Redirección del filtrado web
La solución de filtrado web de redirección intercepta las solicitudes HTTP y las envía a un servidor de filtrado de URL externo, proporcionado por Websense, para determinar si se bloquean las solicitudes. Para obtener más información, consulte los temas siguientes:
Descripción del filtrado web de redirección
Con el filtrado web de redirección, el módulo de filtrado web intercepta una solicitud HTTP. A continuación, la dirección URL de la solicitud se envía al servidor websense externo, que toma una decisión de permiso o denegación. Si se permite el acceso a la URL en cuestión, la solicitud HTTP original y todas las solicitudes posteriores se envían al servidor HTTP previsto. Pero si se deniega el acceso a la URL en cuestión, se envía un mensaje de bloqueo al cliente.
Esta es una descripción general de cómo el módulo de filtrado web intercepta, redirige y actúa sobre el tráfico web:
Un cliente web establece una conexión TCP con el servidor web.
A continuación, el cliente web envía una solicitud HTTP.
El dispositivo intercepta las solicitudes y extrae la DIRECCIÓN URL. La dirección URL se comprueba con listas permitidas y listas de bloqueo de filtrado web globales. Si no se hace ninguna coincidencia, se utilizan los parámetros de configuración del servidor Websense. De lo contrario, el proceso continúa con el paso 6.
La DIRECCIÓN URL se envía al servidor de Websense para comprobar,
El servidor de Websense devuelve una respuesta que indica si se va a permitir o bloquear la DIRECCIÓN URL.
Si se permite el acceso, la solicitud HTTP original se envía al servidor web. Si se deniega el acceso, el dispositivo envía un mensaje de bloqueo al cliente y desactiva la conexión TCP.
El filtrado web se realiza en todos los métodos definidos en HTTP 1.0 y HTTP 1.1. Sin embargo, el filtrado web de redirección usa la IP de destino como URL cuando está comprobando tráfico HTTPS.
La toma de decisiones desde opciones en tiempo real ofrece un mayor nivel de precisión, por lo tanto, no se admite el almacenamiento en caché para el filtrado web de redirección.
El filtrado web de redirección no requiere una licencia de suscripción.
- Mensajes de usuario y URL de redirección para filtrado web
- Soporte dinámico para las nuevas categorías de EWF de Websense
Mensajes de usuario y URL de redirección para filtrado web
A partir de Junos OS versión 17.4R1, se agrega una nueva opción, custom-message, para la custom-objects instrucción que le permite configurar mensajes de usuario y redirigir direcciones URL para notificar a los usuarios cuando una DIRECCIÓN URL está bloqueada o en cuarentena para cada categoría EWF. La custom-message opción tiene los siguientes atributos obligatorios:
Nombre: Nombre del mensaje personalizado; la longitud máxima es de 59 caracteres ASCII.
Tipo: Tipo de mensaje personalizado:
user-messageoredirect-url.Contenido: Contenido del mensaje personalizado; la longitud máxima es de 1024 caracteres ASCII.
Configure un mensaje de usuario o url de redirección como un objeto personalizado y asigne el objeto personalizado a una categoría EWF.
Los mensajes de usuario indican que el acceso al sitio web ha sido bloqueado por la política de acceso de una organización. Para configurar un mensaje de usuario, incluya la
type user-message content message-textinstrucción en el[edit security utm custom-objects custom-message message]nivel de jerarquía.Las URL de redirección redirigen una URL bloqueada o en cuarentena a una URL definida por el usuario. Para configurar una DIRECCIÓN URL de redirección, incluya la
type redirect-url content redirect-urlinstrucción en el[edit security utm custom-objects custom-message message]nivel de jerarquía.
La custom-message opción ofrece los siguientes beneficios:
Puede configurar un mensaje personalizado independiente o redirigir la URL para cada categoría de EWF.
La
custom-messageopción le permite ajustar los mensajes para que sus policías sepan qué URL está bloqueada o en cuarentena.
Soporte dinámico para las nuevas categorías de EWF de Websense
A partir de Junos OS versión 17.4R1, puede descargar y cargar dinámicamente nuevas categorías de Filtrado web mejorado (EWF). La descarga y carga dinámica de las nuevas categorías de EWF no requieren una actualización de software. Websense ocasionalmente lanza nuevas categorías de EWF. EWF clasifica los sitios web en categorías según el host, la URL o la dirección IP y realiza el filtrado según las categorías. Los usuarios pueden aprovechar las nuevas categorías tan pronto como estén disponibles en lugar de esperar a que se publique un parche.
Las nuevas categorías no afectan a las configuraciones existentes, pero se pueden modificar para hacer uso de las nuevas categorías.
Ver también
Ejemplo: Mejorar la seguridad mediante la configuración del filtrado web de redirección mediante objetos personalizados
En este ejemplo, se muestra cómo administrar el uso de Internet mediante la configuración del filtrado web de redirección mediante objetos personalizados y la prevención del acceso a contenido web inapropiado.
Requisitos
Antes de empezar, obtenga más información sobre el filtrado web. Consulte Descripción general del filtrado web.
Visión general
El beneficio de usar el filtrado web es que extrae las URL de los mensajes de solicitud HTTP y realiza el filtrado de acuerdo con los requisitos. La ventaja de configurar el filtrado web de redirección es que extrae las URL de las solicitudes HTTP y las envía a un servidor de filtrado de URL externo para determinar si se desea permitir o denegar el acceso.
En este ejemplo, configure redirigir objetos personalizados de filtrado Web, redirigir perfiles de entidad de filtrado Web y redirigir las políticas de seguridad de contenido de filtrado web. También adjunta políticas de seguridad de contenido de redirección de filtrado web a políticas de seguridad.
El número de puerto de servidor de redirección websense predeterminado es 15868.
Seleccione la configuración de reserva (bloquear o registrar y permitir) para este perfil, en caso de que se produzcan errores en cada categoría configurada. En este ejemplo, se establece la configuración de reserva para bloquear el perfil. Escriba el número de sockets utilizados para comunicarse entre el cliente y el servidor. El valor predeterminado es 32 para firewalls serie SRX.
Por último, se introduce un valor de tiempo de espera en segundos. Una vez alcanzado este límite, se aplica la configuración del modo de error. El valor predeterminado es de 15 segundos y puede especificar un valor de 1 a 1800 segundos. En este ejemplo, se establece el valor del tiempo de espera en 10.
Topología
La figura 1 muestra la arquitectura general para la función de redirección de Websense.
de redirección de Websense
Configuración
- Configurar el filtrado web de redirección de objetos personalizados
- Configuración de los perfiles de funciones de filtrado web de redirección
- Configurar políticas de seguridad de filtrado web de redirección de contenido y adjuntar políticas de seguridad de filtrado web de redirección de contenido a políticas de seguridad
Configurar el filtrado web de redirección de objetos personalizados
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security utm custom-objects url-pattern urllist4 value 1.2.3.4 set security utm custom-objects url-pattern urllistblack value http://www.untrusted.com set security utm custom-objects url-pattern urllistblack value 13.13.13.13 set security utm custom-objects url-pattern urllistwhite value http://www.trusted.com set security utm custom-objects url-pattern urllistwhite value 7.7.7.7 set security utm custom-objects custom-url-category custurl4 value urllist4 set security utm custom-objects custom-url-category custblacklist value urllistblack set security utm custom-objects custom-url-category custwhitelist value urllistwhite
Procedimiento paso a paso
Para configurar objetos personalizados de filtrado web de redirección:
Cree objetos personalizados y cree la lista de patrones url.
[edit security utm] user@host# set custom-objects url-pattern urllist4 value [http://www.example.net 1.2.3.4]
Configure el objeto personalizado de lista de categorías de URL mediante la lista de patrones URL.
[edit security utm] user@host# set custom-objects custom-url-category custurl4 value urllist4
Crear una lista de sitios que no son de confianza
[edit security utm] user@host# set custom-objects url-pattern urllistblack value [http://www.untrusted.com 13.13.13.13]
Configure el objeto personalizado de lista de categorías de URL mediante la lista de patrones URL de sitios no confiables.
[edit security utm] user@host# set custom-objects custom-url-category custblacklist value urllistblack
Cree una lista de sitios de confianza.
[edit security utm] user@host# set custom-objects url-pattern urllistwhite value [http://www.trusted.com 7.7.7.7]
Configure el objeto personalizado de lista de categorías de URL mediante la lista de patrones URL de sitios de confianza.
[edit security utm] user@host# set custom-objects custom-url-category custwhitelist value urllistwhite
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security utm custom-objects configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
userhost# show security utm custom-objects
url-pattern {
urllist4 {
value [ http://www.example.net 1.2.3.4 ];
}
urllistblack {
value [ http://www.untrusted.com 13.13.13.13 ];
}
urllistwhite {
value [ http://www.trusted.com 7.7.7.7 ];
}
}
custom-url-category {
custurl4 {
value urllist4;
}
custblacklist {
value urllistblack;
}
custwhitelist {
value urllistwhite;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de los perfiles de funciones de filtrado web de redirección
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security utm feature-profile web-filtering url-whitelist custwhitelist set security utm feature-profile web-filtering url-blacklist custblacklist set security utm feature-profile web-filtering type websense-redirect set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 server host Websenseserver set security utm feature-profile web-filtering websense-redirect profile p1 category cust-white-list action log-and-permit set security utm feature-profile web-filtering websense-redirect profile p1 category cust-list2 action permit set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 server port 15868 set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 fallback-settings server-connectivity block set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 fallback-settings timeout block set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 fallback-settings too-many-requests block set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 timeout 10 set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 sockets 1
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar perfiles de características de filtrado web de redirección:
Configure la lista de bloqueo de URL de filtrado web.
[edit security utm feature-profile web-filtering] user@host# set url-blacklist custblacklist
Configure la lista permitida de URL de filtrado web.
[edit security utm feature-profile web-filtering] user@host# set url-whitelist custwhitelist
Especifique el tipo de filtrado web, cree un nombre de perfil y establezca el nombre del servidor o la dirección IP.
[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 server host Websenseserver
Configure la acción
log-and-permitde categoría personalizada ypermitpara la url allowlist y cust-list2, respectivamente.[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 category cust-white-list action log-and-permit user@host# set websense-redirect profile websenseprofile1 category cust-list2 action permit
Escriba el número de puerto para comunicarse con el servidor.
[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 server port 15868
Configure la acción
blockde configuración de reserva para este perfil.[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 fallback-settings default block
user@host# set websense-redirect profile websenseprofile1 fallback-settings server-connectivity block user@host# set websense-redirect profile websenseprofile1 fallback-settings timeout block user@host# set websense-redirect profile websenseprofile1 fallback-settings too-many-requests block
Escriba el número de sockets utilizados para comunicarse entre el cliente y el servidor.
[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 sockets 1
Introduzca un valor de tiempo de espera en segundos.
[edit security utm feature-profile web-filtering] user@host# set .websense-redirect profile websenseprofile1 timeout 10
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security utm feature-profile configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
userhost# show security utm feature-profile
web-filtering {
url-whitelist custwhitelist;
url-blacklist custblacklist;
type websense-redirect {
profile websenseprofile1 {
server {
host Websenseserver;
port 15868;
}
category {
cust-white-list {
action log-and-permit ;
cust-list2 {
action permit;
}
}
}
fallback-settings {
server-connectivity block;
timeout block;
too-many-requests block;
}
timeout 10;
sockets 1;
}
}
}
content-filtering {
profile contentfilter1;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configurar políticas de seguridad de filtrado web de redirección de contenido y adjuntar políticas de seguridad de filtrado web de redirección de contenido a políticas de seguridad
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security utm utm-policy utmp6 web-filtering http-profile websenseprofile1 set security policies from-zone trust to-zone untrust policy p6 match source-address any set security policies from-zone trust to-zone untrust policy p6 match destination-address any set security policies from-zone trust to-zone untrust policy p6 match application junos-http set security policies from-zone trust to-zone untrust policy p6 then permit application-services utm-policy utmp6
Procedimiento paso a paso
Para configurar una política de seguridad de contenido y adjuntarla a una política de seguridad:
-
Cree la política de seguridad de contenido que hace referencia a un perfil.
[edit security utm] user@host# set utm-policy utmp6 web-filtering http-profile websenseprofile1
Cree y configure la política de seguridad.
[edit security policies from-zone trust to-zone untrust policy p6] user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-http
-
Adjunte la política de seguridad de contenido a la política de seguridad.
[edit security policies from-zone trust to-zone untrust policy p6] user@host# set then permit application-services utm-policy utmp6
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security utm configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
userhost# show security utm
utm-policy utmp6 {
web-filtering {
http-profile websenseprofile1;
}
}
Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
userhost# show security policies
from-zone trust to-zone untrust {
policy p6 {
match {
source-address any;
destination-address any;
application junos-http;
}
then {
permit {
application-services {
utm-policy utmp6;
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar la configuración de los objetos personalizados de redirección de filtrado web
- Verificar la configuración de perfiles de características de filtrado web de redirección
- Verificar el archivo adjunto de redirigir las políticas de seguridad de contenido de filtrado web a políticas de seguridad
Verificar la configuración de los objetos personalizados de redirección de filtrado web
Propósito
Compruebe la configuración de los objetos personalizados de redirección de filtrado web.
Acción
Desde la parte superior de la configuración en modo de configuración, escriba el show security utm custom-objects comando.
[edit]
userhost# show security utm custom-objects
url-pattern {
urllist4 {
value [ http://www.example.net 1.2.3.4 ];
}
urllistblack {
value [ http://www.untrusted.com 13.13.13.13 ];
}
urllistwhite {
value [ http://www.trusted.com 7.7.7.7 ];
}
}
custom-url-category {
custurl4 {
value urllist4;
}
custblacklist {
value urllistblack;
}
custwhitelist {
value urllistwhite;
}
}
Significado
El resultado de ejemplo muestra la lista de objetos personalizados creados.
Verificar la configuración de perfiles de características de filtrado web de redirección
Propósito
Compruebe la configuración de los perfiles de funciones de filtrado web de redirección.
Acción
Desde la parte superior de la configuración en modo de configuración, escriba el show security utm feature-profile comando.
[edit]
userhost# show security utm feature-profile
web-filtering {
url-whitelist custwhitelist;
url-blacklist custblacklist;
type websense-redirect {
profile websenseprofile1 {
server {
host Websenseserver;
port 15868;
}
fallback-settings {
server-connectivity block;
timeout block;
too-many-requests block;
}
timeout 10;
sockets 1;
}
}
}
content-filtering {
profile contentfilter1;
}
Significado
El resultado de ejemplo muestra el perfil de entidad configurado para un servidor de redirección de Websense.
Verificar el archivo adjunto de redirigir las políticas de seguridad de contenido de filtrado web a políticas de seguridad
Propósito
Compruebe los datos adjuntos de la redirección de redirección web filtrado políticas de seguridad de contenido a las políticas de seguridad.
Acción
Desde la parte superior de la configuración en modo de configuración, escriba los show security utm comandos y show security policies .
[edit]
userhost# show security utm
utm-policy utmp6 {
web-filtering {
http-profile websenseprofile1;
}
}
[edit]
userhost# show security policies
from-zone trust to-zone untrust {
policy p6 {
match {
source-address any;
destination-address any;
application junos-http;
}
then {
permit {
application-services {
utm-policy utmp6;
}
}
}
}
}
Significado
El resultado de ejemplo muestra las políticas de seguridad a las que se adjuntan las políticas de seguridad de contenido de redirección de redirección recién creada.
custom-message, para la
custom-objects instrucción que le permite configurar mensajes de usuario y redirigir direcciones URL para notificar a los usuarios cuando una DIRECCIÓN URL está bloqueada o en cuarentena para cada categoría EWF.