Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filtrado web local

El filtrado web le permite administrar el uso de Internet impidiendo el acceso a contenido web inapropiado. Hay cuatro tipos de soluciones de filtrado web. Para obtener más información, consulte los temas siguientes:

Descripción del filtrado web local

El filtrado web local permite definir categorías de URL personalizadas, que se pueden incluir en listas de bloqueo y listas de permitidos que se evalúan en el firewall de la serie SRX. Se deniegan todas las URL de cada categoría de una lista de bloqueo, mientras que se permiten todas las URL de cada categoría de una lista de permitidos.

Con el filtrado web local, un firewall intercepta todas las solicitudes HTTP y HTTPS en una conexión TCP y extrae la URL. El dispositivo toma una decisión después de buscar una URL para determinar si está en la lista de permitidos o bloqueados en función de su categoría definida por el usuario. Primero se compara una URL con las URL de la lista de bloqueo. Si se encuentra una coincidencia, la solicitud se bloquea. Si no se encuentra ninguna coincidencia, la URL se compara con la lista de permitidos. Si se encuentra una coincidencia, se permite la solicitud. Si la URL no está en ninguna de las listas, se toma la categoría personalizada (bloquear, registrar y permitir o permitir). Si la URL no está en la categoría personalizada, se realiza la acción predeterminada definida (bloquear, registrar y permitir o permitir). Puede permitir o bloquear el acceso a un sitio solicitado vinculando un perfil de filtrado web a una directiva de firewall. El filtrado web local proporciona un filtrado web básico sin necesidad de una licencia adicional ni de un servidor de categorías externo.

Este tema contiene las siguientes secciones:

Proceso de filtrado web local

En la siguiente sección se describe cómo el módulo de filtrado Web intercepta el tráfico Web y cómo actúa sobre él.

  1. El dispositivo intercepta una conexión TCP.

  2. El dispositivo intercepta cada solicitud HTTP y HTTPS en la conexión TCP.

  3. El dispositivo extrae cada URL en la solicitud HTTP y HTTPS y verifica su URL con la lista de permitidos y la lista de bloqueo definidas por el usuario.

  4. Si la URL se encuentra en la lista de bloqueo, la solicitud no está permitida y se envía una página de denegación al cliente http o https. Si la URL se encuentra en la lista de permitidos, se permite la solicitud.

  5. Si la URL no se encuentra en la lista de permitidos o bloqueados, se aplica la acción de reserva predeterminada configurada. Si no se define ninguna acción de reserva, se permite la solicitud.

Categorías de URL personalizadas definidas por el usuario

Para realizar el filtrado web local, debe definir una lista de bloqueo y contenido de lista de permitidos que se pueda aplicar al perfil.

Al definir sus propias categorías de URL, puede agrupar URL y crear categorías específicas para sus necesidades. Cada categoría puede tener un máximo de 20 URL. Al crear una categoría, puede agregar la dirección URL o la dirección IP de un sitio. Cuando agrega una URL a una categoría definida por el usuario, el dispositivo realiza una búsqueda DNS, resuelve el nombre de host en direcciones IP y almacena en caché esta información. Cuando un usuario intenta acceder a un sitio con la dirección IP del sitio, el dispositivo comprueba la lista almacenada en caché de direcciones IP e intenta resolver el nombre de host. Muchos sitios tienen direcciones IP dinámicas, lo que significa que sus direcciones IP cambian periódicamente. Un usuario que intenta acceder a un sitio puede escribir una dirección IP que no está en la lista almacenada en caché del dispositivo. Por lo tanto, si conoce las direcciones IP de los sitios que está agregando a una categoría, ingrese tanto la URL como las direcciones IP del sitio.

Puede definir sus propias categorías mediante la lista de patrones de URL y los objetos personalizados de lista de categorías de URL. Una vez definidas, asigna las categorías a las categorías globales url-defined url-blocklist (block) o url-allowlist (permit).

El filtrado web se realiza en todos los métodos definidos en HTTP 1.0 y HTTP 1.1.

Perfiles de filtrado web local

Los perfiles de filtrado web se configuran para permitir o bloquear direcciones URL según las categorías personalizadas definidas. Un perfil de filtrado web consta de un grupo de categorías de URL asignadas a una de las siguientes acciones:

  • Lista de bloqueo: el dispositivo siempre bloquea el acceso a los sitios web de esta lista. Sólo las categorías definidas por el usuario se utilizan con el filtrado web local.

  • Lista de permitidos — El dispositivo siempre permite el acceso a los sitios web de esta lista. Sólo las categorías definidas por el usuario se utilizan con el filtrado web local.

Un perfil de filtrado web puede contener una lista de bloqueo o una lista de permitidos con varias categorías definidas por el usuario, cada una con una acción de permiso o bloqueo. Puede definir una acción de reserva predeterminada cuando la URL entrante no pertenece a ninguna de las categorías definidas en el perfil. Si la acción para la categoría predeterminada es bloquear, la URL entrante se bloquea si no coincide con ninguna de las categorías definidas explícitamente en el perfil. Si no se especifica una acción para la acción predeterminada, la acción predeterminada de permitir se aplica a la URL entrante que no coincide con ninguna categoría.

A partir de Junos OS versión 17.4R1, se admite la configuración de categorías personalizadas para el filtrado web local. La custom-message opción también se admite en una categoría para filtrado web local y perfiles de redireccionamiento de Websense. Los usuarios pueden crear varias listas de URL (categorías personalizadas) y aplicarlas a un perfil de filtrado web de Content Security con acciones como permitir, permitir y registrar, bloquear y poner en cuarentena. Para crear una lista global de permitidos o bloqueados, aplique un perfil de filtrado web local a una política de seguridad de contenido y adjúntelo a una regla global.

Mensajes de usuario y URL de redireccionamiento para filtrado web

A partir de Junos OS versión 17.4R1, se agrega una nueva opción, , custom-messagepara la custom-objects instrucción que permite configurar mensajes de usuario y URL de redireccionamiento para notificar a los usuarios cuando una URL está bloqueada o en cuarentena para cada categoría de EWF. La custom-message opción tiene los siguientes atributos obligatorios:

  • Nombre: nombre del mensaje personalizado; la longitud máxima es de 59 caracteres ASCII.

  • Tipo: Tipo de mensaje personalizado: user-message o redirect-url.

  • Contenido: contenido del mensaje personalizado; la longitud máxima es de 1024 caracteres ASCII.

Configure un mensaje de usuario o una URL de redirección como un objeto personalizado y asigne el objeto personalizado a una categoría EWF.

  • Los mensajes de usuario indican que la directiva de acceso de una organización ha bloqueado el acceso al sitio web. Para configurar un mensaje de usuario, incluya la type user-message content message-text instrucción en el nivel de [edit security utm custom-objects custom-message message] jerarquía.

  • Las URL de redireccionamiento redirigen una URL bloqueada o en cuarentena a una URL definida por el usuario. Para configurar una dirección URL de redireccionamiento, incluya la type redirect-url content redirect-url instrucción en el nivel jerárquico [edit security utm custom-objects custom-message message] .

La custom-message opción ofrece las siguientes ventajas:

  • Puede configurar un mensaje personalizado independiente o una URL de redirección para cada categoría de EWF.

  • La custom-message opción le permite ajustar los mensajes para admitir sus políticas y saber qué URL está bloqueada o en cuarentena.

Prioridad de coincidencia de perfiles

Cuando un perfil emplea varias categorías para la coincidencia de URL, esas categorías se comprueban en busca de coincidencias en el siguiente orden:

  1. Si está presente, primero se comprueba la lista de bloqueo global. Si se realiza una coincidencia, la URL se bloquea. Si no se encuentra ninguna coincidencia...

  2. A continuación, se comprueba la lista global de permitidos. Si se realiza una coincidencia, se permite la dirección URL. Si no se encuentra ninguna coincidencia...

  3. A continuación, se marcan las categorías definidas por el usuario. Si se realiza una coincidencia, la URL se bloquea o se permite según lo especificado.

Ejemplo: configuración del filtrado web local

En este ejemplo se muestra cómo configurar el filtrado web local para administrar el acceso al sitio web.

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • SRX1500 dispositivo

  • Junos OS versión 12.1X46-D10 o posterior

Antes de comenzar, obtenga más información sobre el filtrado web. Consulte Información general sobre el filtrado web.

Visión general

En este ejemplo, se configuran objetos personalizados de filtrado web local, perfiles de características de filtrado web local y directivas de seguridad de contenido de filtrado web local. También puede adjuntar directivas de seguridad de contenido de filtrado Web local a directivas de seguridad. En la tabla 1 se muestra información sobre el tipo, los pasos y los parámetros de configuración del filtrado web local que se usan en este ejemplo.

Tabla 1: Tipo de configuración, pasos y parámetros del filtrado web local

Tipo de configuración

Pasos de configuración

Parámetros de configuración

URL pattern and custom objects

Configure una lista de patrones de URL de direcciones URL o direcciones que desea omitir.

Cree un objeto personalizado llamado urllis1 que contenga el patrón [http://www.example1.net 192.0.2.0]

Cree un objeto personalizado denominado urllist2 que contenga el patrón [http://www.example2.net 192.0.2.3]

Cree un objeto personalizado denominado urllist3 que contenga el patrón [http://www.example3.net 192.0.2.9]

Cree un objeto personalizado denominado urllist4 que contenga el patrón [http://www.example4.net 192.0.2.8]

  • [http://www.example1.net 192.0.2.0]

  • [http://www.example2.net 192.0.2.3]

  • [http://www.example3.net 192.0.2.9]

  • [http://www.example4.net 192.0.2.8]

  • value urllist3

  • value urllist4

Los objetos personalizados urllist1 y urllist2 se agregan a las categorías de URL personalizadas cust-blocklist y cust-permit-list respectivamente.

  • value urllist1

  • value urllist2

Feature profiles

Configure el perfil de característica de filtrado web:

 
  • Establezca la categoría de filtrado de lista de bloqueo de URL en custurl4 y la categoría de filtrado de lista de permitidos de URL en custurl3. Establezca el tipo de motor de filtrado web en juniper-local.

  • custurl3

  • custurl4

  • type juniper-local

  • Cree un nombre de perfil juniper-local denominado localprofile1. Seleccione una acción predeterminada (permitir, registrar y permitir, bloquear) para este perfil para las solicitudes que experimentan errores. En este ejemplo se establece la acción predeterminada en permitir. Agregue la categoría cust-permit-list con acción de registro y permiso y cus-blocklist con acción de bloqueo.

  • localprofile1

  • Action: block

  • Action: log-and-permit

  • cust-black-list

  • cust-permit-list

  • Defina la URL de redireccionamiento. Escriba un mensaje personalizado para enviarlo cuando se bloqueen las solicitudes HTTP y HTTPS.

  • Seleccione la configuración de reserva (bloquear o registrar y permitir) para este perfil, en caso de que se produzcan errores en cada categoría configurada. En este ejemplo se establece la configuración de reserva para bloquear.

  • block-message type custom-redirect-url

  • block-message url 192.0.2.10

  • custom-block-message “**Access to this site is not permitted**”.

  • fallback-settings:

    • block

    • log-and-permit

Content Security policies

Cree la política utmp5 de seguridad de contenido y adjúntela al perfil localprofile1. En el ejemplo de configuración final, adjunte la política de seguridad de contenido a la política utmp5 p5de seguridad.

  • utm policy utmp5

  • policy p5

Configuración

Configuración de objetos personalizados y patrones de URL de filtrado web local

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

A partir de Junos OS versión 15.1X49-D110, el "* " en una sintaxis comodín, utilizada para el perfil de filtrado web de patrón de URL, coincide con todos los subdominios. Por ejemplo, *.example.net coincide:

  • http://a.example.net

  • http://example.net

  • aaa.example.net

Procedimiento paso a paso

Para configurar el filtrado web local mediante la CLI:

  1. Configure un objeto personalizado de lista de patrones de dirección URL creando el nombre de lista y agregándole valores de la siguiente manera:

    Nota:

    Dado que utiliza listas de patrones de URL para crear listas de categorías de URL personalizadas, debe configurar objetos personalizados de lista de patrones de URL antes de configurar listas de categorías de URL personalizadas.

    Nota:
    • La directriz para usar un comodín de patrón de URL es la siguiente: Use \ *\.[] \?* y precede a todas las URL comodín con http://. Puede usar "*" solo si está al principio de la URL y va seguido de ".". Puede usar "?" solo al final de la URL.

    • Se admiten las siguientes sintaxis comodín: http://*. example.net, http://www.example.ne?, http://www.example.n??. No se admiten las siguientes sintaxis comodín: *.example.???, http://*example.net, http://?.

  2. Aplicar el patrón de URL a una categoría de URL personalizada.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo el show security utm custom-objects comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Aplicar objetos personalizados a los perfiles de entidad

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar perfiles de características de filtrado web local:
  1. Cree un nombre de perfil y seleccione una categoría de las categorías de permisos y listas de bloqueo incluidas. La acción de categoría personalizada podría ser bloquear, permitir, registrar y permitir y cuarentena.

  2. Defina un servidor de URL de redireccionamiento para que, en lugar de que el dispositivo envíe una página de bloqueo con HTML de texto sin formato, el dispositivo envíe una redirección HTTP 302 a este servidor de redirección con variables especiales incrustadas en el campo de ubicación de redirección HTTP. Estas variables especiales son analizadas por el servidor de redireccionamiento y sirven como una página de bloque especial para el cliente con imágenes y un formato de texto claro.

  3. Escriba un mensaje personalizado para enviarlo cuando se bloqueen las solicitudes HTTP o HTTPS.

  4. Especifique una acción predeterminada (permitir, registrar y permitir, bloquear o poner en cuarentena) para el perfil, cuando no coincida ninguna otra acción configurada explícitamente (lista de bloqueo, lista de permitidos, categoría personalizada, acciones de categoría predefinidas o acciones de reputación del sitio).

  5. Configure las opciones de reserva (bloquear o registrar y permitir) para este perfil.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo el show security utm feature-profile comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Adjuntar directivas de seguridad de contenido de filtrado web a directivas de seguridad

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para configurar una política de seguridad de contenido:

  1. Cree la política de seguridad de contenido que haga referencia a un perfil. Aplique el perfil de filtrado web a la directiva de seguridad de contenido.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo el show security utm comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Para abreviar, este resultado del comando show solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración en el sistema ha sido reemplazada por puntos suspensivos (...).

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Adjuntar directivas de seguridad de contenido de filtrado web local a directivas de seguridad

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para adjuntar una política de seguridad de contenido a una política de seguridad:

  1. Crear y configurar la directiva de seguridad.

  2. Aplique la política de seguridad de contenido a la política de seguridad.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo el show security policies comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice la siguiente tarea:

Verificación de las estadísticas del filtrado web de seguridad de contenido

Propósito

Compruebe las estadísticas de filtrado web para las conexiones, incluidas las aciertos de lista de permitidos y de lista de bloqueo y los aciertos de categorías personalizadas.

Acción

Desde el modo operativo, ingrese el show security utm web-filtering statistics comando.

Salida de muestra
nombre-comando
Tabla de historial de versiones
Lanzamiento
Descripción
17.4R1
A partir de Junos OS versión 17.4R1, se admite la configuración de categorías personalizadas para el filtrado web local. La custom-message opción también se admite en una categoría para filtrado web local y perfiles de redireccionamiento de Websense. Los usuarios pueden crear varias listas de URL (categorías personalizadas) y aplicarlas a un perfil de filtrado web de Content Security con acciones como permitir, permitir y registrar, bloquear y poner en cuarentena. Para crear una lista global de permitidos o bloqueados, aplique un perfil de filtrado web local a una política de seguridad de contenido y adjúntelo a una regla global.
17.4R1
A partir de Junos OS versión 17.4R1, se agrega una nueva opción, , custom-messagepara la custom-objects instrucción que permite configurar mensajes de usuario y URL de redireccionamiento para notificar a los usuarios cuando una URL está bloqueada o en cuarentena para cada categoría de EWF.
15,1 X 49-D110
A partir de Junos OS versión 15.1X49-D110, el " * " en una sintaxis comodín, utilizada para el perfil de filtrado web de patrón de URL, coincide con todos los subdominios.