Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Filtrado de URL

Descripción general del filtrado de URL

Puede utilizar el filtrado de URL para determinar qué contenido web no es accesible para los usuarios.

Los componentes de esta función incluyen los siguientes:

  • Archivo de base de datos de filtros URL

  • Configuración de una o más plantillas (hasta ocho por perfil)

  • Complemento de filtro de URL (jservices-urlf)

  • Demonio de filtrado de URL (filtrado de URL)

El archivo de base de datos de filtros URL se almacena en el motor de enrutamiento y contiene todas las direcciones URL no permitidas. Las plantillas configuradas definen qué tráfico monitorear, qué criterios coincidir y qué acciones tomar. Configure las plantillas y la ubicación del archivo de base de datos de filtros URL en un perfil.

A partir de Junos OS versión 17.2R2 y 17.4R1, para los servicios adaptables, puede deshabilitar el filtrado del tráfico HTTP que contiene una dirección IP incrustada (por ejemplo, http:/10.1.1.1) que pertenece a un nombre de dominio no permitido en la base de datos de filtros URL. A partir de la versión 19.3R2 de Junos OS, esta misma funcionalidad se admite para los servicios de próxima generación en MX240, MX480 y MX960.

Para habilitar la función de filtrado de URL, debe configurarla jservices-urlf como en package-name el [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] nivel de jerarquía. Una vez habilitado, jservices-urlf mantiene el perfil de filtrado de URL y recibe todo el tráfico que se va a filtrar, los criterios de filtrado y la acción que se debe realizar en el tráfico filtrado.

Nota:

MX-SPC3 no necesita jservices-urlf explícitamente como package-name en el nivel de [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] jerarquía. Es compatible de forma predeterminada.

El daemon de filtrado de URL (filtrado de URL), que también reside en el motor de enrutamiento, resuelve el nombre de dominio de cada URL de la base de datos de filtros de URL en una lista de direcciones IPv4 e IPv6. A continuación, descarga la lista de direcciones IP en la PIC del servicio, la cual ejecuta jservices-urlf. A continuación, el filtrado de URL interactúa con el proceso de firewall dinámico (dfwd) para instalar filtros en el motor de reenvío de paquetes para enviar el tráfico seleccionado desde el motor de reenvío de paquetes a la PIC de servicio.

A medida que llega nuevo tráfico HTTP y HTTPS al enrutador, se toma una decisión basada en la información del archivo de base de datos del filtro de URL. Las reglas de filtrado se comprueban y el enrutador acepta el tráfico y lo pasa, o bien bloquea el tráfico. Si se bloquea el tráfico, se lleva a cabo una de las siguientes acciones configuradas:

  • Se envía una redirección HTTP al usuario.

  • Se envía una página personalizada al usuario.

  • Se envía un código de estado HTTP al usuario.

  • Se envía un restablecimiento de TCP.

Aceptar también es una opción. En este caso, el tráfico no se bloquea.

La figura 1 ilustra el filtrado de URL para sesiones HTTP.

Figura 1: Filtrado de URL de flujo de paquetes para sesiones Packet Flow-URL Filtering for HTTP Sessions HTTP

La figura 2 ilustra el filtrado de URL para sesiones HTTPS.

Figura 2: Filtrado de URL de flujo de paquetes para sesiones Packet Flow-URL Filtering for HTTPS Sessions HTTPS

Para obtener más información sobre la función de filtrado de URL, consulte las siguientes secciones:

Archivo de base de datos de filtros URL

El archivo de base de datos de filtros URL contiene entradas de direcciones URL e IP. Cree el archivo de base de datos de filtros URL en el formato indicado en la tabla 1 y ubíquelo en el motor de enrutamiento en el directorio /var/db/url-filterd .

Tabla 1: Formato de archivo de base de datos de filtros URL

Entrada

Descripción

Ejemplo

FQDN

Nombre de dominio completo.

www.badword.com/jjj/bad.jpg

URL

URL de cadena completa sin el protocolo de capa 7.

www.srch.com/*mala palabra*/

www.srch.com

www.srch.com/xyz

www.srch.com/xyz*

Dirección IPv4

Solicitud HTTP en una dirección IPv4 específica.

10.1.1.199

Dirección IPv6

Solicitud HTTP en una dirección IPv6 específica.

1::1

Debe especificar una base de datos de filtros URL personalizada en el perfil. Si es necesario, también puede asignar un archivo de base de datos de filtro de URL personalizado con cualquier plantilla, y esa base de datos tiene prioridad sobre la base de datos configurada en el nivel de perfil.

Si cambia el contenido del archivo de base de datos de filtro de URL, utilice el request services (url-filter | web-filter) update comando. Otros comandos para ayudar a mantener el archivo de base de datos de filtro de URL son los siguientes:

  • request services (url-filter | web-filter) delete

  • request services (url-filter | web-filter) force

  • request services (url-filter | web-filter) validate

Advertencias del perfil de filtro de URL

El perfil de filtro de URL consta de una a ocho plantillas. Cada plantilla consta de un conjunto de interfaces lógicas configuradas en las que el tráfico se supervisa para determinar el filtrado de URL y uno o varios términos.

Un término es un conjunto de criterios de coincidencia con acciones que se deben realizar si se cumplen los criterios de coincidencia. Debe configurar al menos un término para configurar el filtrado de URL. Cada término consta de una from instrucción y una then instrucción, donde la from instrucción define los prefijos IP de origen y los puertos de destino que se monitorean. La then instrucción especifica la acción que se debe realizar. Si omite la from instrucción, se considera que cualquier prefijo IP de origen y cualquier puerto de destino coinciden. Pero solo puede omitir una from instrucción por plantilla o por perfil.

Ejemplo de configuración de varios términos sin instrucciones from

Si omite más de una from instrucción por plantilla, obtendrá el siguiente mensaje de error al confirmar:

Ver también

Configurar el filtrado de URL

Para configurar la función de filtrado de URL, primero debe configurarla jservices-urlf como en package-name el [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] nivel de jerarquía. Para obtener más información sobre cómo configurar la instrucción de extension-provider package package-name configuración, consulte la instrucción package (Loading on PIC).

Nota:

MX-SPC3 no necesita jservices-urlf explícitamente como package-name en el nivel de [edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider] jerarquía. Es compatible de forma predeterminada.

El filtrado de URL está configurado en una PIC de servicio. Las interfaces con las que está tratando son interfaces de servicios (que utilizan el ms prefijo) o interfaces de multiservicios agregados (AMS) (que utilizan el ams prefijo). Para obtener más información acerca de las interfaces AMS, consulte la Guía del usuario de interfaces de servicios adaptables para dispositivos de enrutamiento , comenzando con Descripción de interfaces de multiservicios agregadas.

Un perfil de filtrado de URL es una colección de plantillas. Cada plantilla consta de un conjunto de criterios que definen qué URL no están permitidas y cómo se notifica al destinatario.

Para configurar el perfil de URL:

  1. Asigne un nombre al perfil de URL.

    A partir de la versión 18.3R1 de Junos OS, para servicios adaptables. Configure el perfil en el [edit services web-filter] nivel jerárquico. Antes de Junos OS versión 18.3R1, configure el perfil en el nivel jerárquico [edit services url-filter] . A partir de la versión 19.3R2 de Junos OS, esta misma funcionalidad está disponible para los servicios de próxima generación en MX240, MX480 y MX960.

  2. Especifique el nombre de la base de datos de filtros URL que se va a utilizar.
  3. Configure una o varias plantillas para el perfil.

    Para configurar cada plantilla:

    1. Asigne un nombre a la plantilla.
      Nota:

      A partir de la versión 18.3R1 de Junos OS, configure la plantilla con la url-filter-template instrucción. Antes de la versión 18.3R1 de Junos OS, configure la plantilla con la template instrucción.
    2. Vaya a ese nuevo nivel de jerarquía de plantillas.
    3. Especifique el nombre de la base de datos de filtros URL que se va a utilizar.
    4. Especifique la interfaz de circuito cerrado para la cual se selecciona la dirección IP de origen para enviar consultas DNS.
    5. Deshabilite el filtrado del tráfico HTTP que contenga una dirección IP incrustada (por ejemplo, http:/10.1.1.1) que pertenezca a un nombre de dominio no permitido en la base de datos de filtros de URL.
    6. Configure el intervalo de tiempo de resolución DNS en minutos.
    7. Configure el número de reintentos para una consulta DNS en caso de que se produzca un error en la consulta o se agote el tiempo de espera.
    8. Especifique las direcciones IP (IPv4 o IPv6) de los servidores DNS a los que se envían las consultas DNS.
    9. Especifique las interfaces lógicas orientadas al cliente en las que está configurado el filtrado de URL.
    10. Especifique las interfaces lógicas orientadas al servidor en las que está configurado el filtrado de URL.
    11. Especifique la instancia de enrutamiento en la que se configura el filtrado de URL.
    12. Especifique la instancia de enrutamiento en la que se puede acceder al servidor DNS.
  4. Configure el término information.

    Los términos se utilizan en los filtros para segmentar la política o filtrar en pares pequeños de coincidencia y acción.

    1. Asigne un nombre al término.
    2. Vaya al nuevo nivel de jerarquía de términos.
    3. Especifique los prefijos de dirección IP de origen para el tráfico que desea filtrar.
    4. Especifique los puertos de destino para el tráfico que desea filtrar.
    5. Configure una acción a realizar.

      La acción puede ser una de las siguientes:

      custom-page custom-page

      Envíe una cadena de página personalizada al usuario.
      http-status-code http-status-code

      Envíe un código de estado HTTP al usuario.
      redirect-url redirect-url

      Envíe una redirección HTTP al usuario.
      tcp-reset

      Envíe un restablecimiento de TCP al usuario.
  5. Asocie el perfil de dirección URL con un conjunto de servicios de salto siguiente.
    Nota:

    Para el filtrado de URL, debe configurar el conjunto de servicios como un conjunto de servicios de salto siguiente.
    Nota:

    La interfaz de servicio también puede ser del ams prefijo. Si usa ams interfaces en el nivel de [edit services service-set service-set-name] jerarquía para el filtro de URL, también debe configurar la load-balancing-options hash-keys instrucción en el nivel de [edit interfaces ams-interface-name unit number] jerarquía. .
    Nota:

    A partir de la versión 18.3R1 de Junos OS, configure el conjunto de servicios con la web-filter-profile instrucción. Antes de la versión 18.3R1 de Junos OS, configure el conjunto de servicios con la url-filter-profile instrucción.

Ver también

Filtrado de solicitudes de DNS para dominios de sitios web no permitidos

Descripción general del filtrado de solicitudes DNS

A partir de Junos OS versión 18.3R1, puede configurar el filtrado de DNS para identificar solicitudes DNS de dominios de sitios web no permitidos. A partir de Junos OS versión 19.3R2, puede configurar el filtrado de DNS si ejecuta servicios de última generación con la tarjeta de servicios MX-SPC3. Los servicios de próxima generación son compatibles con los enrutadores MX240, MX480 y MX960. Para los tipos de solicitud DNS A, AAAA, MX, CNAME, TXT, SRV y ANY, configure la acción que se realizará para una solicitud DNS para un dominio no permitido. Usted puede:

  • Bloquee el acceso al sitio web mediante el envío de una respuesta DNS que contenga la dirección IP o el nombre de dominio completo (FQDN) de un servidor de sumidero de DNS. Esto garantiza que cuando el cliente intente enviar tráfico al dominio no permitido, el tráfico se dirija al servidor de sumidero (consulte la Figura 3).

  • Registre la solicitud y permita el acceso.

A partir de la versión 21.1R1 de Junos OS, también puede configurar las siguientes acciones para una solicitud DNS para un dominio no permitido:

  • Alerta
  • Aceptar
  • Soltar
  • No se registra

Para otros tipos de solicitud DNS para un dominio no permitido, la solicitud se registra y se permite el acceso.

Las acciones que realiza el servidor de sumidero no están controladas por la función de filtrado de solicitudes DNS; Usted es responsable de configurar las acciones del servidor de sumidero. Por ejemplo, el servidor de sumidero podría enviar un mensaje al solicitante de que no se puede acceder al dominio e impedir el acceso al dominio no permitido.

Figura 3: Solicitud de DNS para dominio DNS Request for Disallowed Domain no permitido

Beneficios

El filtrado de DNS redirige las solicitudes de DNS de dominios de sitios web no permitidos a servidores de sumidero, al tiempo que evita que cualquier persona que opere el sistema vea la lista de dominios no permitidos. Esto se debe a que los nombres de dominio no permitidos están en un formato cifrado.

Archivo de base de datos de filtro de dominio no permitido

El filtrado de solicitudes DNS requiere un archivo .txt base de datos de filtros de dominio no permitido, que identifica cada nombre de dominio no permitido, la acción que se debe realizar en una solicitud DNS para el dominio no permitido y la dirección IP o el nombre de dominio completo (FQDN) de un servidor de sumidero de DNS.

Perfil de filtro DNS

Configure un perfil de filtro DNS para especificar qué archivo de base de datos de filtro de dominio no permitido se va a usar. También puede especificar las interfaces en las que se lleva a cabo el filtrado de solicitudes DNS, limitar el filtrado a solicitudes de servidores DNS específicos y limitar el filtrado a solicitudes de prefijos de direcciones IP de origen específicos.

Cómo configurar el filtrado de solicitudes DNS

Para filtrar las solicitudes DNS de dominios de sitios web no permitidos, realice lo siguiente:

Cómo configurar una base de datos de filtros de dominio

Cree uno o más archivos de base de datos de filtro de dominio que incluyan una entrada para cada dominio no permitido. Cada entrada especifica qué hacer con una solicitud DNS para un dominio de sitio web no permitido.

Para configurar un archivo de base de datos de filtro de dominio:

  1. Cree el nombre del archivo. El nombre del archivo de base de datos puede tener una longitud máxima de 64 caracteres y debe tener una extensión .txt .
  2. Agregue un encabezado de archivo con un formato como 20170314_01:dominio,sinkhole_ip,v6_sinkhole,sinkhole_fqdn,id,acción.
  3. Agregue una entrada en el archivo para cada dominio no permitido. Puede incluir un máximo de 10.000 entradas de dominio. Cada entrada en el archivo de base de datos tiene los siguientes elementos:

    nombre de dominio hash, dirección de sumidero IPv4, dirección de sumidero IPv6, FQDN de sumidero, ID, acción

    Dónde:

    • hashed-domain-name es un valor hash del nombre de dominio no permitido (64 caracteres hexadecimales). El método hash y la clave hash que se usan para producir el valor de dominio hash son necesarios cuando se configura el filtrado de DNS con la CLI de Junos OS.

    • IPv4 sinkhole address es la dirección del servidor de sumidero de DNS para las solicitudes DNS IPv4.

    • IPv6 sinkhole address es la dirección del servidor de sumidero de DNS para las solicitudes DNS IPv6.

    • sinkhole FQDN es el nombre de dominio completo del servidor de sumidero de DNS.

    • ID es un número de 32 bits que asocia de forma exclusiva la entrada con el nombre de dominio con hash.

    • action es la acción que se aplica a una solicitud DNS que coincide con el nombre de dominio no permitido. Si ingresa:

      • replace, el enrutador de la serie MX envía al cliente una respuesta DNS con la dirección IP o el FQDN del servidor de sumidero DNS. Si escribe report, la solicitud DNS se registra y, a continuación, se envía al servidor DNS.
      • report, la solicitud DNS se registra y, a continuación, se envía al servidor DNS.
      • alert, la solicitud DNS se registra y esta se envía al servidor DNS.
      • accept, la solicitud DNS se registra y esta se envía al servidor DNS.
      • drop, la solicitud DNS se elimina y la solicitud se registra. La solicitud DNS no se envía al servidor DNS.
      • drop-no-log, la solicitud DNS se descarta y no se genera ningún syslog. La solicitud DNS no se envía al servidor DNS.
  4. En la última línea del archivo, incluya el hash del archivo, que se calcula utilizando el mismo método de clave y hash que utilizó para producir los nombres de dominio con hash.
  5. Guarde los archivos de base de datos en el motor de enrutamiento en el directorio /var/db/url-filterd .
  6. Valide el archivo de base de datos de filtro de dominio.
  7. Si realiza algún cambio en el archivo de base de datos, aplique los cambios.

Cómo configurar un perfil de filtro DNS

Un perfil de filtro DNS incluye configuraciones generales para filtrar solicitudes DNS para dominios de sitios web no permitidos e incluye hasta 32 plantillas. La configuración de la plantilla se aplica a las solicitudes DNS en interfaces lógicas o instancias de enrutamiento de vínculo ascendente y descendente específicas, o a las solicitudes DNS de prefijos de direcciones IP de origen específicos, e invalida la configuración correspondiente en el nivel de perfil DNS. Puede configurar hasta ocho perfiles de filtro DNS.

Para configurar un perfil de filtro DNS:

  1. Configure el nombre de un perfil de filtro DNS:

    El número máximo de perfiles es 8.

  2. Configure el intervalo para registrar estadísticas por cliente para el filtrado de DNS. El intervalo va de 0 a 60 minutos y el valor predeterminado es de 5 minutos.
  3. Configure las opciones generales de filtrado DNS para el perfil. Estos valores se utilizan si una solicitud DNS no coincide con una plantilla específica.
    1. Especifique el nombre de la base de datos de filtros de dominio que se utilizará al filtrar las solicitudes DNS.
    2. (Opcional) Para limitar el filtrado de DNS a las solicitudes DNS destinadas a servidores DNS específicos, especifique hasta tres direcciones IP (IPv4 o IPv6).
    3. Especifique el formato de la clave hash.
    4. Especifique la clave hash que utilizó para crear el nombre de dominio con hash en el archivo de base de datos de filtro de dominio.
    5. Especifique el método hash que se utilizó para crear el nombre de dominio hash en el archivo de base de datos de filtro de dominio.

      El único método hash admitido es hmac-sha2-256.

    6. Configure el intervalo para registrar estadísticas para solicitudes DNS y para acciones de sumidero realizadas para cada dirección IP de cliente. El intervalo es de 1 a 60 minutos y el valor predeterminado es de 5 minutos.
    7. Configure el tiempo de vida mientras envía la respuesta DNS después de realizar la acción de sumidero de DNS. El intervalo va de 0 a 86.400 segundos y el valor predeterminado es 1800.
    8. Configure el nivel de subdominios en los que se busca una coincidencia. El rango va de 0 a 10. Un valor de 0 indica que no se buscan subdominios.

      Por ejemplo, si establece en wildcarding-level 4 y el archivo de base de datos incluye una entrada para example.com, se realizan las siguientes comparaciones para una solicitud DNS que llega con el dominio 198.51.100.0.example.com:

      • 198.51.100.0.example.com: no hay coincidencia

      • 51.100.0.example.com: no hay rival para bajar de nivel

      • 100.0.example.com: no hay rival para dos niveles más abajo

      • 0.example.com: no hay rival para tres niveles más abajo

      • example.com: emparejar cuatro niveles hacia abajo

  4. Configure una plantilla. Puede configurar un máximo de 8 plantillas en un perfil. Cada plantilla identifica la configuración de filtro para solicitudes DNS en interfaces lógicas de vínculo ascendente y descendente específicas o instancias de enrutamiento, o para solicitudes DNS de prefijos de direcciones IP de origen específicos.
    1. Configure el nombre de la plantilla.
    2. (Opcional) Especifique las interfaces lógicas orientadas al cliente (uplink) a las que se aplica el filtrado de DNS.
    3. (Opcional) Especifique las interfaces lógicas orientadas al servidor (enlace descendente) a las que se aplica el filtrado DNS.
    4. (Opcional) Especifique la instancia de enrutamiento para la interfaz lógica orientada al cliente a la que se aplica el filtrado DNS.
    5. (Opcional) Especifique la instancia de enrutamiento para la interfaz lógica orientada al servidor a la que se aplica el filtrado DNS.
      Nota:

      Si configura las interfaces de cliente y servidor, o las instancias de enrutamiento de cliente y servidor, se instalan filtros implícitos en las interfaces o instancias de enrutamiento para dirigir el tráfico DNS a la PIC de servicios para el filtrado de DNS. Si no configura ni las interfaces de cliente y servidor ni las instancias de enrutamiento, debe proporcionar una manera de dirigir el tráfico DNS a la PIC de servicios (por ejemplo, a través de rutas).
    6. Especifique el nombre de la base de datos de filtros de dominio que se utilizará al filtrar las solicitudes DNS.
    7. (Opcional) Para limitar el filtrado de DNS a las solicitudes DNS destinadas a servidores DNS específicos, especifique hasta tres direcciones IP (IPv4 o IPv6).
    8. Especifique el método hash que se utilizó para crear el nombre de dominio hash en el archivo de base de datos de filtro de dominio.

      El único método hash admitido es hmac-sha2-256.

    9. Especifique la clave hash que se utilizó para crear el nombre de dominio hash en el archivo de base de datos de filtro de dominio.
    10. Configure el intervalo para registrar estadísticas para solicitudes DNS y para acciones de sumidero realizadas para cada dirección IP de cliente. El intervalo es de 1 a 60 minutos y el valor predeterminado es de 5 minutos.
    11. Configure el tiempo de vida mientras envía la respuesta DNS después de realizar la acción de sumidero de DNS. El intervalo va de 0 a 86.400 segundos y el valor predeterminado es 1800.
    12. Configure el nivel de subdominios en los que se busca una coincidencia. El rango va de 0 a 10. Un valor de 0 indica que no se buscan subdominios.

      Por ejemplo, si establece en wildcarding-level 4 y el archivo de base de datos incluye una entrada para example.com, se realizan las siguientes comparaciones para una solicitud DNS que llega con el dominio 198.51.100.0.example.com:

      • 198.51.100.0.example.com: no hay coincidencia

      • 51.100.0.example.com: no hay rival para un nivel inferior

      • 100.0.example.com: no hay rival para dos niveles más abajo

      • 0.example.com: no hay rival para tres niveles más abajo

      • example.com: partido para cuatro niveles más abajo

    13. (Opcional) Especifique el código de error de respuesta para los tipos de consulta SRV y TXT.

      (Opcional) Especifique el código de error de respuesta para los tipos de consulta SRV y TXT.

    14. Configure un término para la plantilla. Puede configurar un máximo de 64 términos en una plantilla.
    15. (Opcional) Especifique los prefijos de dirección IP de origen de las solicitudes DNS que desea filtrar. Puede configurar un máximo de 64 prefijos en un término.
    16. Especifique que la acción de sumidero identificada en la base de datos de filtros de dominio se realice en solicitudes DNS no permitidas.

Cómo configurar un conjunto de servicios para el filtrado de DNS

Asocie el perfil de filtro DNS con un conjunto de servicios de salto siguiente y habilite el registro para el filtrado DNS. La interfaz de servicio puede ser una interfaz de próxima generación con una tarjeta de servicios MX-SPC3 o puede ser una interfaz de multiservicios agregados (AMS).

Compatibilidad multitenencia con filtrado de DNS

Descripción general

A partir de la versión 21.1R1 de Junos OS, puede configurar fuentes de dominio personalizadas por cliente o subgrupo de IP. Puedes:

  • Configure nombres de dominio y acciones para varios inquilinos, de modo que las fuentes de dominio se puedan administrar por inquilino.
  • Configure la administración jerárquica de fuentes de dominio por perfil, por plantilla de filtro DNS o por término de filtro DNS.
  • Fuentes de dominio exentas a nivel de IP, subred o CIDR.

Para implementar la compatibilidad con mutiltenant para el filtrado DNS, se deshabilita la creación del archivo de base de datos de filtro de dominio en el nivel de plantilla o perfil. No es necesario especificar un archivo a nivel de plantilla o perfil. A partir de Junos OS 21.1R1, de forma predeterminada, está disponible un archivo global con un nombre fijo, nsf_multi_tenant_dn_custom_file.txt (formato de texto sin formato) o dnsf_multi_tenant_dn_custom_file_hashed.txt (archivo cifrado).

Cada entrada en el archivo de base de datos tiene los siguientes elementos:

hashed-domain-name, dirección de sumidero IPv4, dirección de sumidero IPv6, FQDN de sumidero, ID, acción, nombre de fuente.

El hash del archivo se calcula y se agrega a la lista de entradas de nombre de dominio en el archivo. El hash del archivo se calcula utilizando una clave y un método globales, que se valida con el hash del archivo calculado mediante la clave hash configurada en la [edit services web-filter] jerarquía. La validación del archivo solo se realiza correctamente si el hash de archivo calculado coincide con el hash de archivo presente en el archivo.

Cada entrada en nsf_multi_tenant_dn_custom_file.txt archivo consta de un campo adicional llamado nombre de fuente. Este nombre de fuente se utiliza como indicador para agrupar un conjunto de nombres de dominio y asignarlos a un inquilino (perfil, plantilla, término o dirección IP).

Cuando los paquetes DNS se reciben de una dirección IP SRC en particular, se obtiene el nombre de fuente correspondiente y la búsqueda se realiza en los nombres de dominio asignados con el nombre de fuente asociado con el término. Si el nombre de fuente no está aprovisionado para esa dirección IP, entonces se recurre al nombre de fuente configurado en el nivel de plantilla y la búsqueda se realiza en los nombres de dominio asignados con el nombre de fuente asociado con la plantilla. Si el nombre de la fuente no está configurado en la plantilla, la búsqueda se realiza en los nombres de dominio asignados al nombre de fuente asociado con el perfil.

Configuración de la compatibilidad con varios inquilinos para el filtrado de DNS

  1. Configure el filtro web.
  2. Habilite el soporte de múltiples inquilinos
  3. Configure la clave hash del archivo global y el método hash.
    Nota:

    Cuando multi-tenant-hashestá configurado, indica que el archivo de fuente DNS global consta solo de fuentes cifradas. Cuando multi-tenant-hash s no está configurado, indica que el archivo de fuente DNS global tiene fuentes en formato de texto sin formato.

  4. Configure el nombre de un perfil de filtro DNS y asigne la fuente de dominio a nivel de perfil. El indicador de nombre de fuente configurado a nivel de perfil se aplica a todas las plantillas y términos del perfil que no tienen configurado el indicador de nombre de fuente.
  5. Configure las opciones generales de filtrado DNS para el perfil. Estos valores se utilizan si una solicitud DNS no coincide con una plantilla específica.
    1. (Opcional) Para limitar el filtrado de DNS a las solicitudes DNS destinadas a servidores DNS específicos, especifique hasta tres direcciones IP (IPv4 o IPv6).
    2. Configure el intervalo para registrar estadísticas para solicitudes DNS y para acciones de sumidero realizadas para cada dirección IP de cliente. El intervalo es de 1 a 60 minutos y el valor predeterminado es de 5 minutos.
    3. Configure el tiempo de vida (TTL) para enviar la respuesta DNS después de realizar la acción de sumidero DNS. El intervalo va de 0 a 86.400 segundos y el valor predeterminado es 1800.
    4. Configure el nivel de subdominios en los que se busca una coincidencia. El rango va de 0 a 10. Un valor de 0 indica que no se buscan subdominios.
    5. (Opcional) Especifique el código de error de respuesta para el tipo de consulta TXT.
  6. Configure una plantilla. Puede configurar un máximo de 8 plantillas en un perfil. Cada plantilla identifica la configuración de filtro para solicitudes DNS en interfaces lógicas de vínculo ascendente y descendente específicas o instancias de enrutamiento, o para solicitudes DNS de prefijos de direcciones IP de origen específicos.
    1. Configure el nombre de la plantilla.
    2. Configure el nombre de la fuente. Con el formato multiinquilino, ya no puede agregar un nombre de archivo en perfil o plantilla. El nombre de fuente especificado en perfil tiene menor prioridad en comparación con el configurado en la plantilla.
    3. (Opcional) Especifique las interfaces lógicas orientadas al cliente (uplink) a las que se aplica el filtrado de DNS.
    4. (Opcional) Especifique las interfaces lógicas orientadas al servidor (enlace descendente) a las que se aplica el filtrado DNS.
    5. (Opcional) Especifique la instancia de enrutamiento para la interfaz lógica orientada al cliente a la que se aplica el filtrado DNS.
    6. (Opcional) Especifique la instancia de enrutamiento para la interfaz lógica orientada al servidor a la que se aplica el filtrado DNS.
      Nota:

      Si configura las interfaces de cliente y servidor, o las instancias de enrutamiento de cliente y servidor, se instalan filtros implícitos en las interfaces o instancias de enrutamiento para dirigir el tráfico DNS a la PIC de servicios para el filtrado de DNS. Si no configura ni las interfaces de cliente y servidor ni las instancias de enrutamiento, debe proporcionar una manera de dirigir el tráfico DNS a la PIC de servicios (por ejemplo, a través de rutas).
    7. Configure el intervalo para registrar estadísticas para solicitudes DNS y para acciones de sumidero realizadas para cada dirección IP de cliente. El intervalo es de 1 a 60 minutos y el valor predeterminado es de 5 minutos.
    8. Configure el tiempo de vida mientras envía la respuesta DNS después de realizar la acción de sumidero de DNS. El intervalo va de 0 a 86.400 segundos y el valor predeterminado es 1800.
    9. Configure el nivel de subdominios en los que se busca una coincidencia. El rango va de 0 a 10. Un valor de 0 indica que no se buscan subdominios.
    10. Configure un término para la plantilla. Puede configurar un máximo de 64 términos en una plantilla.
    11. Configure el nombre de la fuente. El nombre de la fuente configurado en el término tiene mayor prioridad que el configurado en la plantilla. Sin embargo, si el dominio del sumidero coincide con el único dominio mencionado en el nombre de la fuente en la plantilla, se implementará la acción especificada para esa entrada.
    12. (Opcional) Especifique los prefijos de dirección IP de origen de las solicitudes DNS que desea filtrar. Puede configurar un máximo de 64 prefijos en un término.
    13. Configure que la acción de sumidero identificada en la base de datos de filtros de dominio se realice en solicitudes DNS no permitidas.
  7. Asocie el perfil de filtro DNS con un conjunto de servicios de salto siguiente y habilite el registro para el filtrado DNS. La interfaz de servicio puede ser una interfaz de multiservicios (MS) o virtual multiservicio (VMS) (servicios de próxima generación con tarjeta de servicios MX-SPC3), o puede ser una interfaz de multiservicios agregada (AMS).
  8. Si ejecuta servicios de última generación en la tarjeta de servicios MX-SPC3, configure la interfaz de vms para obtener la información de FPC y PIC en syslog.

Ejemplo: Configuración de la compatibilidad multiinquilino para el filtrado de DNS

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit].

Integración de la nube ATP de Juniper y el filtrado web en enrutadores de la serie MX

Descripción general

La prevención de amenazas avanzadas de Juniper (nube ATP de Juniper) está integrada con los enrutadores de la serie MX para proteger todos los hosts de su red contra amenazas de seguridad en evolución mediante el empleo de software de detección de amenazas basado en la nube con un sistema de firewall de última generación.

En este tema, se proporciona una descripción general de la nube ATP de Juniper, el Agente de cumplimiento de políticas, la inteligencia de seguridad, el filtrado web y sus beneficios cuando se integran en enrutadores de la serie MX.

Para obtener más información sobre la plataforma y la versión, consulte Explorador de características .

Beneficios

  • Simplifica el despliegue y mejora las capacidades antiamenazas cuando se integra con los enrutadores MX.

  • Ofrece protección contra amenazas de "día cero" mediante una combinación de herramientas para proporcionar una cobertura sólida contra amenazas sofisticadas y evasivas.

  • Comprueba el tráfico entrante y saliente con mejoras de política que permiten a los usuarios detener el malware, poner en cuarentena los sistemas infectados, evitar la exfiltración de datos e interrumpir el movimiento lateral.

  • Admite alta disponibilidad para brindar un servicio ininterrumpido.

  • Ofrece escalabilidad para manejar cargas crecientes que requieren más recursos informáticos, mayor ancho de banda de red para recibir más envíos de clientes y un gran almacenamiento para malware.

  • Proporciona inspección profunda, informes procesables y bloqueo de malware en línea.

  • Ofrece la capacidad de proporcionar información de arrendamiento utilizando la información de VRF en los registros

Descripción del Agente de cumplimiento de políticas y ATP Cloud de Juniper

Security Director de Juniper Networks comprende una función llamada Agente de cumplimiento de políticas (PE) que le permite aprender de las condiciones de amenaza, automatizar la creación de políticas e implementar dinámicamente la aplicación en los dispositivos de Juniper en la red.

La Figura 4 ilustra el flujo de tráfico entre el PE, la nube ATP de Juniper y el enrutador MX, que funciona como un firewall.

  • El agente de cumplimiento de políticas (PE) aprende de las condiciones de amenaza, automatiza la creación de políticas y despliega el cumplimiento en los dispositivos de Juniper en la red.

  • La prevención de amenazas avanzadas de Juniper (nube ATP de Juniper) protege todos los hosts de su red mediante el empleo de un software de detección de amenazas basado en la nube con un sistema de firewall de última generación.

  • El enrutador MX obtiene las fuentes de inteligencia de amenazas del Agente de cumplimiento de políticas (PE) e implementa esas políticas para poner en cuarentena los hosts comprometidos. Se compone de los siguientes componentes importantes:

    • Proceso de inteligencia de seguridad

    • Proceso de filtrado web

    • Proceso de firewall

Figura 4: Arquitectura System Architecture del sistema

Para comprender la funcionalidad de la arquitectura del sistema, considere el siguiente ejemplo: si un usuario descarga un archivo de Internet y ese archivo pasa a través de un firewall MX, el archivo se puede enviar a la nube ATP Cloud de Juniper para su inspección de malware (según sus ajustes de configuración). Si se determina que el archivo es malware, el PE identifica la dirección IP y la dirección MAC del host que descargó el archivo. Según una política definida por el usuario, ese host se puede poner en una VLAN de cuarentena o bloquear el acceso a Internet.

Los enrutadores de la serie MX se pueden integrar con la nube ATP de Juniper para evitar que los hosts comprometidos (botnets) se comuniquen con los servidores de comando y control:

  • A partir de la versión 18.4R1 de Junos OS con los servicios adaptativos como capacidad de seguridad en línea

  • A partir de la versión 19.3R2 de Junos OS con los servicios de próxima generación como una capacidad de seguridad en línea

Los enrutadores MX Sseries pueden descargar C&C y Geo-IP desde cualquiera de los siguientes métodos:

  • Método indirecto: el Agente de cumplimiento de políticas actúa como un proxy de alimentación para todos los dispositivos en un entorno definido. Este método es beneficioso para evitar que dispositivos individuales accedan a los servicios en la nube de ATP de Juniper en Internet. Por lo tanto, disminuye la vulnerabilidad de los dispositivos que llegan a Internet.

  • Los enrutadores de la serie MX de método directo se inscriben directamente en la nube ATP de Juniper para descargar las fuentes de C&C y Geo-IP.

Inteligencia de seguridad (SecIntel): descripción general

El proceso de inteligencia de seguridad (IPFD) es responsable de descargar las fuentes de inteligencia de seguridad y analizarlas desde el conector de fuentes o el servidor de fuentes en la nube de ATP Cloud. El proceso de IPFD en las plataformas MX obtiene las fuentes IPv4/IPv6 de comando y control del Agente de cumplimiento de políticas. Las fuentes de C&C son esencialmente una lista de servidores que son servidores conocidos de comando y control para botnets. La lista también incluye servidores que son fuentes conocidas de descargas de malware. La información así obtenida se guarda en un archivo (urlf_si_cc_db.txt) creado en el directorio /var/db/url-filterd .

El formato de archivo de las IP no permitidas enviadas por IPFD al proceso de filtrado web es el siguiente:

IPv4 address | IPv6 address, threat-level.

Es threat-level un número entero que va del 1 al 10 para indicar el nivel de amenaza de los archivos analizados en busca de malware y de hosts infectados. Aquí, 1 representa el nivel de amenaza más bajo y 10 representa el nivel de amenaza más alto.

Por ejemplo: 178.10.19.20, 4

Aquí, 178.10.19.20 indica la IP no permitida y 4 indica el threat-level.

La base de datos de fuentes de C&C se sincroniza con el motor de enrutamiento de respaldo. IPFD luego comparte la información con el proceso de filtrado web (filtrado de URL). El proceso de filtrado web lee el contenido del archivo y configura los filtros en consecuencia.

Configuración de inteligencia de seguridad para descargar la fuente CC del Agente de cumplimiento de políticas

Para descargar las fuentes de comandos y controlar IPv4/IPv6 desde la nube ATP o el agente de cumplimiento de políticas de Juniper, incluya la security-intelligence instrucción en la [edit services] jerarquía como se muestra en el siguiente ejemplo:

Filtrado web (filtrado de URL): descripción general

El proceso de filtrado web lee el contenido del archivo obtenido del IPFD y configura los filtros en el motor de reenvío de paquetes en consecuencia. El proceso de filtrado web aplica las fuentes de comandos y controles mediante la programación de los filtros en el motor de reenvío de paquetes para bloquear los paquetes destinados a las direcciones IP bloqueadas y generar registros para informar del incidente.

La Figura 5 ilustra la forma en que el IPFD obtiene la fuente de C&C y luego la procesa mediante el proceso de filtrado web.

Figura 5: Filtrado Web Filtering web

El perfil de filtro web puede tener más de una plantilla. Cada plantilla consta de un conjunto de interfaces lógicas configuradas para el filtrado web y uno o más términos. Un término es un conjunto de criterios de coincidencia con acciones que se deben realizar si se cumplen los criterios de coincidencia. Para configurar el perfil de filtro web de modo que utilice la fuente de C&C obtenida dinámicamente, puede configurar el security-intelligence-policy comando en el nivel de [edit services web-filter profile profile-name jerarquía. No es necesario configurar un término para perfiles security-intelligence-policy de filtro web basados.

Puede configurar las siguientes acciones de nivel de amenaza para el perfil de filtro web en el edit web-filter profile profile-name security-intelligence-policy threat-level threat-level threat-action nivel jerárquico:

  • drop

  • drop-and-log

  • log

Solo puede configurar uno threat-action para cada threat level. Si no threat-action está configurado para un determinado threat level, el valor predeterminado threat-action es accept.

A partir de la versión 24.4R1 de Junos OS, para las amenazas configuradas con log acción, el nivel de amenaza y la información del inquilino o VRF se incrustan en los syslogs salientes. Los mapas de políticas de clase de servicio se mejoran con una nueva user-attribute integer palabra clave para almacenar e indicar el nivel de amenaza.

Puede configurar el user-attribute integer en la [editi class-of-service policy-map policy-name] jerarquía.

Se hace referencia al mapa de políticas en cada configuración de nivel de amenaza para asignar el nuevo atributo de usuario<> al término de filtro dfw que impulsa la acción configurada para cada nivel de amenaza. El mapa de políticas se utiliza en la [edit services web-filter profile profile-name security-intelligence-policy threat level integer policy-map policy-name] jerarquía o [edit services web-filter profile profile-name url-filter-template template-name security-intelligence-policy threat level integer policy-map policy-name] jerarquía para asignar el nivel de amenaza a un atributo de usuario.

Por ejemplo,

Ver también

  • Política-de-inteligencia-de-seguridad
  • inteligencia de seguridad

Configuración del perfil de filtro web para muestreo

A partir de la versión 19.3R1 de Junos OS, el proceso de filtrado web (filtrado de URL) admite el muestreo en línea de paquetes como una acción de nivel de amenaza. Los paquetes se descartan, se registran y se muestrean en función de la acción de amenaza que configure. Para escenarios escalados, se prefiere el muestreo de paquetes a la opción de registro. Junto con las acciones de nivel de amenaza existentes, puede configurar las siguientes acciones de nivel de amenaza en el perfil de filtro web en el nivel jerárquico edit web-filter profile profile-name security-intelligence-policy threat-level threat-level threat-action :

  • drop-and-sample

  • drop-log-and-sample

  • log-and-sample

  • sample

La supervisión de flujo en línea muestrea los paquetes y envía los registros de flujo en formato IPFIX a un recopilador de flujo. Puede derivar el nivel de amenaza para los paquetes muestreados recibidos en el recopilador externo haciendo coincidir la IP recibida de los paquetes muestreados con la entrada IP correspondiente en /var/db/url-filterd/urlf_si_cc_db.txt. Puede configurar el muestreo mediante cualquiera de los siguientes métodos:

  • Asocie una instancia de muestreo con la FPC en la que la interfaz de medios está presente en el [edit chassis] nivel de jerarquía. Si está configurando el muestreo de flujos IPv4, flujos IPv6 o flujos VPLS, puede configurar el tamaño de la tabla hash de flujo para cada familia.

  • Configure las propiedades de plantilla para la supervisión del flujo en línea en el nivel de [edit services flow-monitoring jerarquía.

  • Configure una instancia de muestreo y asocie la dirección IP del servidor de flujo, el número de puerto, la velocidad de exportación de flujo y especifique los recopiladores en el [edit forwarding-options nivel jerárquico.

Asociar una instancia de muestreo con la FPC

Para asociar la instancia definida con una FPC, MPC o CPC determinada, incluya la sampling-instance instrucción en el nivel de [edit chassis fpc number] jerarquía, como se muestra en el siguiente ejemplo:

Configure una instancia de muestreo y asocie la plantilla con la instancia de muestreo.

Para configurar las propiedades de plantilla para la supervisión del flujo en línea, incluya las siguientes instrucciones en el nivel de edit services flow-monitoring jerarquía, como se muestra en el siguiente ejemplo:

Configure la instancia de ejemplo y asocie la dirección IP del servidor de flujo y otros parámetros.

Para configurar una instancia de muestreo y asociar la dirección IP del servidor de flujo y otros parámetros. Incluya las siguientes instrucciones en la [edit forwarding-options] jerarquía, como se muestra en el ejemplo siguiente:

Ejemplo: Configuración del perfil de filtro web para definir diferentes niveles de amenaza

Ver también

  • Política-de-inteligencia-de-seguridad
  • Configuración del muestreo de tráfico en enrutadores MX, M y serie T

Filtrado de GeoIP

Descripción general

Las fuentes GeoIP son esencialmente una lista de asignaciones de direcciones IP a códigos de país. A partir de Junos OS 21.4R1, puede configurar ubicaciones geográficas basadas en IP en enrutadores de la serie MX para obtener las fuentes GeoIP del Agente de cumplimiento de políticas. Al desplegar las fuentes GeoIP, puede habilitar la red para evitar que los dispositivos se comuniquen con direcciones IP que pertenecen a países específicos.

Puede configurar el proceso de inteligencia de seguridad (IPFD) en enrutadores de la serie MX para obtener las fuentes GeoIP del Agente de cumplimiento de políticas. De manera similar a las fuentes IP o IPv6 de C&C existentes, IPFD descarga las fuentes GeoIP del Agente de cumplimiento de políticas. IPFD traduce la fuente en el formato de archivo que se procesa mediante el proceso de filtrado web (filtrado de URL) posteriormente.

A partir de Junos OS 22.1R1, puede configurar el proceso de inteligencia de seguridad (IPFD) en enrutadores serie MX para obtener las fuentes GeoIP de la nube ATP de Juniper. De manera similar a las fuentes C&C IP o IPv6 existentes, IPFD descarga las fuentes GeoIP desde la nube ATP de Juniper.

Cómo configurar el filtrado de GeoIP en enrutadores de la serie MX

La información obtenida por IPFD se guarda en un archivo (urlf_si_geoip_db.txt) creado en la ubicación /var/db/url-filterd .

El formato del archivo enviado por IPFD al proceso de filtrado web es el siguiente:

IPv4 address|IPv6 address,Prefix,threat-level,VRF-name,Gen-num. Gen-num es siempre 0. VRF-name hace referencia a un código de país.

Por ejemplo, 178.10.19.22,12,255,US,0

IPFD y el proceso de filtrado web mantienen una conexión pconn para comunicar la creación o actualización de archivos que contienen fuentes GeoIP. El proceso de filtrado web refuerza las fuentes GeoIP programando los filtros en el PFE para bloquear los paquetes destinados a los países bloqueados. Las API proporcionadas por liburlf se utilizan para validar y analizar los archivos.

El proceso de filtrado web lee el archivo que contiene la lista de direcciones IP y los filtros PFE están programados con las direcciones IP de destino enumeradas en la fuente y la acción configurada para el país asociado.

  • Filtro global: los países se configuran según una regla global dentro de un perfil. Todas las direcciones IP de los países específicos de esa regla global se programan en un único filtro y se aplican a todas las plantillas del perfil. Puede configurar un perfil para obtener dinámicamente la fuente GeoIP configurando geo-ip rule match country country-name en la [edit services web-filter profile profile-name security-intelligence-policy] jerarquía .

  • Filtro de grupo: los grupos de países se configuran bajo una plantilla. Todas las direcciones IP asociadas con los países de un grupo se programan en un filtro de grupo aplicado a las plantillas bajo las cuales se configura ese grupo. El grupo es una lista de países definidos en un archivo json analizado por liburlf.

    Para configurar un filtro de grupo, debe configurar un archivo json en la ubicación /var/db/url-filterd , donde el archivo group.json contiene las asignaciones de grupo.

    El formato del archivo json es el siguiente:

    [

    {

    "group_name" : "group1",

    "country" : ["ZA","YE"]

    },

    {

    "group_name" : "group2",

    "country" : ["YT"]

    }

    ]

    Para obtener feeds GeoIP de forma dinámica, puede configurar un filtro global usando un solo perfil o configurar múltiples filtros de grupo usando plantillas. No admitimos ambas configuraciones juntas.

    Los grupos creados en el archivo json se mencionan en la cláusula de coincidencia GeoIP definida en la [edit services web-filter profile profile-name url-filter-template template-name security-intelligence-policy geo-ip rule match group group-name] jerarquía.

Lista global de permitidos y lista global de bloqueos

Puede optar por personalizar la fuente IP agregando su propia lista de permitidos y bloqueados. Esto puede ser útil para administrar fuentes de inteligencia personalizadas para su centro de operaciones de seguridad o como medida temporal para falsos positivos. A partir de la versión 21.4R1 de Junos OS, puede permitir o bloquear determinadas direcciones IP según la configuración a través de una CLI o un archivo. Puede configurar una lista independiente para la lista de permitidos y una lista independiente para la lista de bloqueados, o bien incluir las direcciones IP en un archivo e incluir el nombre de archivo en la configuración de la CLI.

Puede crear un IP-address-list arroba en la [edit services web-filter] jerarquía. IP-address-list Aquí contiene la lista de direcciones IP que deben permitirse o bloquearse. También puede crear un archivo que contenga las direcciones IP que deben permitirse o bloquearse en la ubicación /var/db/url-filterd . Las direcciones IP configuradas como parte del archivo o de la lista de direcciones IP se programan como parte del filtro global, que se adjunta a todas las plantillas.

Puede definir una lista de permitidos global configurando white-list (IP-address-list | file-name) en la edit services web-filter profile profile-name security-intelligence-policy jerarquía. Puede definir una lista de bloqueo global configurando la black-list (IP-address-list | file-name) edit services web-filter profile profile-name security-intelligence-policy jerarquía. En este caso, , se IP-address-listrefiere al nombre de la lista de direcciones IP especificada en la [edit services web-filter] jerarquía. Se file-name refiere al nombre del archivo que contiene la lista de las direcciones IP que deben permitirse o bloquearse. El archivo debe estar en la ubicación /var/db/url-filterd y debe tener el mismo nombre que en la configuración.

El formato del archivo de la lista global de permitidos es el siguiente:

Security Intelligence Policy Enforcement Version 2.0

El formato del archivo de lista de bloqueo global es el siguiente:

Security Intelligence Policy Enforcement Version 2.0

El proceso de filtrado web analiza la lista de direcciones IP de la lista global de permitidos o de la lista global de bloqueos y programa los términos de filtro implícitos con las direcciones IP configuradas para permitir o bloquear los paquetes.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
19.3R2
A partir de la versión 19.3R2 de Junos OS, esta misma funcionalidad se admite para los servicios de próxima generación en MX240, MX480 y MX960.
19.3R2
A partir de la versión 19.3R2 de Junos OS, esta misma funcionalidad está disponible para los servicios de próxima generación en MX240, MX480 y MX960.
19.3R2
A partir de Junos OS versión 19.3R2, puede configurar el filtrado de DNS si ejecuta servicios de última generación con la tarjeta de servicios MX-SPC3. Los servicios de próxima generación son compatibles con los enrutadores MX240, MX480 y MX960.
19.3R2
A partir de la versión 19.3R2 de Junos OS con los servicios de próxima generación como una capacidad de seguridad en línea
19.3R1
A partir de la versión 19.3R1 de Junos OS, el proceso de filtrado web (filtrado de URL) admite el muestreo en línea de paquetes como una acción de nivel de amenaza
18.4R1
A partir de la versión 18.4R1 de Junos OS con los servicios adaptativos como capacidad de seguridad en línea
18.3R1
A partir de la versión 18.3R1 de Junos OS, para servicios adaptables. Configure el perfil en el [edit services web-filter] nivel jerárquico. Antes de Junos OS versión 18.3R1, configure el perfil en el nivel jerárquico [edit services url-filter] .
17.2R2
A partir de Junos OS versión 17.2R2 y 17.4R1, para los servicios adaptables, puede deshabilitar el filtrado del tráfico HTTP que contiene una dirección IP incrustada (por ejemplo, http:/10.1.1.1) que pertenece a un nombre de dominio no permitido en la base de datos de filtros URL.