Content Security 지원 기능
콘텐츠 보안 기능에 대한 WELF 로깅
콘텐츠 보안 기능에 대한 WELF 로깅 이해
콘텐츠 보안 기능은 WELF 표준을 지원합니다. WELF 참조는 WebTrends 업계 표준 로그 파일 교환 형식을 정의합니다. 이 형식으로 로깅하는 모든 시스템은 Firewall Suite 2.0 이상, Firewall Reporting Center 1.0 이상 및 Security Reporting Center 2.0 이상과 호환됩니다.
WELF 로그 파일은 레코드로 구성됩니다. 각 레코드는 파일에서 한 줄입니다. 레코드는 항상 시간순으로 되어 있습니다. 가장 빠른 레코드는 파일의 첫 번째 레코드입니다. 가장 최근 레코드는 파일의 마지막 레코드입니다. WELF는 로그 파일 이름 또는 로그 파일 순환 정책에 제한을 두지 않습니다.
각 WELF 레코드는 필드로 구성됩니다. 레코드 식별자 필드(id=)는 레코드의 첫 번째 필드여야 합니다. 다른 모든 필드는 어떤 순서로든 나타날 수 있습니다.
다음은 샘플 WELF 레코드입니다.
id=firewall time="2000-2-4 12:01:01" fw=192.168.0.238 pri=6 rule=3 proto=http
src=192.168.0.23 dst=6.1.0.36 rg=www.example.com/index.html op=GET result=0
rcvd=1426
예제 WELF 레코드의 필드에는 다음과 같은 필수 요소가 포함됩니다(다른 모든 필드는 선택 사항임).
id(레코드 식별자)time(날짜/시간)fw(방화벽 IP 주소 또는 이름)pri(기록의 우선 순위)
예: 콘텐츠 보안 기능에 대한 WELF 로깅 구성
이 예제에서는 콘텐츠 보안 기능에 대한 WELF 로깅을 구성하는 방법을 보여 줍니다.
요구 사항
시작하기 전에 WELF 로그 파일 및 레코드를 만드는 데 사용되는 필드를 검토합니다. 컨텐츠 보안 개요를 참조하십시오.
개요
WELF 로그 파일은 레코드로 구성됩니다. 각 레코드는 파일에서 한 줄입니다. 레코드는 항상 시간순으로 되어 있습니다. 가장 빠른 레코드는 파일의 첫 번째 레코드입니다. 가장 최근 레코드는 파일의 마지막 레코드입니다. WELF는 로그 파일 이름 또는 로그 파일 순환 정책에 제한을 두지 않습니다. 이 예에서 심각도 수준은 emergency이고 보안 로그 스트림의 이름은 입니다 utm-welf.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security log source-address 1.2.3.4 stream utm-welf set security log source-address 1.2.3.4 stream utm-welf format welf set security log source-address 1.2.3.4 stream utm-welf format welf category content-security set security log source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency set security log source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency host 5.6.7.8
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
Content Security 기능에 대한 WELF 로깅을 구성하려면 다음을 수행합니다.
보안 로그 소스 IP 주소를 설정합니다.
[edit security log] user@host# set source-address 1.2.3.4
메모:WELF 로깅 메시지를 전용 WebTrends 서버에 저장해야 합니다.
보안 로그 스트림의 이름을 지정합니다.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf
로그 메시지의 형식을 설정합니다.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf
전송되는 로그 메시지의 범주를 설정합니다.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security
전송되는 로그 메시지의 심각도 수준을 설정합니다.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency
로그 메시지를 보낼 전용 WebTrends 서버의 호스트 주소를 입력합니다.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency host 5.6.7.8
결과
구성 모드에서 명령을 입력하여 show security log 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security log
stream utm-welf {
severity emergency;
format welf;
category content—
security;
host {
5.6.7.8;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
컨텐트 보안을 위한 명시적 프록시
Content Security는 Content Security에서 EWF(Enhanced Web Filtering) 및 SAV(Sophos Antivirus)에 대한 클라우드 기반 연결에 명시적 프록시를 사용할 수 있도록 지원합니다. 명시적 프록시는 원본 디바이스의 ID를 숨기고 대상 디바이스와의 연결을 설정합니다.
- 명시적 프록시 이해
- Juniper Enhanced Server에서 명시적 프록시 구성
- Juniper Enhanced Server에서 명시적 프록시 구성 확인
- 사전 정의된 범주 구성 명시적 프록시를 사용한 업그레이드 및 기본 필터 구성
- 사전 정의된 범주 업그레이드 및 기본 필터 구성 확인
- Sophos 바이러스 차단 패턴 업데이트 구성
- Sophos 바이러스 차단 패턴 업데이트 확인
명시적 프록시 이해
명시적 프록시는 소스 디바이스의 ID를 숨기고 Websense Threatseeker Cloud(TSC) 서버와 직접 통신하며 대상 디바이스와의 연결을 설정합니다. 명시적 프록시 구성은 포트 주소와 직접 IP 주소 또는 호스트 이름으로 구성됩니다.
명시적 프록시를 사용하려면 하나 이상의 프록시 프로필을 만들고 해당 프로필을 참조하십시오.
EWF에서 명시적 프록시는 계층에서 생성된
proxy-profilesecurity utm default-configuration web-filtering juniper-enhanced server을 참조하여 구성됩니다. TSC 서버와의 연결이 설정됩니다.EWF 사전 정의된 카테고리 업그레이드 및 기본 필터에서 명시적 프록시는 계층에서 생성된
proxy-profilesecurity utm custom-objects category-package proxy-profile을 참조하여 구성됩니다. 소프트웨어 업그레이드 없이 새로운 EWF 범주를 다운로드하여 동적으로 로드할 수 있습니다.proxy-profile범주 파일이 설치되어 트래픽 전송에 사용됩니다.SRX 시리즈 방화벽은 프록시 서버에 CONNECT 요청을 전송하고, SRX 시리즈 방화벽과 TSC 서버는 HTTP 연결을 통해 통신합니다. 그런 다음 프록시 서버가 구성된 IP 주소를 식별하고, 허용 목록에 추가하며, SRX 시리즈 방화벽이 프록시를 통해 클라우드의 TSC 서버로 트래픽을 전송하도록 허용해야 합니다. 프록시 필터링 후 실제 TSC 서버에 대한 연결을 생성합니다.
Sophos Antivirus(SAV)에서 명시적 프록시는 계층에서 생성된
proxy-profile을security utm default-configuration anti-virus sophos-engine pattern-update참조하여 구성됩니다. utmd 프로세스는 클라우드의 SAV 패턴 업데이트 서버 대신 프록시 호스트에 연결됩니다.
EWF에서 프록시 프로파일이 Content Security 웹 필터링 구성에 구성된 경우 TSC 서버 연결은 클라우드의 Content Security 서버 대신 프록시 호스트와 함께 설정됩니다.
SAV에서 프록시 프로파일이 구성된 경우 utmd 프로세스는 클라우드의 SAV 패턴 업데이트 서버 대신 프록시 호스트에 연결됩니다.
이 proxy-profile (가) 구성된 경우 프록시 서버 인증이 지원되지 않습니다.
Juniper Enhanced Server에서 명시적 프록시 구성
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
호스트 및 포트 정보를 사용하여 프록시 프로파일을 생성하고 Juniper Enhanced Server에서 이를 참조하여 Content Security 클라우드 서버에 대한 연결을 설정합니다.
다음 구성은 Juniper Enhanced Server에서 명시적 프록시를 구성하는 방법을 보여줍니다.
Results
구성 모드에서 및 show services 명령을 입력하여 show security 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security
default-configuration {
web-filtering {
type juniper-enhanced;
juniper-enhanced {
server {
proxy-profile proxy1;
}
}
}
}
[edit]
user@host# show services
proxy {
profile proxy1 {
protocol {
http {
host 192.0.2.1;
port 3128;
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
Juniper Enhanced Server에서 명시적 프록시 구성 확인
목적
Juniper Enhanced Server에서 명시적 서버의 상태를 표시합니다.
행동
운영 모드에서 명령을 입력합니다 show security utm web-filtering status .
user@host> show security utm web-filtering statusUTM web-filtering status: Server status: Juniper Enhanced using Websense server UP
의미
이 명령은 Websense TSC(Threatseeker Cloud)를 사용하는 EWF(Enhanced Web Filtering)의 서버 상태에 대한 정보를 제공합니다.
사전 정의된 범주 구성 명시적 프록시를 사용한 업그레이드 및 기본 필터 구성
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
호스트 및 포트 정보가 포함된 프록시 프로필을 생성하고, 사전 정의된 범주 업그레이드 및 기본 필터에서 이를 참조하여 소프트웨어 업그레이드 없이 새 EWF 범주를 다운로드하고 동적으로 로드합니다.
다음 구성은 사전 정의된 범주 업그레이드 및 기본 필터에서 명시적 프록시를 구성하는 방법을 보여줍니다.
Results
구성 모드에서 및 show services 명령을 입력하여 show security 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security
custom-objects {
category-package {
proxy-profile proxy1;
}
}
[edit]
user@host# show services
proxy {
profile proxy1 {
protocol {
http {
host 203.0.113.1;
port 3128;
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
사전 정의된 범주 업그레이드 및 기본 필터 구성 확인
목적
EWF(Enhanced Web Filtering) 사전 정의된 범주 패키지 다운로드, 설치 및 업데이트 상태를 표시합니다.
행동
운영 모드에서 CLI 명령을 입력하여 show security utm web-filtering category status 웹 필터링 범주 상태를 확인합니다.
CLI 명령을 실행 show security utm web-filtering category status 하기 전에 CLI 명령을 실행하여 request security utm web-filtering category download-install 결과를 얻어야 합니다.
user@host> show security utm web-filtering category status
UTM category status:
Installed version: 1
Download version: 0
Update status: Done
의미
이 명령은 설치 및 다운로드된 범주 수와 업데이트 상태에 대한 정보를 제공합니다.
Sophos 바이러스 차단 패턴 업데이트 구성
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
호스트 및 포트 정보를 사용하여 프록시 프로필을 만들고 Sophos 바이러스 차단(SAV) 패턴 업데이트에서 참조합니다. utmd 프로세스는 클라우드의 SAV 패턴 업데이트 서버 대신 프록시 호스트에 연결됩니다.
다음 구성은 SAV 패턴 업데이트 시 명시적 프록시를 구성하는 방법을 보여줍니다.
Results
구성 모드에서 및 show services 명령을 입력하여 show security 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security
default-configuration {
anti-virus {
sophos-engine {
pattern-update {
proxy-profile proxy1;
}
}
}
}
[edit]
user@host# show services
proxy {
profile proxy1 {
protocol {
http {
host 203.0.113.1;
port 3128;
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
Sophos 바이러스 차단 패턴 업데이트 확인
목적
Sophos 바이러스 차단(SAV) 업데이트 패턴 상태를 표시합니다.
행동
운영 모드에서 CLI 명령을 입력하여 show security utm anti-virus status Content Security 바이러스 차단 상태를 확인합니다.
user@host> show security utm anti-virus status
UTM anti-virus status:
Anti-virus key expire date: 2018-08-02 00:00:00
Update server: https://host2.example.com/SAV/
Interval: 1000 minutes
Pattern update status: next update in 979 minutes
Pattern update via proxy server: 203.0.113.1:3128
Last result: already have latest database
Anti-virus signature version: 1.13 (1.02)
Scan engine type: sophos-engine
Scan engine information: last action result: No error
의미
이 명령은 Sophos Antivirus(SAV) 패턴 업데이트 서버, 업데이트 상태, 바이러스 백신 서명 버전, 바이러스 백신 엔진 유형 및 바이러스 백신 엔진 정보에 대한 정보를 제공합니다.
콘텐츠 보안을 위한 통합 정책
통합 정책 이해[컨텐츠 보안]
이제 SRX 시리즈 방화벽에서 통합 정책이 지원되므로 기존 보안 정책 내에서 동적 레이어 7 애플리케이션을 세부적으로 제어하고 시행할 수 있습니다.
통합 정책은 동적 애플리케이션을 기존의 5-튜플 또는 6-튜플 일치 조건(사용자 방화벽 포함)과 함께 일치 조건으로 사용하여 시간 경과에 따른 애플리케이션 변화를 감지할 수 있는 보안 정책입니다. 통합 정책을 사용하면 전송 트래픽에 대한 규칙 집합을 적용할 수 있습니다. 일치 기준, 즉 소스 영역, 대상 영역, 소스 주소, 대상 주소 및 애플리케이션 이름을 사용합니다. 이로 인해 잠재적인 동영상 일치 정책이 발생할 수 있습니다.
통합 정책 구성은 모든 애플리케이션 방화벽(AppFW) 기능을 처리하며, 네트워크에서 애플리케이션 트래픽을 허용하거나 차단하도록 방화벽 정책을 구성하는 작업을 간소화합니다. 통합 정책의 일부로, 새로운 동적 애플리케이션 정책 일치 조건이 SRX 시리즈 방화벽에 추가되어 관리자가 레이어 7 애플리케이션의 동작을 보다 효과적으로 제어할 수 있습니다.
Content Security [edit security utm default-configuration] 에서 레이어 7 애플리케이션 기반 정책을 수용하기 위해 명령이 도입되었습니다. 특정 Content Security 기능 프로필 구성의 매개 변수가 구성되지 않은 경우 Content Security 기본 구성의 해당 매개 변수가 적용됩니다.
또한 동적 애플리케이션이 식별되기 전에 발생하는 초기 정책 조회 단계에서 서로 다른 Content Security 프로파일을 포함하는 잠재적 정책 목록에 여러 정책이 있는 경우 SRX 시리즈 방화벽은 보다 명시적인 일치가 발생할 때까지 기본 Content Security 프로파일을 적용합니다.
기본 콘텐츠 보안 정책 이해
미리 정의된 새 기본 Content Security 정책을 공장 기본 구성과 함께 사용하여 기본 Content Security 구성을 제공할 수 있습니다. 이 사전 정의된 글로벌 Content Security 정책은 기본 Content Security 구성 프로필에서 구성을 상속합니다.
정의된 기존 Content Security 정책이 있는 경우 기존 보안 정책 구성을 기반으로 트래픽을 평가하는 데 계속 사용됩니다.
정책 조회가 수행되면 기존 Content Security 정책이 글로벌 정책보다 먼저 평가됩니다. 사전 정의된 Content Security 기본 정책은 Content Security 세션 생성 프로세스 중에 잠재적 정책 목록에 여러 Content Security 정책이 있는 경우 활용됩니다.
사전 정의된 Content Security 기본 정책 매개 변수는 계층 수준 아래에 [edit security utm default-configuration] 포함되어 있습니다. 이러한 매개 변수는 웹 필터링, 콘텐츠 필터링, 바이러스 차단 및 스팸 차단 프로필에 사용할 수 있습니다. Content Security 기능 프로필(웹 필터링, 콘텐츠 필터링, 바이러스 차단 및 스팸 차단)이 구성되지 않은 경우 사전 정의된 글로벌 Content Security 구성의 매개변수가 적용됩니다.
사전 정의된 Content Security 기본 정책은 에서 사용할 수 있습니다 [edit groups junos-defaults security utm]. 웹 필터링, 콘텐츠 필터링, 바이러스 백신 및 스팸 차단에 대한 특정 매개 변수를 수정할 수 있습니다. 에서 웹 필터링, 콘텐츠 필터링, 바이러스 차단 및 스팸 차단 기능 프로필 [edit security utm default-configuration]에 대한 기본 Content Security 프로필 매개 변수를 수정할 수도 있습니다.
Junos OS 릴리스 23.1R1부터 통합 정책에 언급된 URL 범주와 일치하는 트래픽에 대해 보안 로그를 활성화했습니다. 이 릴리스 이전에는 시스템이 통합 정책에 언급된 URL 범주와 일치하는 트래픽에 대한 보안 로그를 생성하지 않았습니다.
참조
섀시 클러스터에 대한 컨텐츠 보안 지원
콘텐츠 보안은 active/active 섀시 클러스터 및 active/backup 섀시 클러스터 구성에 대해 지원됩니다. 자세한 내용은 다음 항목을 참조하세요.
액티브/액티브 섀시 클러스터에 대한 컨텐츠 보안 지원 이해
Content Security는 섀시 클러스터 설정에서 각 디바이스에 대한 라이선스가 필요합니다. 소프트웨어 라이선스 구매 방법에 대한 자세한 내용은 https://www.juniper.net/in/en/contact-us/ 의 주니퍼 네트웍스 영업 담당자에게 문의하거나 자세한 내용은 라이선싱 가이드를 참조하십시오.
다음과 같은 모든 콘텐츠 보안 기능은 active/active 섀시 클러스터에서 지원됩니다.
스팸 차단 필터링
컨텐츠 필터링
Sophos 바이러스 차단 스캐닝
강화된 웹 필터링
로컬 웹 필터링
Websense 리디렉션 웹 필터링
온박스/Avira AV
Content Security는 Junos OS 릴리스 19.4R1부터 active/active 섀시 클러스터 구성을 지원합니다. 액티브/액티브 클러스터는 인터페이스가 두 클러스터 노드에서 동시에 활성화될 수 있는 클러스터입니다. 이는 둘 이상의 데이터 플레인 redundancy-groups가 있는 경우, 즉 redundancy-groups 1 이상이거나 로컬 인터페이스(reth가 아닌) 인터페이스가 클러스터 노드에서 사용되는 경우입니다.
향상된 웹 필터링 클라우드 연결은 장애 조치를 지원하지 않으며 이전 연결이 사용 중지된 후 자동으로 새 연결을 만듭니다.
Active/Backup 섀시 클러스터에 대한 컨텐츠 보안 지원 이해
Content Security는 섀시 클러스터 설정에서 각 디바이스에 대한 라이선스가 필요합니다. 소프트웨어 라이선스 구입 방법에 대한 자세한 내용은 https://www.juniper.net/in/en/contact-us/ 의 주니퍼 네트웍스 영업 담당자에게 문의하십시오.
섀시 클러스터에서 지원되는 Content Security 기능은 다음과 같습니다.
컨텐츠 필터링
URL(웹) 필터링
스팸 차단 필터링
전체 파일 기반 바이러스 차단 검사
Sophos 바이러스 차단 검사
액티브/액티브 클러스터는 인터페이스가 두 클러스터 노드에서 동시에 활성화될 수 있는 클러스터입니다. 이는 둘 이상의 데이터 플레인 중복 그룹이 있는 경우(예: redundancy-groups 1 이상) 또는 로컬(비 RETH) 인터페이스가 클러스터 노드에서 사용되는 경우입니다.
여러 데이터 플레인 중복 그룹이 구성된 경우 Content Security는 모든 중복 그룹이 단일 노드에서 활성 상태인 경우에만 작동합니다. 중복 그룹 중 하나가 자동으로 다른 노드로 장애 조치된 경우 Content Security가 작동하지 않습니다.
참조
허용 목록
URL 허용 목록은 항상 검사 프로세스를 우회하기 위해 특정 카테고리에 대해 나열된 모든 URL을 정의합니다. 허용 목록에는 SSL 프록시 처리에서 제외하려는 호스트 이름이 포함됩니다. 자세한 내용은 다음 항목을 참조하세요.
- MIME 허용 목록 이해
- 예: 바이러스 차단 검사를 우회하도록 MIME 허용 목록 구성
- URL 허용 목록 이해
- 바이러스 차단 검사를 우회하도록 URL 허용 목록 구성(CLI 절차)
MIME 허용 목록 이해
게이트웨이 디바이스는 MIME(Multipurpose Internet Mail Extension) 유형을 사용하여 바이러스 백신 검사를 우회할 수 있는 트래픽을 결정합니다. MIME 허용 목록은 MIME 유형 목록을 정의하며 하나 이상의 MIME 항목을 포함할 수 있습니다.
MIME 항목은 대소문자를 구분하지 않습니다. 빈 MIME은 잘못된 항목이며 MIME 목록에 나타나지 않아야 합니다. MIME 항목이 / 문자로 끝나면 접두사 일치가 발생합니다. 그렇지 않으면 정확한 일치가 발생합니다.
MIME 유형 바이러스 차단 검사 우회를 구성하는 데 사용되는 두 가지 유형의 MIME 목록이 있습니다.
mime-allowlist list - 바이러스 차단 검사를 우회할 수 있는 MIME 유형에 대한 전체 목록입니다.
exception list - 예외 목록은 mime-allowlist 목록에서 일부 MIME 유형을 제외하기 위한 목록입니다. 이 목록은 mime-allowlist에 있는 MIME 유형의 하위 집합입니다.
예를 들어, mime-allowlist에 항목이
video/포함되어 있고 예외 목록에 항목이video/x-shockwave-flash포함되어 있는 경우 이 두 목록을 사용하여 "video/" MIME 유형의 객체는 무시할 수 있지만 "video/x-shockwave-flash" MIME 유형은 무시할 수 없습니다.다음과 같이 mime-allowlist 항목에 대한 제한이 있다는 점에 유의해야 합니다.
MIME 목록의 최대 MIME 항목 수는 50개입니다.
각 MIME 항목의 최대 길이는 40바이트로 제한됩니다.
MIME 목록 이름 문자열의 최대 길이는 40바이트로 제한됩니다.
예: 바이러스 차단 검사를 우회하도록 MIME 허용 목록 구성
이 예는 바이러스 차단 검사를 우회하도록 MIME 허용 목록을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 MIME 유형 바이러스 차단 검색 우회를 구성하는 데 사용되는 MIME 목록 유형을 결정하십시오. MIME 허용 목록 이해를 참조하십시오.
개요
이 예제에서는 avmime2 및 ex-avmime2라는 MIME 목록을 만들고 패턴을 추가합니다.
구성
절차
단계별 절차
바이러스 차단 검사를 우회하도록 MIME 허용 목록을 구성하려면,
MIME 목록을 만들고 목록에 패턴을 추가합니다.
[edit] user@host# set security utm custom-objects mime-pattern avmime2 value [video/quicktime image/x-portable-anymap x-world/x-vrml] user@host# set security utm custom-objects mime-pattern ex-avmime2 value [video/quicktime-inappropriate]
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@host# commit
URL 허용 목록 이해
URL 허용 목록은 항상 검사 프로세스를 우회하기 위해 특정 카테고리에 대해 나열된 모든 URL을 정의합니다. 허용 목록에는 SSL 프록시 처리에서 제외하려는 호스트 이름이 포함되어 있습니다. 금융 및 은행 사이트를 면제하기 위한 법적 요구 사항도 있습니다. 이러한 예외는 URL 허용 목록에서 해당 호스트 이름에 해당하는 URL 범주를 구성하여 달성됩니다. 스캔이 필요하지 않은 URL이 있는 경우 해당 카테고리를 이 허용 목록에 추가할 수 있습니다.
Junos OS 릴리스 15.1X49-D80 및 Junos OS 릴리스 17.3R1부터 SSL 포워드 프록시의 허용 목록 구성에 Content Security에서 지원하는 URL 범주를 포함하도록 허용 목록 기능이 확장됩니다. 자세한 정보는 보안 디바이스에 대한 애플리케이션 보안 사용자 가이드를 참조하십시오.
Junos OS 릴리스 17.4R1부터 허용 목록 기능이 확장되어 SSL 포워드 프록시의 허용 목록 구성에서 Content Security가 지원하는 사용자 지정 URL 범주를 지원합니다.
바이러스 차단 검사를 우회하도록 URL 허용 목록 구성(CLI 절차)
URL 허용 목록을 구성하려면 다음 CLI 구성 문을 사용합니다.
security utm custom-objects {
custom-url-category { ; set of list
name url-category-name; #mandatory
value url-pattern-name;
}
}
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.