Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filtrado web local

El filtrado web le permite administrar el uso de Internet mediante la prevención del acceso a contenido web inapropiado. Hay cuatro tipos de soluciones de filtrado web. Para obtener más información, consulte los temas siguientes:

Descripción del filtrado web local

El filtrado web local le permite definir categorías de URL personalizadas, que se pueden incluir en listas de bloqueo y listas permitidas que se evalúan en el dispositivo de la serie SRX. Se rechazan todas las URL de cada categoría de una lista de bloqueo, mientras que se permiten todas las URL de cada categoría de una lista de permisos.

Con el filtrado web local, un firewall intercepta todas las solicitudes HTTP y HTTPS en una conexión TCP y extrae la URL. El dispositivo toma una decisión después de buscar una DIRECCIÓN URL para determinar si se encuentra en la lista de permitidos o en la lista de bloqueo según su categoría definida por el usuario. Primero se compara una DIRECCIÓN URL con las URL de lista de bloqueo. Si se encuentra una coincidencia, la solicitud se bloqueará. Si no se encuentra ninguna coincidencia, la DIRECCIÓN URL se compara con la lista de permitidos. Si se encuentra una coincidencia, se permite la solicitud. Si la DIRECCIÓN URL no está en ninguna de las listas, se toma la categoría personalizada (bloquear, registrar y permitir o permitir). Si la dirección URL no está en la categoría personalizada, se realiza la acción predeterminada definida (bloquear, registrar y permitir o permitir). Puede permitir o bloquear el acceso a un sitio solicitado vinculando un perfil de filtrado web a una política de firewall. El filtrado web local proporciona filtrado web básico sin necesidad de una licencia adicional o un servidor de categoría externa.

Este tema contiene las siguientes secciones:

Proceso de filtrado web local

En la siguiente sección se describe cómo el módulo de filtrado web intercepta y actúa sobre el tráfico Web.

  1. El dispositivo intercepta una conexión TCP.

  2. El dispositivo intercepta cada solicitud HTTP y HTTPS en la conexión TCP.

  3. El dispositivo extrae cada URL en la solicitud HTTP y HTTPS y comprueba su URL con la lista de permitidos definida por el usuario y la lista de bloqueo.

  4. Si la URL se encuentra en la lista de bloqueo, no se permite la solicitud y se envía una página de denegación al cliente http o https. Si la DIRECCIÓN URL se encuentra en la lista de permitidos, se permite la solicitud.

  5. Si la dirección URL no se encuentra en la lista de permitidos o en la lista de bloqueo, se aplica la acción de reserva predeterminada configurada. Si no se define ninguna acción de reserva, se permite la solicitud.

Categorías de URL personalizadas definidas por el usuario

Para realizar filtrado web local, debe definir una lista de bloques y permitir contenido de lista que se pueda aplicar al perfil.

Al definir sus propias categorías de URL, puede agrupar URL y crear categorías específicas para sus necesidades. Cada categoría puede tener un máximo de 20 URL. Cuando crea una categoría, puede agregar la dirección URL o la dirección IP de un sitio. Cuando se agrega una dirección URL a una categoría definida por el usuario, el dispositivo realiza una búsqueda DNS, resuelve el nombre de host en direcciones IP y almacena en caché esta información. Cuando un usuario intenta acceder a un sitio con la dirección IP del sitio, el dispositivo comprueba la lista caché de direcciones IP e intenta resolver el nombre de host. Muchos sitios tienen direcciones IP dinámicas, lo que significa que sus direcciones IP cambian periódicamente. Un usuario que intente acceder a un sitio puede escribir una dirección IP que no esté en la lista de caché en el dispositivo. Por lo tanto, si conoce las direcciones IP de los sitios que está agregando a una categoría, ingrese tanto la URL como las direcciones IP del sitio.

Puede definir sus propias categorías mediante la lista de patrones URL y los objetos personalizados de la lista de categorías de URL. Una vez definidas, se asignan sus categorías a las categorías global url-blocklist (bloque) o url-allowlist (permitir) global.

El filtrado web se realiza en todos los métodos definidos en HTTP 1.0 y HTTP 1.1.

Perfiles de filtrado web local

Puede configurar perfiles de filtrado web que permiten o bloquean URL según categorías personalizadas definidas. Un perfil de filtrado Web consta de un grupo de categorías de URL a las que se le asigna una de las siguientes acciones:

  • Lista de bloqueo: el dispositivo siempre bloquea el acceso a los sitios web de esta lista. Solo se utilizan categorías definidas por el usuario con el filtrado web local.

  • Lista de permitidos: el dispositivo siempre permite el acceso a los sitios web de esta lista. Solo se utilizan categorías definidas por el usuario con el filtrado web local.

Un perfil de filtrado web puede contener una lista de bloqueo o una lista de permisos con varias categorías definidas por el usuario, cada una con una acción de permiso o bloque. Puede definir una acción de reserva predeterminada cuando la dirección URL entrante no pertenece a ninguna de las categorías definidas en el perfil. Si la acción para la categoría predeterminada es bloque, la dirección URL entrante se bloquea si no coincide con ninguna de las categorías definidas explícitamente en el perfil. Si no se especifica una acción para la acción predeterminada, la acción predeterminada de permiso se aplica a la dirección URL entrante que no coincide con ninguna categoría.

A partir de Junos OS versión 17.4R1, se admite la configuración de categorías personalizadas para el filtrado web local. La custom-message opción también se admite en una categoría para filtrado web local y perfiles de redirección de Websense. Los usuarios pueden crear varias listas de URL (categorías personalizadas) y aplicarlas a un perfil de filtrado web UTM con acciones como permitir, permitir y registrar, bloquear y poner en cuarentena. Para crear una lista de permitidos global o una lista de bloqueo, aplique un perfil de filtrado web local a una política de UTM y adjunte a una regla global.

Mensajes de usuario y URL de redirección para filtrado web

A partir de Junos OS versión 17.4R1, se agrega una nueva opción para custom-messagela custom-objects instrucción que le permite configurar mensajes de usuario y redirigir direcciones URL para notificar a los usuarios cuando una DIRECCIÓN URL está bloqueada o en cuarentena para cada categoría EWF. La custom-message opción tiene los siguientes atributos obligatorios:

  • Nombre: Nombre del mensaje personalizado; la longitud máxima es de 59 caracteres ASCII.

  • Tipo: Tipo de mensaje personalizado: user-message o redirect-url.

  • Contenido: Contenido del mensaje personalizado; la longitud máxima es de 1024 caracteres ASCII.

Configure un mensaje de usuario o url de redirección como un objeto personalizado y asigne el objeto personalizado a una categoría EWF.

  • Los mensajes de usuario indican que el acceso al sitio web ha sido bloqueado por la política de acceso de una organización. Para configurar un mensaje de usuario, incluya la type user-message content message-text instrucción en el [edit security utm custom-objects custom-message message] nivel de jerarquía.

  • Las URL de redirección redirigen una URL bloqueada o en cuarentena a una URL definida por el usuario. Para configurar una DIRECCIÓN URL de redirección, incluya la type redirect-url content redirect-url instrucción en el [edit security utm custom-objects custom-message message] nivel de jerarquía.

La custom-message opción ofrece los siguientes beneficios:

  • Puede configurar un mensaje personalizado independiente o redirigir la URL para cada categoría de EWF.

  • La custom-message opción le permite ajustar los mensajes para que sean compatibles con sus directivas y saber qué URL está bloqueada o en cuarentena.

Prioridad de coincidencia de perfil

Cuando un perfil emplea varias categorías para la coincidencia de URL, esas categorías se comprueban para que coincidan en el siguiente orden:

  1. Si está presente, primero se comprueba la lista de bloqueo global. Si se hace una coincidencia, la DIRECCIÓN URL se bloquea. Si no se encuentra ninguna coincidencia...

  2. A continuación, se comprueba la lista de permitidos global. Si se hace una coincidencia, se permite la DIRECCIÓN URL. Si no se encuentra ninguna coincidencia...

  3. A continuación, se comprueban las categorías definidas por el usuario. Si se hace una coincidencia, la DIRECCIÓN URL se bloquea o se permite según se especifica.

Ejemplo: Configuración del filtrado web local

En este ejemplo, se muestra cómo configurar el filtrado web local para administrar el acceso al sitio web.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dispositivo SRX1500

  • Junos OS versión 12.1X46-D10 o posterior

Antes de empezar, obtenga más información sobre el filtrado web. Consulte Descripción general del filtrado web.

Visión general

En este ejemplo, configure objetos personalizados de filtrado Web local, perfiles de entidad de filtrado Web local y políticas UTM de filtrado Web local. También adjunta políticas de UTM de filtrado web local a las políticas de seguridad. En la tabla 1 , se muestra información acerca del tipo de configuración de filtrado web local, los pasos y los parámetros utilizados en este ejemplo.

Tabla 1: Tipo de configuración, pasos y parámetros de filtrado web local

Tipo de configuración

Pasos de configuración

Parámetros de configuración

URL pattern and custom objects

Configure una lista de patrones url de direcciones url o direcciones que desea omitir.

Cree un objeto personalizado llamado urllis1 que contenga el patrón [http://www.example1.net 192.0.2.0]

Cree un objeto personalizado llamado urllist2 que contenga el patrón [http://www.example2.net 192.0.2.3]

Cree un objeto personalizado llamado urllist3 que contenga el patrón [http://www.example3.net 192.0.2.9]

Cree un objeto personalizado llamado urllist4 que contenga el patrón [http://www.example4.net 192.0.2.8]

  • [http://www.example1.net 192.0.2.0]

  • [http://www.example2.net 192.0.2.3]

  • [http://www.example3.net 192.0.2.9]

  • [http://www.example4.net 192.0.2.8]

  • value urllist3

  • value urllist4

Los objetos personalizados urllist1 y urllist2 se agregan a las categorías de URL personalizadas cust-blocklist y cust-permit-list respectivamente.

  • value urllist1

  • value urllist2

Feature profiles

Configure el perfil de función de filtrado web:

 
  • Establezca la categoría de filtrado de lista de bloqueo de URL en custurl4 y la categoría de filtrado de url permitir el filtrado de lista a custurl3. Establezca el tipo de motor de filtrado web en juniper-local.

  • custurl3

  • custurl4

  • type juniper-local

  • Cree un nombre de perfil local de juniper llamado localprofile1. Seleccione una acción predeterminada (permitir, registrar y permitir, bloquear) para este perfil para solicitudes que experimenten errores. En este ejemplo, se establece la acción predeterminada para permitir. Agregue categoría cust-permit-list con acción de registro y permiso y cus-blocklist con acción de bloque.

  • localprofile1

  • Action: block

  • Action: log-and-permit

  • cust-black-list

  • cust-permit-list

  • Defina url de redirección. Escriba un mensaje personalizado que se enviará cuando se bloqueen las solicitudes HTTP y HTTPS.

  • Seleccione la configuración de reserva (bloquear o registrar y permitir) para este perfil, en caso de que se produzcan errores en cada categoría configurada. En este ejemplo, se establece la configuración de reserva para bloquear.

  • block-message type custom-redirect-url

  • block-message url 192.0.2.10

  • custom-block-message “**Access to this site is not permitted**”.

  • fallback-settings:

    • block

    • log-and-permit

UTM policies

Cree la política de UTM utmp5 y adjunte al perfil localprofile1. En el ejemplo de configuración final, adjunte la política UTM utmp5 a la política de seguridad p5.

  • utm policy utmp5

  • policy p5

Configuración

Configuración del filtrado web local de objetos personalizados y patrones de URL

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

A partir de Junos OS versión 15.1X49-D110, el "* " en una sintaxis comodín, usado para el perfil de filtrado web de patrón URL, coincide con todos los subdominios. Por ejemplo, *.example.net coincide:

  • http://a.example.net

  • http://example.net

  • aaa.example.net

Procedimiento paso a paso

Para configurar el filtrado web local con la CLI:

  1. Configure un objeto personalizado de lista de patrones URL mediante la creación del nombre de la lista y agregar valores como se indica a continuación:

    Nota:

    Dado que utiliza listas de patrones de URL para crear listas de categorías de URL personalizadas, debe configurar objetos personalizados de lista de patrones de URL antes de configurar listas de categorías de URL personalizadas.

    Nota:
    • La pauta para usar un comodín de patrón URL es la siguiente: Utilice \*\.[] \?* y preceden a todas las URL comodín con http://. Solo puede usar "*" si se encuentra al principio de la URL y le sigue ".". Solo puede usar "?" al final de la URL.

    • Se admiten las siguientes sintaxis comodín: http://*. example.net, http://www.example.ne?, http://www.example.n??. No se admiten las siguientes sintaxis comodín: *.example.???, http://*example.net, http://?.

  2. Aplicación del patrón URL a una categoría de URL personalizada.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security utm custom-objects configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Aplicar objetos personalizados a los perfiles de entidad

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar perfiles de características de filtrado web locales:

  1. Configure la lista de bloqueo de URL de filtrado web, la lista permitida de URL y el motor de filtrado web.

  2. Cree un nombre de perfil y seleccione una categoría de las categorías de permisos y listas de bloqueo incluidas. La acción de categoría personalizada podría ser bloquear, permitir, registrar y permitir y poner en cuarentena.

  3. Defina un servidor de URL de redirección para que, en lugar de que el dispositivo envíe una página de bloque con html de texto sin formato, el dispositivo envíe una redirección HTTP 302 a este servidor de redirección con variables especiales incrustadas en el campo de ubicación de redirección HTTP. Estas variables especiales son parizadas por el servidor de redirección y sirven como una página de bloque especial para el cliente con imágenes y un formato de texto sin formato.

  4. Escriba un mensaje personalizado que se enviará cuando se bloqueen las solicitudes HTTP o HTTPS.

  5. Especifique una acción predeterminada (permitir, registrar y permitir, bloquear o cuarentena) para el perfil, cuando no coincida ninguna otra acción explícitamente configurada (lista de bloqueo, lista de permisos, categoría personalizada, acciones de categoría predefinidas o acciones de reputación del sitio) .

  6. Configure la configuración de reserva (bloquear o registrar y permitir) para este perfil.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security utm feature-profile configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Adjuntar políticas de UTM de filtrado web a políticas de seguridad

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para configurar una política de UTM:

  1. Cree la política de UTM que hace referencia a un perfil. Aplique el perfil de filtrado web a la política UTM.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security utm configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Para obtener brevedad, esta muestra la salida del comando solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración del sistema se ha reemplazado por puntos suspensivos (...).

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Adjuntar políticas de UTM de filtrado web local a políticas de seguridad

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para adjuntar una política de UTM a una política de seguridad:

  1. Cree y configure la política de seguridad.

  2. Aplique la política de UTM a la política de seguridad.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice la siguiente tarea:

Verificar las estadísticas del filtrado web de UTM

Propósito

Verifique las estadísticas de filtrado web para conexiones que incluyen aciertos de listas permitidas y de listas de bloqueos y aciertos de categorías personalizadas.

Acción

Desde el modo operativo, ingrese el show security utm web-filtering statistics comando.

Salida de muestra
nombre de comando
Tabla de historial de versiones
Lanzamiento
Descripción
17.4R1
A partir de Junos OS versión 17.4R1, se admite la configuración de categorías personalizadas para el filtrado web local. La custom-message opción también se admite en una categoría para filtrado web local y perfiles de redirección de Websense. Los usuarios pueden crear varias listas de URL (categorías personalizadas) y aplicarlas a un perfil de filtrado web UTM con acciones como permitir, permitir y registrar, bloquear y poner en cuarentena. Para crear una lista de permitidos global o una lista de bloqueo, aplique un perfil de filtrado web local a una política de UTM y adjunte a una regla global.
17.4R1
A partir de Junos OS versión 17.4R1, se agrega una nueva opción para custom-messagela custom-objects instrucción que le permite configurar mensajes de usuario y redirigir direcciones URL para notificar a los usuarios cuando una DIRECCIÓN URL está bloqueada o en cuarentena para cada categoría EWF.
15.1X49-D110
A partir de Junos OS versión 15.1X49-D110, la " * " en una sintaxis comodín, utilizada para el perfil de filtrado web de patrón URL, coincide con todos los subdominios.