Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filtrado de contenido

El filtrado de contenido proporciona una funcionalidad básica de prevención de pérdida de datos. El tráfico de filtros de contenido se basa en el tipo MIME, la extensión de archivo y los comandos de protocolo. También puede usar el módulo de filtro de contenido para bloquear ActiveX, Java Applets y otros tipos de contenido. El filtrado de contenido no requiere una licencia independiente. Para obtener más información, consulte los temas siguientes:

Descripción general del filtrado de contenido

Filtrado de contenido basado en el tipo de archivo

Anteriormente, el filtrado de contenido se realizaba para bloquear o permitir ciertos tipos de tráfico según el tipo MIME, la extensión de archivo y el comando de protocolo. El filtro de contenido controla las transferencias de archivos a través de la puerta de enlace mediante la comprobación del tráfico en listas de filtros configuradas. Este tipo de evaluación basada en el tipo de archivo solo se admite en versiones de Junos OS anteriores a junos OS versión 21.4R1.

A partir de Junos OS versión 21.4R1, la evaluación del contenido se realiza en función del contenido del archivo. La evaluación del contenido basada en tipos de archivo está en desuso y las configuraciones relacionadas se ocultan.

Puede usar la funcionalidad heredada si no desea migrar a una funcionalidad de filtrado de contenido mejorada. Se le permitirá usar las configuraciones heredadas, pero todas las perillas de configuración heredadas están en desuso y ocultan. Además, recibirá registros del sistema y advertencias de mensaje de error cuando utilice las opciones de configuración heredadas.

En este tipo de evaluación, el módulo de filtro de contenido evalúa el tráfico antes que todos los demás módulos de seguridad de contenido, excepto el filtrado web. Por lo tanto, si el tráfico cumple con los criterios configurados en el content-filter, el content-filter actúa primero sobre este tráfico.

Puede configurar los siguientes tipos de filtros de contenido:

  • Filtro de patrón MIME: los patrones MIME se utilizan para identificar el tipo de tráfico en los protocolos HTTP y MAIL. Hay dos listas de patrones MIME que utiliza el filtro de contenido para determinar la acción que se va a realizar. La lista MIME bloqueada contiene una lista de tráfico de tipo MIME que debe bloquear el filtro de contenido. La lista de excepciones MIME contiene patrones MIME que no deben ser bloqueados por el filtro de contenido y generalmente son subconjuntos de elementos en la lista de bloqueo. Tenga en cuenta que la lista de excepciones tiene una prioridad más alta que la lista de bloqueo. Si tiene entradas MIME que aparecen en ambas listas, el filtro de contenido no bloquea esos tipos MIME, ya que la lista de excepciones tiene prioridad. Por lo tanto, al agregar elementos a la lista de excepciones, es de su ventaja ser específico.

  • Lista de extensiones de bloque: dado que el nombre de un archivo está disponible durante las transferencias de archivos, usar extensiones de archivo es una forma muy práctica de bloquear o permitir transferencias de archivos. La lista de filtros de contenido contiene una lista de extensiones de archivo que se deben bloquear. Todos los protocolos admiten el uso de la lista de extensiones de bloque.

  • Listas de permisos y bloques de comandos de protocolo: diferentes protocolos usan comandos diferentes para comunicarse entre servidores y clientes. Al bloquear o permitir ciertos comandos, el tráfico se puede controlar en el nivel de comando de protocolo.

    Las listas de comandos de bloque y permiso están pensadas para usarse en combinación, con la lista de permisos actuando como una lista de excepción a la lista de bloqueos.

    Si aparece un comando de protocolo en la lista de permisos y en la lista de bloqueo, ese comando se permite.

    A partir de Junos OS versión 15.1X49-D100, el tráfico de paso IPv6 para los protocolos HTTP, FTP, SMTP, POP3, IMAP se admite para el filtrado web y las características de seguridad de filtrado de contenido de Content Security.

Dado que no todos los archivos o componentes dañinos se pueden controlar por el tipo MIME o por la extensión de archivo, también puede usar el módulo de filtro de contenido para bloquear ActiveX, Applets Java y otros tipos de contenido. Solo se admiten los siguientes tipos de bloqueo de contenido para HTTP:

  • Bloquee ActiveX

  • Bloquee applets Java

  • Bloquear cookies

  • Bloquear archivos EXE

  • Bloquear archivos ZIP

Filtrado de contenido basado en el contenido de archivos

El filtrado de contenido se realizaba anteriormente en función del tipo de archivo, mime-type, content-type y comando de protocolo. La detección de archivos mediante el tipo MIME, filtros de comando de protocolo o filtros de extensión de archivo no siempre es confiable. La forma más fácil de identificar un tipo de archivo es por extensiones de nombre de archivo, pero no es auténtica, ya que cualquier extensión se puede dar a cualquier tipo de archivo.

A partir de Junos OS versión 21.4R1, Content Security realiza el filtrado de contenido para determinar el tipo de archivo en función del contenido del archivo y no en las extensiones de archivo. El contenido del archivo se analiza primero para determinar con precisión el tipo de archivo. Esta función complementa la identificación de aplicaciones (App ID) y le permite configurar el firewall para identificar y controlar el acceso al tráfico Web (HTTP y HTTPS) y proteger su red de ataques. Cuando el ID de aplicación confirma la coincidencia final de la aplicación, se tiene en cuenta la política de Seguridad de contenido correspondiente para el filtrado de contenido.

Content Filtering Based on File Content

El filtrado de contenido basado en el contenido del archivo se realiza de la siguiente manera:

  • Identificación de archivo: Para cada tipo de archivo, hay reglas definidas para examinar el contenido y determinar el tipo de archivo. El proceso de seguridad de contenido usa el contenido del archivo y lo hace coincidir con las reglas definidas para determinar el tipo de archivo.

  • Defina reglas de filtrado de contenido para la dirección del tráfico: el proceso seguridad de contenido lee la configuración de la CLI, analiza e interpreta conjuntos de reglas y reglas. Puede definir las reglas de filtrado de contenido y hacer cumplir las reglas para dirigir el tráfico.

    Las configuraciones de conjunto de reglas y reglas se agregan en el [edit security utm utm-policy <utm-policy-name> content-filtering] nivel de jerarquía.

    Puede configurar la opción de restablecimiento de conexión en la regla de filtro de contenido. Cuando se detecta el contenido de la lista de la regla, los controladores de protocolo realizan el restablecimiento de la conexión TCP con el cliente y el servidor exactamente como está configurado en la política.

    Nota:

    No se admiten opciones de filtrado de contenido basadas en comando de mime, tipo de contenido y protocolo. Después de actualizar a Junos OS versión 21.4R1, no se admiten las opciones de filtrado de contenido basado en extensiones [edit security utm utm-policy <utm-policy-name> content-filtering] de archivo existentes anteriormente en las jerarquías y [edt security utm feature-profile content-filtering profile <profile-name>.

  • Utilice las reglas y conjuntos de reglas definidos para el filtrado de contenido: puede usar las reglas y conjuntos de reglas definidos anteriormente desde la [edit security utm default-configuration content-filtering jerarquía. Estas reglas y el conjunto de reglas le permiten configurar filtros de contenido de dirección específicos y restablecer la conexión.
  • Selección de la política de seguridad de contenido para el filtrado de contenido: una vez que el ID de aplicación confirma la coincidencia final de la aplicación, se elige para su procesamiento la posible política de Seguridad de contenido correspondiente en la que se definen las reglas de filtrado de contenido.

    Para cada política de seguridad de contenido, se crea una cadena con una lista de nodos de conjunto de reglas y todas las reglas configuradas bajo un conjunto de reglas se agregan a una lista y, luego, se adjuntan al nodo de conjunto de reglas respectivo.

    Después de pasar todas las comprobaciones, se asigna un ID único para cada conjunto de reglas y reglas configuradas para conservar y organizar la información respectiva en la memoria local. Este almacenamiento en la memoria local es necesario para realizar un seguimiento de los cambios de configuración que realice y para sincronizar las actualizaciones.

  • Verificación: utilice los siguientes comandos para ver las estadísticas y errores del sistema de filtrado de contenido.

    • Para mostrar estadísticas de filtrado de contenido en una política dentro del sistema lógico raíz, utilice los show security utm content-filtering statistics utm policy <utm policy name> comandos y show security utm content-filtering statistics root-logical-system utm-policy <utm policy name> .

    • Para mostrar estadísticas de filtrado de contenido en una política dentro de un sistema lógico especificado, utilice el show security utm content-filtering statistics logical-system <logical-system-name> utm-policy <utm policy name> comando.

Si migra a esta nueva función y si hay opciones heredadas en sus configuraciones, recibirá los siguientes mensajes de error y se producirá un error de confirmación.

Las funciones en desuso no pueden combinarse con filtrado de contenido mejorado (regla/regla)\n"); Quitar la configuración marcada como en desuso para avanzar (Para más detalles: mostrar seguridad utm)\n")

Puede usar la funcionalidad de filtrado de contenido heredado si no desea migrar a la función de filtrado de contenido mejorado. Las opciones de configuración heredadas están en desuso y están ocultas. Recibirá el siguiente mensaje de error cuando utilice las opciones de legado en desuso.

ERRMSG ("La configuración \'%s\' está en desuso", "seguridad utm utm-policy <> content-filtering http-profile")

Ventajas

  • Proporciona acceso web seguro y protege su red de ataques mediante el uso de tipos de archivo detectados con precisión en las reglas de filtrado de contenido.

  • Controla el tráfico que atraviesa su red y aplica las reglas de filtrado de contenido según la dirección del tráfico.

  • Se han mejorado los mensajes de registro para incluir la identidad de usuario y de origen, el ID de sesión y la información de dirección de paquete.

A partir de Junos OS versión 22.4R1, el módulo de filtrado de contenido de Content Security se integra con el analizador JDPI y los contextos JDPI se utilizan para invocar las funcionalidades de filtrado de contenido.

Contenido Seguridad: se agregan complementos de flujo y paquetes de filtrado de contenido para manejar el tráfico sin formato.

Mientras se toman acciones para protocolos de correo, se elimina la dependencia del proxy TCP. notify-mail-sender La compatibilidad con la configuración de CLI se elimina para los protocolos de correo.

Descripción de la compatibilidad del protocolo de filtrado de contenido

Cada protocolo compatible puede implementar filtros de contenido disponibles de manera diferente. No todas las capacidades de filtrado son compatibles con cada protocolo. Este tema contiene las siguientes secciones:

Soporte de HTTP

El protocolo HTTP admite todas las funciones de filtrado de contenido. Con HTTP, el filtro de contenido permanece en la puerta de enlace, comprobando cada solicitud y respuesta entre el cliente y el servidor HTTP.

Si se pierde una solicitud HTTP debido al filtrado de contenido, el cliente recibe una respuesta como:

Por lo tanto, puede aparecer un mensaje como sigue:

Soporte de FTP

El protocolo FTP no admite todas las funciones de filtrado de contenido. Solo admite lo siguiente: Bloquear lista de extensiones y lista de bloqueo de comandos de protocolo.

Cuando el filtrado de contenido bloquea una solicitud FTP, se envía la siguiente respuesta a través del canal de control:

Por lo tanto, puede aparecer un mensaje como sigue:

Soporte de correo electrónico

Los protocolos de correo electrónico (SMTP, IMAP, POP3) son compatibles con filtrado de contenido limitado para las siguientes características: Lista de extensiones de bloque de bloques de bloque de bloque de protocolo, comando de protocolo y filtrado de patrones MIME. El soporte está limitado para los protocolos de correo electrónico por las siguientes razones:

  • El filtro de contenido analiza solo un nivel de un encabezado de correo electrónico. Por lo tanto, los encabezados de correo electrónico recursivos y los datos adjuntos cifrados no se analizan.

  • Si todo un correo electrónico está codificado con MIME, el filtro de contenido solo puede buscar el tipo MIME.

  • Si cualquier parte de un correo electrónico se bloquea debido al filtrado de contenido, el correo electrónico original se pierde y se sustituye por un archivo de texto con una explicación de por qué se bloqueó el correo electrónico.

A partir de Junos OS versión 19.4R1, la función de filtrado de contenido y antivirus admite SMTPS, IMAPS y el protocolo POP3S implícitos y explícitos, y solo admite FTPS en modo pasivo explícito.

Modo implícito: conéctese al puerto cifrado SSL/TLS mediante un canal seguro.

Modo explícito: primero conéctese a un canal no seguro y, luego, proteja la comunicación mediante la emisión del comando STARTTLS. Para POP3S, use el comando STLS.

Especificación de protocolos de filtrado de contenido (procedimiento de CLI)

Para configurar los protocolos de filtrado de contenido, utilice las siguientes instrucciones de configuración de CLI:

Descripción general de la configuración de filtrado de contenido

Un filtro de seguridad de contenido bloquea o permite cierto tipo de base de tráfico en el tipo mime, extensión de archivo, comandos de protocolo y tipo de objeto incrustado. El filtro de contenido controla las transferencias de archivos a través de la puerta de enlace mediante la comprobación del tráfico en listas de filtros configuradas. El módulo de filtrado de contenido evalúa el tráfico antes que todos los demás módulos de seguridad de contenido, si el tráfico cumple con los criterios configurados en el filtro de contenido, el filtro de contenido actúa primero sobre este tráfico. El siguiente procedimiento enumera el orden recomendado en el que debe configurar los filtros de contenido:

  1. Configure los objetos personalizados de Seguridad de contenido para la función. Vea ejemplo: Configurar objetos personalizados de filtrado de contenido.
  2. Configure los parámetros de las funciones principales mediante perfiles de entidad. Consulte Ejemplo: Configurar perfiles de características de filtrado de contenido .
  3. Configure una política de seguridad de contenido para cada protocolo y adjunte esta política a un perfil. Vea ejemplo: Configurar políticas de seguridad de contenido para filtrar contenido.
  4. Adjunte la política de seguridad de contenido a una política de seguridad. Vea ejemplo: Adjuntar políticas de seguridad de filtrado de contenido a políticas de seguridad.

Ejemplo: Configurar objetos personalizados de filtrado de contenido

En este ejemplo, se muestra cómo configurar objetos personalizados de filtrado de contenido.

Requisitos

Antes de empezar:

  1. Decida el tipo de filtro de contenido que necesita. Consulte Descripción general del filtrado de contenido.

  2. Comprenda el orden en que se configuran los parámetros de filtrado de contenido. Consulte Descripción general de la configuración del filtrado de contenido.

Visión general

En este ejemplo, se definen objetos personalizados que se utilizan para crear perfiles de filtrado de contenido. Realice las siguientes tareas para definir objetos personalizados:

  1. Cree dos listas de comandos de protocolo llamadas ftpprotocom1 y ftpprotocom2, y agregue comandos de usuario, pass, puerto y tipo a ella.

  2. Cree una lista de extensiones de nombre de archivo llamada extlist2 y agregue las extensiones .zip, .js y .vbs a ella.

  3. Defina la llamada cfmime1 de la lista de mime bloque y agregue patrones a la lista.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar objetos personalizados de filtrado de contenido:

  1. Cree dos listas de comandos de protocolo.

  2. Agregue comandos de protocolo a la lista.

  3. Cree una lista de extensiones de nombre de archivo.

  4. Agregue extensiones a la lista.

  5. Cree listas de análisis antivirus.

  6. Agregue patrones a las listas.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security utm configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Verificar el filtrado de contenido de objetos personalizados

Propósito

Compruebe el filtrado de contenido de los objetos personalizados.

Acción

Desde el modo operativo, ingrese el show configuration security utm comando.

Ejemplo: Configurar políticas de seguridad de contenido de filtrado de contenido

En este ejemplo se describe cómo crear una política de seguridad de contenido de filtrado de contenido para adjuntar a su perfil de entidad.

Requisitos

Antes de empezar:

  1. Decida el tipo de filtro de contenido que necesita. Consulte Descripción general del filtrado de contenido.

  2. Configure los objetos personalizados de Content Security para cada función y defina el perfil de filtrado de contenido. Consulte Descripción general de la configuración del filtrado de contenido.

Visión general

Puede configurar las políticas de seguridad de contenido para aplicar de forma selectiva varias soluciones de seguridad de contenido en el tráfico de red que pasa a través de un dispositivo habilitado para Seguridad de contenido. Mediante perfiles de entidad, asocia objetos personalizados a estas políticas y especifica bloquear o permitir ciertos tipos de tráfico.

En este ejemplo, configure una directiva de seguridad de contenido denominada utmp4 y, a continuación, asigne el confilter1 del perfil de entidad preconfigurado a esta política.

Configuración

Procedimiento

Procedimiento paso a paso

Para configurar una política de seguridad de contenido de filtrado de contenido:

Puede configurar diferentes aplicaciones de protocolo en la política de seguridad de contenido. El ejemplo solo muestra HTTP y no otros protocolos. Anteriormente configuró objetos personalizados para FTP (ftpprotocom1 y ftpprotocom2). A continuación, debe agregar una política de filtro de contenido para FTP, por ejemplo:

set security utm utm-policy utmp4 content-filtering ftp upload-profile confilter1

set security utm utm-policy utmp4 content-filtering ftp download-profile confilter1

  1. Cree una política de seguridad de contenido.

  2. Adjunte la política de seguridad de contenido al perfil.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Verificar la configuración de seguridad de contenido

Propósito

Para comprobar que la configuración de seguridad de Content Security funciona correctamente.

Acción

Desde el modo operativo, ingrese el show security utm comando.

Ejemplo: Adjuntar políticas de seguridad de filtrado de contenido a políticas de seguridad

En este ejemplo, se muestra cómo crear una política de seguridad y adjuntar la política de seguridad de contenido a la política de seguridad.

Requisitos

Antes de empezar:

  1. Configure los objetos personalizados de Content Security, defina el perfil de filtrado de contenido y cree una política de seguridad de contenido. Consulte Descripción general de la configuración del filtrado de contenido.

  2. Habilite y configure una política de seguridad. Vea ejemplo: Configurar una política de seguridad para permitir o denegar todo el tráfico.

Visión general

Al adjuntar políticas de seguridad de contenido de filtrado de contenido a las políticas de seguridad, puede filtrar el tráfico que transita de una zona de seguridad a otra.

En este ejemplo, se crea una política de seguridad denominada p4 y se especifica que el tráfico desde cualquier dirección de origen a cualquier dirección de destino con una aplicación HTTP coincide con los criterios. A continuación, asigne una política de seguridad de contenido llamada utmp4 a la política de seguridad p4. Esta política de seguridad de contenido se aplica a cualquier tráfico que coincida con los criterios especificados en la política de seguridad p4.

Configuración

Procedimiento

Configuración rápida de CLI

Para adjuntar rápidamente una política de seguridad de contenido de filtrado de contenido a una política de seguridad, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel jerárquico y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para adjuntar una política de seguridad de contenido a una política de seguridad:

  1. Cree una política de seguridad.

  2. Especifique las condiciones de coincidencia para la política.

  3. Adjunte la política de seguridad de contenido a la política de seguridad.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Verificar adjuntar políticas de seguridad de filtrado de contenido a políticas de seguridad

Propósito

Compruebe los datos adjuntos de la política de seguridad de contenido de filtrado de contenido a la política de seguridad.

Acción

Desde el modo operativo, ingrese el show security policy comando.

Monitoreo de configuraciones de filtrado de contenido

Propósito

Vea estadísticas de filtrado de contenido.

Acción

Para ver las estadísticas de filtrado de contenido en la CLI, ingrese el user@host > show security utm content-filtering statistics comando.

El comando de filtrado de show statistics contenido muestra la siguiente información:

Para ver estadísticas de filtrado de contenido mediante J-Web:

  1. Seleccione Borrar estadísticas de filtrado de contenidoMonitor>Seguridad>UTM> Monitor de filtrado de contenido>Seguridad>UTM> Filtrado de contenido.

    Las siguientes estadísticas se pueden ver en el panel de la derecha.

  2. Puede hacer clic en Borrar estadísticas de filtrado de contenido para borrar todas las estadísticas visualizables actuales y comenzar a recopilar estadísticas nuevas.

Tabla de historial de versiones
Lanzamiento
Descripción
15.1X49-D100
A partir de Junos OS versión 15.1X49-D100, el tráfico de paso IPv6 para los protocolos HTTP, FTP, SMTP, POP3, IMAP se admite para el filtrado web y las características de seguridad de filtrado de contenido de Content Security.