 허용 목록에 추가할 수 있습니다.
Junos OS 릴리스 15.1X49-D80 및 Junos OS 릴리스 17.3R1부터 허용 목록 기능이 SSL 포워드 프록시 허용 목록 구성에서 컨텐츠 보안에서 지원되는 URL 범주를 포함하도록 확장됩니다. 자세한 내용은 보안 디바이스용 애플리케이션 보안 사용자 가이드를 참조하십시오.
Junos OS 릴리스 17.4R1부터 허용 목록 기능이 확장되어 SSL 포워드 프록시의 허용 목록 구성에서 컨텐츠 보안이 지원하는 사용자 지정 URL 범주를 지원합니다.
바이러스 차단 검사를 우회하도록 URL Allowlist 구성(CLI 절차)
URL 허용 목록을 구성하려면 다음 CLI 구성 문을 사용합니다.
security utm custom-objects {
custom-url-category { ; set of list
name url-category-name; #mandatory
value url-pattern-name;
}
}