Filtrado web local
El filtrado web le permite administrar el uso de Internet mediante la prevención del acceso a contenido web inapropiado. Hay cuatro tipos de soluciones de filtrado web. Para obtener más información, consulte los temas siguientes:
Descripción del filtrado web local
El filtrado web local le permite definir categorías de URL personalizadas, que se pueden incluir en listas de bloqueo y listas permitidas que se evalúan en el dispositivo de la serie SRX. Se rechazan todas las URL de cada categoría de una lista de bloqueo, mientras que se permiten todas las URL de cada categoría de una lista de permisos.
Con el filtrado web local, un firewall intercepta todas las solicitudes HTTP y HTTPS en una conexión TCP y extrae la URL. El dispositivo toma una decisión después de buscar una DIRECCIÓN URL para determinar si se encuentra en la lista de permitidos o en la lista de bloqueo según su categoría definida por el usuario. Primero se compara una DIRECCIÓN URL con las URL de lista de bloqueo. Si se encuentra una coincidencia, la solicitud se bloqueará. Si no se encuentra ninguna coincidencia, la DIRECCIÓN URL se compara con la lista de permitidos. Si se encuentra una coincidencia, se permite la solicitud. Si la DIRECCIÓN URL no está en ninguna de las listas, se toma la categoría personalizada (bloquear, registrar y permitir o permitir). Si la dirección URL no está en la categoría personalizada, se realiza la acción predeterminada definida (bloquear, registrar y permitir o permitir). Puede permitir o bloquear el acceso a un sitio solicitado vinculando un perfil de filtrado web a una política de firewall. El filtrado web local proporciona filtrado web básico sin necesidad de una licencia adicional o un servidor de categoría externa.
Este tema contiene las siguientes secciones:
- Proceso de filtrado web local
- Categorías de URL personalizadas definidas por el usuario
- Perfiles de filtrado web local
- Mensajes de usuario y URL de redirección para filtrado web
- Prioridad de coincidencia de perfil
Proceso de filtrado web local
En la siguiente sección se describe cómo el módulo de filtrado web intercepta y actúa sobre el tráfico Web.
El dispositivo intercepta una conexión TCP.
-
El dispositivo intercepta cada solicitud HTTP y HTTPS en la conexión TCP.
-
El dispositivo extrae cada URL en la solicitud HTTP y HTTPS y comprueba su URL con la lista de permitidos definida por el usuario y la lista de bloqueo.
-
Si la URL se encuentra en la lista de bloqueo, no se permite la solicitud y se envía una página de denegación al cliente http o https. Si la DIRECCIÓN URL se encuentra en la lista de permitidos, se permite la solicitud.
Si la dirección URL no se encuentra en la lista de permitidos o en la lista de bloqueo, se aplica la acción de reserva predeterminada configurada. Si no se define ninguna acción de reserva, se permite la solicitud.
Categorías de URL personalizadas definidas por el usuario
Para realizar filtrado web local, debe definir una lista de bloques y permitir contenido de lista que se pueda aplicar al perfil.
Al definir sus propias categorías de URL, puede agrupar URL y crear categorías específicas para sus necesidades. Cada categoría puede tener un máximo de 20 URL. Cuando crea una categoría, puede agregar la dirección URL o la dirección IP de un sitio. Cuando se agrega una dirección URL a una categoría definida por el usuario, el dispositivo realiza una búsqueda DNS, resuelve el nombre de host en direcciones IP y almacena en caché esta información. Cuando un usuario intenta acceder a un sitio con la dirección IP del sitio, el dispositivo comprueba la lista caché de direcciones IP e intenta resolver el nombre de host. Muchos sitios tienen direcciones IP dinámicas, lo que significa que sus direcciones IP cambian periódicamente. Un usuario que intente acceder a un sitio puede escribir una dirección IP que no esté en la lista de caché en el dispositivo. Por lo tanto, si conoce las direcciones IP de los sitios que está agregando a una categoría, ingrese tanto la URL como las direcciones IP del sitio.
Puede definir sus propias categorías mediante la lista de patrones URL y los objetos personalizados de la lista de categorías de URL. Una vez definidas, se asignan sus categorías a las categorías global url-blocklist (bloque) o url-allowlist (permitir) global.
El filtrado web se realiza en todos los métodos definidos en HTTP 1.0 y HTTP 1.1.
Perfiles de filtrado web local
Puede configurar perfiles de filtrado web que permiten o bloquean URL según categorías personalizadas definidas. Un perfil de filtrado Web consta de un grupo de categorías de URL a las que se le asigna una de las siguientes acciones:
Lista de bloqueo: el dispositivo siempre bloquea el acceso a los sitios web de esta lista. Solo se utilizan categorías definidas por el usuario con el filtrado web local.
Lista de permitidos: el dispositivo siempre permite el acceso a los sitios web de esta lista. Solo se utilizan categorías definidas por el usuario con el filtrado web local.
Un perfil de filtrado web puede contener una lista de bloqueo o una lista de permisos con varias categorías definidas por el usuario, cada una con una acción de permiso o bloque. Puede definir una acción de reserva predeterminada cuando la dirección URL entrante no pertenece a ninguna de las categorías definidas en el perfil. Si la acción para la categoría predeterminada es bloque, la dirección URL entrante se bloquea si no coincide con ninguna de las categorías definidas explícitamente en el perfil. Si no se especifica una acción para la acción predeterminada, la acción predeterminada de permiso se aplica a la dirección URL entrante que no coincide con ninguna categoría.
A partir de Junos OS versión 17.4R1, se admite la configuración de categorías personalizadas para el filtrado web local. La custom-message opción también se admite en una categoría para filtrado web local y perfiles de redirección de Websense. Los usuarios pueden crear varias listas de URL (categorías personalizadas) y aplicarlas a un perfil de filtrado web UTM con acciones como permitir, permitir y registrar, bloquear y poner en cuarentena. Para crear una lista de permitidos global o una lista de bloqueo, aplique un perfil de filtrado web local a una política de UTM y adjunte a una regla global.
Mensajes de usuario y URL de redirección para filtrado web
A partir de Junos OS versión 17.4R1, se agrega una nueva opción para custom-messagela custom-objects instrucción que le permite configurar mensajes de usuario y redirigir direcciones URL para notificar a los usuarios cuando una DIRECCIÓN URL está bloqueada o en cuarentena para cada categoría EWF. La custom-message opción tiene los siguientes atributos obligatorios:
Nombre: Nombre del mensaje personalizado; la longitud máxima es de 59 caracteres ASCII.
Tipo: Tipo de mensaje personalizado:
user-messageoredirect-url.Contenido: Contenido del mensaje personalizado; la longitud máxima es de 1024 caracteres ASCII.
Configure un mensaje de usuario o url de redirección como un objeto personalizado y asigne el objeto personalizado a una categoría EWF.
Los mensajes de usuario indican que el acceso al sitio web ha sido bloqueado por la política de acceso de una organización. Para configurar un mensaje de usuario, incluya la
type user-message content message-textinstrucción en el[edit security utm custom-objects custom-message message]nivel de jerarquía.Las URL de redirección redirigen una URL bloqueada o en cuarentena a una URL definida por el usuario. Para configurar una DIRECCIÓN URL de redirección, incluya la
type redirect-url content redirect-urlinstrucción en el[edit security utm custom-objects custom-message message]nivel de jerarquía.
La custom-message opción ofrece los siguientes beneficios:
Puede configurar un mensaje personalizado independiente o redirigir la URL para cada categoría de EWF.
La
custom-messageopción le permite ajustar los mensajes para que sean compatibles con sus directivas y saber qué URL está bloqueada o en cuarentena.
Prioridad de coincidencia de perfil
Cuando un perfil emplea varias categorías para la coincidencia de URL, esas categorías se comprueban para que coincidan en el siguiente orden:
Si está presente, primero se comprueba la lista de bloqueo global. Si se hace una coincidencia, la DIRECCIÓN URL se bloquea. Si no se encuentra ninguna coincidencia...
A continuación, se comprueba la lista de permitidos global. Si se hace una coincidencia, se permite la DIRECCIÓN URL. Si no se encuentra ninguna coincidencia...
A continuación, se comprueban las categorías definidas por el usuario. Si se hace una coincidencia, la DIRECCIÓN URL se bloquea o se permite según se especifica.
Ver también
Ejemplo: Configuración del filtrado web local
En este ejemplo, se muestra cómo configurar el filtrado web local para administrar el acceso al sitio web.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Dispositivo SRX1500
Junos OS versión 12.1X46-D10 o posterior
Antes de empezar, obtenga más información sobre el filtrado web. Consulte Descripción general del filtrado web.
Visión general
En este ejemplo, configure objetos personalizados de filtrado Web local, perfiles de entidad de filtrado Web local y políticas UTM de filtrado Web local. También adjunta políticas de UTM de filtrado web local a las políticas de seguridad. En la tabla 1 , se muestra información acerca del tipo de configuración de filtrado web local, los pasos y los parámetros utilizados en este ejemplo.
Tipo de configuración |
Pasos de configuración |
Parámetros de configuración |
|---|---|---|
URL pattern and custom objects |
Configure una lista de patrones url de direcciones url o direcciones que desea omitir. Cree un objeto personalizado llamado urllis1 que contenga el patrón [http://www.example1.net 192.0.2.0] Cree un objeto personalizado llamado urllist2 que contenga el patrón [http://www.example2.net 192.0.2.3] Cree un objeto personalizado llamado urllist3 que contenga el patrón [http://www.example3.net 192.0.2.9] Cree un objeto personalizado llamado urllist4 que contenga el patrón [http://www.example4.net 192.0.2.8] |
|
Los objetos personalizados urllist1 y urllist2 se agregan a las categorías de URL personalizadas cust-blocklist y cust-permit-list respectivamente. |
|
|
Feature profiles |
Configure el perfil de función de filtrado web: |
|
|
|
|
|
|
|
|
|
|
UTM policies |
Cree la política de UTM utmp5 y adjunte al perfil localprofile1. En el ejemplo de configuración final, adjunte la política UTM utmp5 a la política de seguridad p5. |
|
Configuración
- Configuración del filtrado web local de objetos personalizados y patrones de URL
- Aplicar objetos personalizados a los perfiles de entidad
- Adjuntar políticas de UTM de filtrado web a políticas de seguridad
- Adjuntar políticas de UTM de filtrado web local a políticas de seguridad
Configuración del filtrado web local de objetos personalizados y patrones de URL
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security utm custom-objects url-pattern urllist1 value http://www.example1.net set security utm custom-objects url-pattern urllist1 value 192.0.2.0 set security utm custom-objects url-pattern urllist2 value http://www.example2.net set security utm custom-objects url-pattern urllist2 value 192.0.2.3 set security utm custom-objects url-pattern urllist3 value http://www.example3.net set security utm custom-objects url-pattern urllist3 value 192.0.2.9 set security utm custom-objects url-pattern urllist4 value http://www.example4.net set security utm custom-objects url-pattern urllist4 value 192.0.2.8 set security utm custom-objects custom-url-category cust-black-list value urllist1 set security utm custom-objects custom-url-category cust-permit-list value urllist2 set security utm custom-objects custom-url-category custurl3 value urllist3 set security utm custom-objects custom-url-category custurl4 value urllist4
A partir de Junos OS versión 15.1X49-D110, el "* " en una sintaxis comodín, usado para el perfil de filtrado web de patrón URL, coincide con todos los subdominios. Por ejemplo, *.example.net coincide:
http://a.example.net
http://example.net
aaa.example.net
Procedimiento paso a paso
Para configurar el filtrado web local con la CLI:
Configure un objeto personalizado de lista de patrones URL mediante la creación del nombre de la lista y agregar valores como se indica a continuación:
Nota:Dado que utiliza listas de patrones de URL para crear listas de categorías de URL personalizadas, debe configurar objetos personalizados de lista de patrones de URL antes de configurar listas de categorías de URL personalizadas.
[edit] user@host# set security utm custom-objects url-pattern urllist1 value [http://www.example1.net 192.0.2.0] user@host# set security utm custom-objects url-pattern urllist2 value [http://www.example2.net 192.0.2.3] user@host# set security utm custom-objects url-pattern urllist3 value [http://www.example3.net 192.0.2.9] user@host# set security utm custom-objects url-pattern urllist4 value [http://www.example4.net 192.0.2.8]
Nota:La pauta para usar un comodín de patrón URL es la siguiente: Utilice \*\.[] \?* y preceden a todas las URL comodín con http://. Solo puede usar "*" si se encuentra al principio de la URL y le sigue ".". Solo puede usar "?" al final de la URL.
Se admiten las siguientes sintaxis comodín: http://*. example.net, http://www.example.ne?, http://www.example.n??. No se admiten las siguientes sintaxis comodín: *.example.???, http://*example.net, http://?.
Aplicación del patrón URL a una categoría de URL personalizada.
[edit] user@host# set security utm custom-objects custom-url-category cust-black-list value urllist1 user@host# set security utm custom-objects custom-url-category cust-permit-list value urllist2 user@host# set security utm custom-objects custom-url-category custurl3 value urllist3 user@host# set security utm custom-objects custom-url-category custurl4 value urllist4
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security utm custom-objects configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
userhost#show security utm custom-objects
url-pattern {
urllist1 {
value [ http://www.example1.net 192.0.2.0 ];
}
urllist2 {
value [ http://www.example2.net 192.0.2.3 ];
}
urllist3 {
value [ http://www.example3.net 192.0.2.9 ];
}
urllist4 {
value [ http://www.example4.net 192.0.2.8 ];
}
}
custom-url-category {
cust-black-list {
value urllist1;
}
cust-permit-list {
value urllist2;
}
custurl3 {
value urllist3;
}
custurl4 {
value urllist4;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Aplicar objetos personalizados a los perfiles de entidad
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security utm feature-profile web-filtering url-whitelist custurl3 set security utm feature-profile web-filtering url-blacklist custurl4 set security utm feature-profile web-filtering type juniper-local set security utm feature-profile web-filtering juniper-local profile localprofile1 category cust-black-list action block set security utm feature-profile web-filtering juniper-local profile localprofile1 category cust-permit-list action log-and-permit set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message type custom-redirect-url set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message url http://192.0.2.10 set security utm feature-profile web-filtering juniper-local profile localprofile1 custom-block-message "Access to this site is not permitted." set security utm feature-profile web-filtering juniper-local profile localprofile1 default log-and-permit set security utm feature-profile web-filtering juniper-local profile localprofile1 fallback-settings default block set security utm feature-profile web-filtering juniper-local profile localprofile1 fallback-settings too-many-requests block
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar perfiles de características de filtrado web locales:
Configure la lista de bloqueo de URL de filtrado web, la lista permitida de URL y el motor de filtrado web.
[edit security utm feature-profile web-filtering] user@host# set url-whitelist custurl3 user@host# set url-blacklist custurl4 user@host# set type juniper-local
Cree un nombre de perfil y seleccione una categoría de las categorías de permisos y listas de bloqueo incluidas. La acción de categoría personalizada podría ser bloquear, permitir, registrar y permitir y poner en cuarentena.
[edit security utm feature-profile web-filtering] user@host# set juniper-local profile localprofile1 category cust-black-list action block user@host# set juniper-local profile localprofile1 category cust-permit-list action log-and-permit
Defina un servidor de URL de redirección para que, en lugar de que el dispositivo envíe una página de bloque con html de texto sin formato, el dispositivo envíe una redirección HTTP 302 a este servidor de redirección con variables especiales incrustadas en el campo de ubicación de redirección HTTP. Estas variables especiales son parizadas por el servidor de redirección y sirven como una página de bloque especial para el cliente con imágenes y un formato de texto sin formato.
[edit security utm feature-profile web-filtering] user@host# set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message type custom-redirect-url user@host# set security utm feature-profile web-filtering juniper-local profile localprofile1 block-message url http://192.0.2.10
-
Escriba un mensaje personalizado que se enviará cuando se bloqueen las solicitudes HTTP o HTTPS.
[edit security utm feature-profile web-filtering] user@host# set juniper-local profile localprofile1 custom-block-message “Access to this site is not permitted”
Especifique una acción predeterminada (permitir, registrar y permitir, bloquear o cuarentena) para el perfil, cuando no coincida ninguna otra acción explícitamente configurada (lista de bloqueo, lista de permisos, categoría personalizada, acciones de categoría predefinidas o acciones de reputación del sitio) .
[edit security utm feature-profile web-filtering] user@host# set juniper-local profile localprofile1 default log-and-permit
Configure la configuración de reserva (bloquear o registrar y permitir) para este perfil.
[edit security utm feature-profile web-filtering] user@host# set juniper–local profile localprofile1 fallback-settings default block user@host# set juniper–local profile localprofile1 fallback-settings too-many-requests block
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security utm feature-profile configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
userhost#show security utm feature-profile
web-filtering {
url-whitelist custurl3;
url-blacklist custurl4;
type juniper-local;
juniper-local {
profile localprofile1 {
default log-and-permit;
category {
cust-black-list {
action block;
}
cust-permit-list {
action log-and-permit;
}
}
custom-block-message "Access to this site is not permitted.";
block-message {
type custom-redirect-url;
url http://192.0.2.10;
}
fallback-settings {
default block;
too-many-requests block;
}
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Adjuntar políticas de UTM de filtrado web a políticas de seguridad
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security utm utm-policy utmp5 web-filtering http-profile localprofile1
Procedimiento paso a paso
Para configurar una política de UTM:
Cree la política de UTM que hace referencia a un perfil. Aplique el perfil de filtrado web a la política UTM.
[edit] user@host# set security utm utm-policy utmp5 web-filtering http-profile localprofile1
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security utm configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Para obtener brevedad, esta muestra la salida del comando solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración del sistema se ha reemplazado por puntos suspensivos (...).
[edit]
userhost# show security utm
utm-policy utmp5 {
web-filtering {
http-profile localprofile1;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Adjuntar políticas de UTM de filtrado web local a políticas de seguridad
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security policies from-zone trust to-zone untrust policy p5 match source-address any set security policies from-zone trust to-zone untrust policy p5 match destination-address any set security policies from-zone trust to-zone untrust policy p5 match application junos-http set security policies from-zone trust to-zone untrust policy p5 then permit application-services utm-policy utmp5
Procedimiento paso a paso
Para adjuntar una política de UTM a una política de seguridad:
Cree y configure la política de seguridad.
[edit security policies from-zone trust to-zone untrust policy p5] user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-http
Aplique la política de UTM a la política de seguridad.
[edit security policies from-zone trust to-zone untrust policy p5] user@host# set then permit application-services utm-policy utmp5
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
userhost# show security policies
from-zone trust to-zone untrust {
policy p5 {
match {
source-address any;
destination-address any;
application junos-http;
}
then {
permit {
application-services {
utm-policy utmp5;
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice la siguiente tarea:
Verificar las estadísticas del filtrado web de UTM
Propósito
Verifique las estadísticas de filtrado web para conexiones que incluyen aciertos de listas permitidas y de listas de bloqueos y aciertos de categorías personalizadas.
Acción
Desde el modo operativo, ingrese el show security utm web-filtering statistics comando.
Salida de muestra
nombre de comando
user@host>show security utm web-filtering statistics
UTM web-filtering statistics:
Total requests: 0
white list hit: 0
Black list hit: 0
Custom category permit: 0
Custom category block: 0
Custom category quarantine: 0
Custom category qurantine block: 0
Custom category quarantine permit: 0
Web-filtering sessions in total: 0
Web-filtering sessions in use: 0
Fallback: log-and-permit block
Default 0 0
Timeout 0 0
Connectivity 0 0
Too-many-requests 0 0
custom-message opción también se admite en una categoría para filtrado web local y perfiles de redirección de Websense. Los usuarios pueden crear varias listas de URL (categorías personalizadas) y aplicarlas a un perfil de filtrado web UTM con acciones como permitir, permitir y registrar, bloquear y poner en cuarentena. Para crear una lista de permitidos global o una lista de bloqueo, aplique un perfil de filtrado web local a una política de UTM y adjunte a una regla global.
custom-messagela
custom-objects instrucción que le permite configurar mensajes de usuario y redirigir direcciones URL para notificar a los usuarios cuando una DIRECCIÓN URL está bloqueada o en cuarentena para cada categoría EWF.