Información general sobre el filtrado web
El filtrado web le permite administrar el uso de Internet impidiendo el acceso a contenido web inapropiado. Hay tres tipos de soluciones de filtrado web:
Filtrado web de redireccionamiento: la solución de filtrado web de redireccionamiento intercepta las solicitudes HTTP y HTTPS y las envía a un servidor de filtrado de URL externo, proporcionado por Websense, para determinar si se deben bloquear las solicitudes.
El filtrado web de redireccionamiento no requiere una licencia.
Filtrado web local: la solución de filtrado web local intercepta todas las solicitudes HTTP y HTTPS en una conexión TCP. En este caso, la toma de decisiones se realiza en el dispositivo después de buscar una URL para determinar si está en la lista de permitidos o en la lista de bloqueo en función de su categoría definida por el usuario.
El filtrado web local no requiere una licencia ni un servidor de categorías remoto.
Filtrado web mejorado: la solución de filtrado web mejorada intercepta las solicitudes HTTP y HTTPS y envía la URL HTTP o la IP de origen HTTPS a Websense ThreatSeeker Cloud (TSC). El TSC clasifica la URL en una de las 151 o más categorías que están predefinidas y también proporciona información de reputación del sitio. El TSC devuelve además la categoría de URL y la información de reputación del sitio al dispositivo. El dispositivo determina si puede permitir o bloquear la solicitud en función de la información proporcionada por el TSC.
A partir de Junos OS versión 17.4R1, la redirección de Websense admite el tráfico IPv6.
A partir de Junos OS versión 22.2R1, el filtrado web utiliza compatibilidad con JDPI-Decoder para procesar los datos de la aplicación. JDPI-Decoder requiere licencia APPID. Para utilizar el filtrado web local sin licencia APPID, puede utilizar el set security utm default-configuration web-filtering performance-mode comando, que deshabilita el descodificador JDPI y habilita el descodificador WF. Este comando requiere un reinicio del sistema.
Puede enlazar perfiles de filtrado web o perfiles de antivirus, o ambos, a una directiva de firewall. Cuando ambos están enlazados a una directiva de firewall, primero se aplica el filtrado web y, a continuación, el antivirus. Si el filtrado web bloquea una dirección URL, la conexión TCP se cierra y no es necesario analizar ningún antivirus. Si se permite una URL, el contenido de la transacción se pasa al proceso de análisis del antivirus.
El filtrado web se aplica mediante el número de puerto TCP.
El filtrado web admite el protocolo HTTPS. La solución de filtrado web utiliza la dirección IP del paquete HTTPS para tomar decisiones de lista de bloqueo, lista de permitidos, permisos o bloqueo.
Durante una decisión de bloqueo, la solución de filtrado web no genera una página de bloqueo porque el texto sin cifrar no está disponible para una sesión HTTPS. Sin embargo, la solución finaliza la sesión y envía restablecimientos al cliente y al servidor para las sesiones HTTPS bloqueadas.
La configuración de filtrado web para HTTP también es aplicable para las sesiones HTTPS.
El comando CLI de límite de sesiones por cliente , que impone una limitación de sesión para evitar que un usuario malintencionado genere grandes cantidades de tráfico simultáneamente, no admite el filtrado web.
A partir de Junos OS versión 15.1X49-D100, el tráfico de paso a través de IPv6 para los protocolos HTTP, HTTPS, FTP, SMTP, POP3 e IMAP es compatible con el filtrado web y las funciones de seguridad de filtrado de contenido de Content Security.
Compatibilidad con indicación de nombre de servidor (SNI)
SNI es una extensión del protocolo SSL/TLS para indicar con qué nombre de servidor está contactando el cliente a través de una conexión HTTPS. SNI inserta el nombre de host real del servidor de destino en el mensaje "Client Hello" en formato de texto sin cifrar antes de que se complete el protocolo de enlace SSL. El filtrado web incluye información de SNI en la consulta. En esta implementación, el SNI incluye solo el nombre del servidor y no la URL completa del servidor. La compatibilidad con SNI mejora la característica de filtrado web, ya que usar solo la dirección IP de destino en la consulta podría dar lugar a resultados inexactos, ya que varios servidores HTTP pueden compartir la misma dirección IP de host.
Con soporte SNI, el filtrado web analiza el primer paquete del tráfico HTTPS como un mensaje "Client Hello" y extrae el nombre del servidor de la extensión SNI, y usa el nombre del servidor junto con la dirección IP de destino para mantener / ejecutar la consulta. Si este paquete no tiene extensión SNI o si se encuentra un error durante el análisis, el filtrado web vuelve a usar solo la dirección IP de destino.
En el filtrado web (EWF), si la sesión HTTPS con proxy de reenvío SSL está habilitada, se obtiene la indicación de nombre de servidor (SNI) antes del filtrado web y se usa para la consulta previa a la comprobación, la reputación del sitio y la categoría en respuesta. Si la memoria caché está habilitada, estas respuestas rellenan la memoria caché sin ninguna acción. EWF extrae la ruta completa y comprueba si hay una memoria caché. Si la ruta completa de la caché no coincide, el EWF envía una consulta.
La funcionalidad SNI está habilitada de forma predeterminada para todos los tipos de filtrado web y, por lo tanto, no se requiere ninguna configuración adicional mediante la CLI.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.