Filtrado web local
El filtrado web le permite administrar el uso de Internet impidiendo el acceso a contenido web inapropiado. Hay cuatro tipos de soluciones de filtrado web. Para obtener más información, consulte los temas siguientes:
Descripción del filtrado web local
El filtrado web local permite definir categorías de URL personalizadas, que se pueden incluir en listas de bloqueo y listas de permitidos que se evalúan en el firewall de la serie SRX. Se deniegan todas las URL de cada categoría de una lista de bloqueo, mientras que se permiten todas las URL de cada categoría de una lista de permitidos.
Con el filtrado web local, un firewall intercepta todas las solicitudes HTTP y HTTPS en una conexión TCP y extrae la URL. El dispositivo toma una decisión después de buscar una URL para determinar si está en la lista de permitidos o bloqueados en función de su categoría definida por el usuario. Primero se compara una URL con las URL de la lista de bloqueo. Si se encuentra una coincidencia, la solicitud se bloquea. Si no se encuentra ninguna coincidencia, la URL se compara con la lista de permitidos. Si se encuentra una coincidencia, se permite la solicitud. Si la URL no está en ninguna de las listas, se toma la categoría personalizada (bloquear, registrar y permitir o permitir). Si la URL no está en la categoría personalizada, se realiza la acción predeterminada definida (bloquear, registrar y permitir o permitir). Puede permitir o bloquear el acceso a un sitio solicitado vinculando un perfil de filtrado web a una directiva de firewall. El filtrado web local proporciona un filtrado web básico sin necesidad de una licencia adicional ni de un servidor de categorías externo.
Este tema contiene las siguientes secciones:
- Proceso de filtrado web local
- Categorías de URL personalizadas definidas por el usuario
- Perfiles de filtrado web local
- Mensajes de usuario y URL de redireccionamiento para filtrado web
- Prioridad de coincidencia de perfiles
Proceso de filtrado web local
En la siguiente sección se describe cómo el módulo de filtrado Web intercepta el tráfico Web y cómo actúa sobre él.
El dispositivo intercepta una conexión TCP.
-
El dispositivo intercepta cada solicitud HTTP y HTTPS en la conexión TCP.
-
El dispositivo extrae cada URL en la solicitud HTTP y HTTPS y verifica su URL con la lista de permitidos y la lista de bloqueo definidas por el usuario.
-
Si la URL se encuentra en la lista de bloqueo, la solicitud no está permitida y se envía una página de denegación al cliente http o https. Si la URL se encuentra en la lista de permitidos, se permite la solicitud.
Si la URL no se encuentra en la lista de permitidos o bloqueados, se aplica la acción de reserva predeterminada configurada. Si no se define ninguna acción de reserva, se permite la solicitud.
Categorías de URL personalizadas definidas por el usuario
Para realizar el filtrado web local, debe definir una lista de bloqueo y contenido de lista de permitidos que se pueda aplicar al perfil.
Al definir sus propias categorías de URL, puede agrupar URL y crear categorías específicas para sus necesidades. Cada categoría puede tener un máximo de 20 URL. Al crear una categoría, puede agregar la dirección URL o la dirección IP de un sitio. Cuando agrega una URL a una categoría definida por el usuario, el dispositivo realiza una búsqueda DNS, resuelve el nombre de host en direcciones IP y almacena en caché esta información. Cuando un usuario intenta acceder a un sitio con la dirección IP del sitio, el dispositivo comprueba la lista almacenada en caché de direcciones IP e intenta resolver el nombre de host. Muchos sitios tienen direcciones IP dinámicas, lo que significa que sus direcciones IP cambian periódicamente. Un usuario que intenta acceder a un sitio puede escribir una dirección IP que no está en la lista almacenada en caché del dispositivo. Por lo tanto, si conoce las direcciones IP de los sitios que está agregando a una categoría, ingrese tanto la URL como las direcciones IP del sitio.
Puede definir sus propias categorías mediante la lista de patrones de URL y los objetos personalizados de lista de categorías de URL. Una vez definidas, asigna las categorías a las categorías globales url-defined url-blocklist (block) o url-allowlist (permit).
El filtrado web se realiza en todos los métodos definidos en HTTP 1.0 y HTTP 1.1.
Perfiles de filtrado web local
Los perfiles de filtrado web se configuran para permitir o bloquear direcciones URL según las categorías personalizadas definidas. Un perfil de filtrado web consta de un grupo de categorías de URL asignadas a una de las siguientes acciones:
Lista de bloqueo: el dispositivo siempre bloquea el acceso a los sitios web de esta lista. Sólo las categorías definidas por el usuario se utilizan con el filtrado web local.
Lista de permitidos — El dispositivo siempre permite el acceso a los sitios web de esta lista. Sólo las categorías definidas por el usuario se utilizan con el filtrado web local.
Un perfil de filtrado web puede contener una lista de bloqueo o una lista de permitidos con varias categorías definidas por el usuario, cada una con una acción de permiso o bloqueo. Puede definir una acción de reserva predeterminada cuando la URL entrante no pertenece a ninguna de las categorías definidas en el perfil. Si la acción para la categoría predeterminada es bloquear, la URL entrante se bloquea si no coincide con ninguna de las categorías definidas explícitamente en el perfil. Si no se especifica una acción para la acción predeterminada, la acción predeterminada de permitir se aplica a la URL entrante que no coincide con ninguna categoría.
A partir de Junos OS versión 17.4R1, se admite la configuración de categorías personalizadas para el filtrado web local. La custom-message opción también se admite en una categoría para filtrado web local y perfiles de redireccionamiento de Websense. Los usuarios pueden crear varias listas de URL (categorías personalizadas) y aplicarlas a un perfil de filtrado web de Content Security con acciones como permitir, permitir y registrar, bloquear y poner en cuarentena. Para crear una lista global de permitidos o bloqueados, aplique un perfil de filtrado web local a una política de seguridad de contenido y adjúntelo a una regla global.
Mensajes de usuario y URL de redireccionamiento para filtrado web
A partir de Junos OS versión 17.4R1, se agrega una nueva opción, , custom-messagepara la custom-objects instrucción que permite configurar mensajes de usuario y URL de redireccionamiento para notificar a los usuarios cuando una URL está bloqueada o en cuarentena para cada categoría de EWF. La custom-message opción tiene los siguientes atributos obligatorios:
Nombre: nombre del mensaje personalizado; la longitud máxima es de 59 caracteres ASCII.
Tipo: Tipo de mensaje personalizado:
user-messageoredirect-url.Contenido: contenido del mensaje personalizado; la longitud máxima es de 1024 caracteres ASCII.
Configure un mensaje de usuario o una URL de redirección como un objeto personalizado y asigne el objeto personalizado a una categoría EWF.
Los mensajes de usuario indican que la directiva de acceso de una organización ha bloqueado el acceso al sitio web. Para configurar un mensaje de usuario, incluya la
type user-message content message-textinstrucción en el nivel de[edit security utm custom-objects custom-message message]jerarquía.Las URL de redireccionamiento redirigen una URL bloqueada o en cuarentena a una URL definida por el usuario. Para configurar una dirección URL de redireccionamiento, incluya la
type redirect-url content redirect-urlinstrucción en el nivel jerárquico[edit security utm custom-objects custom-message message].
La custom-message opción ofrece las siguientes ventajas:
Puede configurar un mensaje personalizado independiente o una URL de redirección para cada categoría de EWF.
La
custom-messageopción le permite ajustar los mensajes para admitir sus políticas y saber qué URL está bloqueada o en cuarentena.
Prioridad de coincidencia de perfiles
Cuando un perfil emplea varias categorías para la coincidencia de URL, esas categorías se comprueban en busca de coincidencias en el siguiente orden:
Si está presente, primero se comprueba la lista de bloqueo global. Si se realiza una coincidencia, la URL se bloquea. Si no se encuentra ninguna coincidencia...
A continuación, se comprueba la lista global de permitidos. Si se realiza una coincidencia, se permite la dirección URL. Si no se encuentra ninguna coincidencia...
A continuación, se marcan las categorías definidas por el usuario. Si se realiza una coincidencia, la URL se bloquea o se permite según lo especificado.
Ver también
Ejemplo: configuración del filtrado web local
En este ejemplo se muestra cómo configurar el filtrado web local para administrar el acceso al sitio web.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
SRX1500 dispositivo
Junos OS versión 12.1X46-D10 o posterior
Antes de comenzar, obtenga más información sobre el filtrado web. Consulte Información general sobre el filtrado web.
Visión general
En este ejemplo, se configuran objetos personalizados de filtrado web local, perfiles de características de filtrado web local y directivas de seguridad de contenido de filtrado web local. También puede adjuntar directivas de seguridad de contenido de filtrado Web local a directivas de seguridad. En la tabla 1 se muestra información sobre el tipo, los pasos y los parámetros de configuración del filtrado web local que se usan en este ejemplo.
Tipo de configuración |
Pasos de configuración |
Parámetros de configuración |
|---|---|---|
URL pattern and custom objects |
Configure una lista de patrones de URL de direcciones URL o direcciones que desea omitir. Cree un objeto personalizado llamado urllis1 que contenga el patrón [http://www.example1.net 192.0.2.0] Cree un objeto personalizado denominado urllist2 que contenga el patrón [http://www.example2.net 192.0.2.3] Cree un objeto personalizado denominado urllist3 que contenga el patrón [http://www.example3.net 192.0.2.9] Cree un objeto personalizado denominado urllist4 que contenga el patrón [http://www.example4.net 192.0.2.8] |
|
Los objetos personalizados urllist1 y urllist2 se agregan a las categorías de URL personalizadas cust-blocklist y cust-permit-list respectivamente. |
|
|
Feature profiles |
Configure el perfil de característica de filtrado web: |
|
|
|
|
|
|
|
|
|
|
Content Security policies |
Cree la política |
|
Configuración
- Configuración de objetos personalizados y patrones de URL de filtrado web local
- Aplicar objetos personalizados a los perfiles de entidad
- Adjuntar directivas de seguridad de contenido de filtrado web a directivas de seguridad
- Adjuntar directivas de seguridad de contenido de filtrado web local a directivas de seguridad
Configuración de objetos personalizados y patrones de URL de filtrado web local
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security utm custom-objects url-pattern urllist1 value http://www.example1.net set security utm custom-objects url-pattern urllist1 value 192.0.2.0 set security utm custom-objects url-pattern urllist2 value http://www.example2.net set security utm custom-objects url-pattern urllist2 value 192.0.2.3 set security utm custom-objects url-pattern urllist3 value http://www.example3.net set security utm custom-objects url-pattern urllist3 value 192.0.2.9 set security utm custom-objects url-pattern urllist4 value http://www.example4.net set security utm custom-objects url-pattern urllist4 value 192.0.2.8 set security utm custom-objects custom-url-category cust-black-list value urllist1 set security utm custom-objects custom-url-category cust-permit-list value urllist2 set security utm custom-objects custom-url-category custurl3 value urllist3 set security utm custom-objects custom-url-category custurl4 value urllist4
A partir de Junos OS versión 15.1X49-D110, el "* " en una sintaxis comodín, utilizada para el perfil de filtrado web de patrón de URL, coincide con todos los subdominios. Por ejemplo, *.example.net coincide:
http://a.example.net
http://example.net
aaa.example.net
Procedimiento paso a paso
Para configurar el filtrado web local mediante la CLI:
Configure un objeto personalizado de lista de patrones de dirección URL creando el nombre de lista y agregándole valores de la siguiente manera:
Nota:Dado que utiliza listas de patrones de URL para crear listas de categorías de URL personalizadas, debe configurar objetos personalizados de lista de patrones de URL antes de configurar listas de categorías de URL personalizadas.
[edit] user@host# set security utm custom-objects url-pattern urllist1 value [http://www.example1.net 192.0.2.0] user@host# set security utm custom-objects url-pattern urllist2 value [http://www.example2.net 192.0.2.3] user@host# set security utm custom-objects url-pattern urllist3 value [http://www.example3.net 192.0.2.9] user@host# set security utm custom-objects url-pattern urllist4 value [http://www.example4.net 192.0.2.8]
Nota:La directriz para usar un comodín de patrón de URL es la siguiente: Use \ *\.[] \?* y precede a todas las URL comodín con http://. Puede usar "*" solo si está al principio de la URL y va seguido de ".". Puede usar "?" solo al final de la URL.
Se admiten las siguientes sintaxis comodín: http://*. example.net, http://www.example.ne?, http://www.example.n??. No se admiten las siguientes sintaxis comodín: *.example.???, http://*example.net, http://?.
Aplicar el patrón de URL a una categoría de URL personalizada.
[edit] user@host# set security utm custom-objects custom-url-category cust-black-list value urllist1 user@host# set security utm custom-objects custom-url-category cust-permit-list value urllist2 user@host# set security utm custom-objects custom-url-category custurl3 value urllist3 user@host# set security utm custom-objects custom-url-category custurl4 value urllist4
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security utm custom-objects comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
userhost#show security utm custom-objects
url-pattern {
urllist1 {
value [ http://www.example1.net 192.0.2.0 ];
}
urllist2 {
value [ http://www.example2.net 192.0.2.3 ];
}
urllist3 {
value [ http://www.example3.net 192.0.2.9 ];
}
urllist4 {
value [ http://www.example4.net 192.0.2.8 ];
}
}
custom-url-category {
cust-black-list {
value urllist1;
}
cust-permit-list {
value urllist2;
}
custurl3 {
value urllist3;
}
custurl4 {
value urllist4;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Aplicar objetos personalizados a los perfiles de entidad
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security utm feature-profile web-filtering juniper-local profile localprofile1 category cust-black-list action block set security utm feature-profile web-filtering juniper-local profile localprofile1 category cust-permit-list action log-and-permit set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message type custom-redirect-url set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message url http://192.0.2.10 set security utm feature-profile web-filtering juniper-local profile localprofile1 custom-block-message "Access to this site is not permitted." set security utm feature-profile web-filtering juniper-local profile localprofile1 default log-and-permit set security utm feature-profile web-filtering juniper-local profile localprofile1 fallback-settings default block set security utm feature-profile web-filtering juniper-local profile localprofile1 fallback-settings too-many-requests block
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Cree un nombre de perfil y seleccione una categoría de las categorías de permisos y listas de bloqueo incluidas. La acción de categoría personalizada podría ser bloquear, permitir, registrar y permitir y cuarentena.
[edit security utm feature-profile web-filtering] user@host# set juniper-local profile localprofile1 category cust-black-list action block user@host# set juniper-local profile localprofile1 category cust-permit-list action log-and-permit
Defina un servidor de URL de redireccionamiento para que, en lugar de que el dispositivo envíe una página de bloqueo con HTML de texto sin formato, el dispositivo envíe una redirección HTTP 302 a este servidor de redirección con variables especiales incrustadas en el campo de ubicación de redirección HTTP. Estas variables especiales son analizadas por el servidor de redireccionamiento y sirven como una página de bloque especial para el cliente con imágenes y un formato de texto claro.
[edit security utm feature-profile web-filtering] user@host# set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message type custom-redirect-url user@host# set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message url http://192.0.2.10
-
Escriba un mensaje personalizado para enviarlo cuando se bloqueen las solicitudes HTTP o HTTPS.
[edit security utm feature-profile web-filtering] user@host# set juniper-local profile localprofile1 custom-block-message “Access to this site is not permitted”
Especifique una acción predeterminada (permitir, registrar y permitir, bloquear o poner en cuarentena) para el perfil, cuando no coincida ninguna otra acción configurada explícitamente (lista de bloqueo, lista de permitidos, categoría personalizada, acciones de categoría predefinidas o acciones de reputación del sitio).
[edit security utm feature-profile web-filtering] user@host# set juniper-local profile localprofile1 default log-and-permit
Configure las opciones de reserva (bloquear o registrar y permitir) para este perfil.
[edit security utm feature-profile web-filtering] user@host# set juniper–local profile localprofile1 fallback-settings default block user@host# set juniper–local profile localprofile1 fallback-settings too-many-requests block
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security utm feature-profile comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
userhost#show security utm feature-profile
web-filtering {
juniper-local {
profile localprofile1 {
default log-and-permit;
category {
cust-black-list {
action block;
}
cust-permit-list {
action log-and-permit;
}
}
custom-block-message "Access to this site is not permitted.";
block-message {
type custom-redirect-url;
url http://192.0.2.10;
}
fallback-settings {
default block;
too-many-requests block;
}
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Adjuntar directivas de seguridad de contenido de filtrado web a directivas de seguridad
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security utm utm-policy utmp5 web-filtering http-profile localprofile1
Procedimiento paso a paso
Para configurar una política de seguridad de contenido:
-
Cree la política de seguridad de contenido que haga referencia a un perfil. Aplique el perfil de filtrado web a la directiva de seguridad de contenido.
[edit] user@host# set security utm utm-policy utmp5 web-filtering http-profile localprofile1
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security utm comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Para abreviar, este resultado del comando show solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración en el sistema ha sido reemplazada por puntos suspensivos (...).
[edit]
userhost# show security utm
utm-policy utmp5 {
web-filtering {
http-profile localprofile1;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Adjuntar directivas de seguridad de contenido de filtrado web local a directivas de seguridad
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security policies from-zone trust to-zone untrust policy p5 match source-address any set security policies from-zone trust to-zone untrust policy p5 match destination-address any set security policies from-zone trust to-zone untrust policy p5 match application junos-http set security policies from-zone trust to-zone untrust policy p5 then permit application-services utm-policy utmp5
Procedimiento paso a paso
Para adjuntar una política de seguridad de contenido a una política de seguridad:
Crear y configurar la directiva de seguridad.
[edit security policies from-zone trust to-zone untrust policy p5] user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-http
-
Aplique la política de seguridad de contenido a la política de seguridad.
[edit security policies from-zone trust to-zone untrust policy p5] user@host# set then permit application-services utm-policy utmp5
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security policies comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
userhost# show security policies
from-zone trust to-zone untrust {
policy p5 {
match {
source-address any;
destination-address any;
application junos-http;
}
then {
permit {
application-services {
utm-policy utmp5;
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice la siguiente tarea:
Verificación de las estadísticas del filtrado web de seguridad de contenido
Propósito
Compruebe las estadísticas de filtrado web para las conexiones, incluidas las aciertos de lista de permitidos y de lista de bloqueo y los aciertos de categorías personalizadas.
Acción
Desde el modo operativo, ingrese el show security utm web-filtering statistics comando.
Salida de muestra
nombre-comando
user@host>show security utm web-filtering statistics
UTM web-filtering statistics:
Total requests: 0
white list hit: 0
Black list hit: 0
Custom category permit: 0
Custom category block: 0
Custom category quarantine: 0
Custom category qurantine block: 0
Custom category quarantine permit: 0
Web-filtering sessions in total: 0
Web-filtering sessions in use: 0
Fallback: log-and-permit block
Default 0 0
Timeout 0 0
Connectivity 0 0
Too-many-requests 0 0
custom-message opción también se admite en una categoría para filtrado web local y perfiles de redireccionamiento de Websense. Los usuarios pueden crear varias listas de URL (categorías personalizadas) y aplicarlas a un perfil de filtrado web de Content Security con acciones como permitir, permitir y registrar, bloquear y poner en cuarentena. Para crear una lista global de permitidos o bloqueados, aplique un perfil de filtrado web local a una política de seguridad de contenido y adjúntelo a una regla global.
custom-messagepara la
custom-objects instrucción que permite configurar mensajes de usuario y URL de redireccionamiento para notificar a los usuarios cuando una URL está bloqueada o en cuarentena para cada categoría de EWF.