Filtrado web mejorado
El filtrado Web proporciona la capacidad de filtrado de URL mediante un servidor Websense local o un servidor SurfControl basado en Internet. Para obtener más información, consulte los temas siguientes:
Descripción general del filtrado web mejorado
El filtrado web mejorado (EWF) con Websense es una solución integrada de filtrado de URL. Cuando habilita la solución en el dispositivo, intercepta las solicitudes HTTP y HTTPS y envía la URL HTTP o la IP de origen HTTPS a Websense ThreatSeeker Cloud (TSC). El TSC clasifica la URL en una o más categorías que están predefinidas y también proporciona información de reputación del sitio. El TSC devuelve además la categoría de URL y la información de reputación del sitio al dispositivo. El dispositivo determina si puede permitir o bloquear la solicitud en función de la información proporcionada por el TSC.
A partir de Junos OS versión 15.1X49-D40 y Junos OS versión 17.3R1, EWF admite el tráfico HTTPS interceptando el tráfico HTTPS que pasa a través del firewall de la serie SRX. El canal de seguridad del dispositivo se divide en un canal SSL entre el cliente y el dispositivo y otro canal SSL entre el dispositivo y el servidor HTTPS. El proxy de reenvío SSL actúa como terminal para ambos canales y reenvía el tráfico de texto sin cifrar a Content Security. Content Security extrae la URL del mensaje de solicitud HTTP.
Puede considerar la solución EWF como la solución de filtrado de URL de próxima generación, basándose en la solución Surf-Control existente.
El filtrado web mejorado admite los siguientes métodos HTTP:
OBTENER
EXPONER
OPCIONES
CABEZA
PONER
BORRAR
RASTRO
CONECTAR
Mensajes de usuario y URL de redireccionamiento para filtrado web mejorado (EWF)
A partir de Junos OS versión 15.1X49-D110, se agrega una nueva opción, custom-message
, para el custom-objects
comando que permite configurar mensajes de usuario y URL de redireccionamiento para notificar a los usuarios cuando una URL está bloqueada o en cuarentena para cada categoría de EWF. La custom-message
opción tiene los siguientes atributos obligatorios:
Nombre: nombre del mensaje personalizado; La longitud máxima es de 59 bytes.
Tipo: Tipo de mensaje personalizado:
user-message
oredirect-url
.Contenido: contenido del mensaje personalizado; La longitud máxima es de 1024 bytes.
Configure un mensaje de usuario o una URL de redirección como un objeto personalizado y asigne el objeto personalizado a una categoría EWF.
Los mensajes de usuario indican que la directiva de acceso de una organización ha bloqueado el acceso al sitio web. Para configurar un mensaje de usuario, incluya la
type user-message content message-text
instrucción en el nivel de[edit security utm custom-objects custom-message message]
jerarquía.Las URL de redireccionamiento redirigen una URL bloqueada o en cuarentena a una URL definida por el usuario. Para configurar una dirección URL de redireccionamiento, incluya la
type redirect-url content redirect-url
instrucción en el nivel jerárquico[edit security utm custom-objects custom-message message]
.
La custom-message
opción ofrece las siguientes ventajas:
Puede configurar un mensaje personalizado independiente o una URL de redirección para cada categoría de EWF.
La
custom-message
opción le permite ajustar los mensajes para admitir sus políticas para saber qué URL está bloqueada o en cuarentena.Solo se aplica una
custom-message
opción de configuración para cada categoría. Lacustom-message
configuración solo se admite en el filtrado web mejorado (EWF). Por lo tanto, solo se admite el tipo de motor EWF de Juniper.
A partir de Junos OS versión 17.4R1, la compatibilidad con la configuración de categorías personalizadas está disponible para los perfiles de redireccionamiento local y de Websense.
Ver también
Descripción del proceso de filtrado web mejorado
El filtrado web permite administrar el acceso a Internet, evitando el acceso a contenido web inapropiado. La función de filtrado web mejorado (EWF) intercepta, analiza y actúa sobre el tráfico HTTP o HTTPS de la siguiente manera:
El dispositivo crea conexiones de socket TCP a Websense ThreatSeeker Cloud (TSC).
El dispositivo intercepta una conexión HTTP o HTTPS y extrae la dirección URL, el nombre de host o la dirección IP para realizar el filtrado web. Para una conexión HTTPS, EWF es compatible a través del proxy de reenvío SSL.
A partir de Junos OS versión 12.3X48-D25 y Junos OS versión 17.3R1, el filtrado web mejorado (EWF) a través de proxy de reenvío SSL admite tráfico HTTPS.
El dispositivo busca la URL en la lista de bloqueo o lista de permitidos configurada por el usuario.
Un tipo de acción de lista de bloqueo o lista de permitidos es una categoría definida por el usuario en la que todas las URL o direcciones IP siempre están bloqueadas o permitidas y, opcionalmente, se registran.
Si la URL está en la lista de bloqueo configurada por el usuario, el dispositivo bloquea la URL.
Si la URL está en la lista de permitidos configurada por el usuario, el dispositivo permite la URL.
El dispositivo comprueba las categorías definidas por el usuario y bloquea o permite la URL en función de la acción especificada por el usuario para la categoría.
El dispositivo busca la categoría predefiend en la caché local o en el servicio en la nube.
Si la URL no está disponible en la caché de filtrado de URL, el dispositivo envía la URL en formato HTTP al TSC con una solicitud de categorización. El dispositivo utiliza una de las conexiones puestas a disposición del TSC para enviar la solicitud.
El TSC responde al dispositivo con la categorización y una puntuación de reputación.
El dispositivo realiza las siguientes acciones en función de la categoría identificada:
Si la URL está permitida, el dispositivo reenvía la solicitud HTTP al servidor HTTP.
Si la URL está bloqueada, el dispositivo envía una página de denegación al cliente HTTP y también envía un mensaje de restablecimiento al servidor HTTP para cerrar la conexión
Si la URL está en cuarentena, el dispositivo envía una página de cuarentena con set-cookie al cliente HTTP. Si el cliente decide continuar, el dispositivo permite una nueva solicitud con cookie.
Si la categoría está configurada y la acción de categoría está disponible, el dispositivo permite o bloquea la URL en función de la acción de categoría.
Si la categoría no está configurada, el dispositivo permite o bloquea la URL en función de la acción de reputación global.
Si la reputación global no está configurada, el dispositivo permite o bloquea la dirección URL en función de la acción predeterminada configurada en el perfil de filtrado web.
De forma predeterminada, el EWF procesa una URL en el orden de lista de bloqueo, lista de permitidos, categoría personalizada y, a continuación, categoría predefinida.
- Requisitos funcionales para un filtrado web mejorado
- Precarga de caché para un filtrado web mejorado
- Mensajes de usuario y URL de redireccionamiento para filtrado web mejorado (EWF)
- Selección inteligente de perfiles de filtrado web
Requisitos funcionales para un filtrado web mejorado
Los siguientes elementos son necesarios para usar el filtrado web mejorado (EWF):
License key— Debe instalar una nueva licencia para actualizar a la solución EWF.
Puede ignorar el mensaje de advertencia "requiere una licencia 'wf_key_websense_ewf'" porque se genera mediante la comprobación rutinaria de validación de la licencia EWF.
Se proporciona un período de gracia de 30 días, coherente con otras funciones de seguridad de contenido, para la función EWF después de que caduque la clave de licencia.
Esta función requiere una licencia. Consulte la Guía de licencias para obtener información general sobre la administración de licencias. Consulte las hojas de datos del producto en Firewalls de la serie SRX para obtener más información, o comuníquese con su equipo de cuentas de Juniper o con su socio de Juniper.
Cuando el período de gracia para la característica EWF ha pasado (o si la característica no se ha instalado), el filtrado web se deshabilita, todas las solicitudes HTTP omiten el filtrado web y se deshabilitan todas las conexiones al TSC. Al instalar una licencia válida, las conexiones con el servidor se establecen de nuevo.
El
debug
comando proporciona la siguiente información a cada conexión TCP disponible en el dispositivo:Número de solicitudes procesadas
Número de solicitudes pendientes
Número de errores (solicitudes retiradas o agotadas agotadas)
TCP connection between a Web client and a webserver: se utiliza un módulo de identificación de aplicaciones (APPID) para identificar una conexión HTTP. La solución EWF identifica una conexión HTTP después de que el dispositivo recibe el primer paquete SYN. Si es necesario bloquear una solicitud HTTP, EWF envía un mensaje de bloqueo desde el dispositivo al cliente web. EWF envía además una solicitud TCP FIN al cliente y un restablecimiento de TCP (RST) al servidor para deshabilitar la conexión. El dispositivo envía todos los mensajes a través de la sesión de flujo. Los mensajes siguen toda la cadena de servicio.
HTTP request interception—EWF intercepta la primera solicitud HTTP en el dispositivo y realiza el filtrado de URL en todos los métodos definidos en HTTP 1.0 y HTTP 1.1. El dispositivo retiene la solicitud original mientras espera una respuesta del TSC. Si el primer paquete de la URL HTTP está fragmentado o si el dispositivo no puede extraer la URL por algún motivo, se utiliza la dirección IP de destino para la categorización. Si activa
http-reassemble
, EWF puede recuperar toda la solicitud del fragmento y obtener la URL.Para las conexiones persistentes HTTP 1.1, el módulo EWF ignora las solicitudes posteriores en esa sesión.
Si el dispositivo retiene la solicitud original durante mucho tiempo, el cliente retransmitirá la solicitud. El código de filtrado de URL detectará los paquetes retransmitidos. Si la solicitud HTTP original ya ha sido reenviada, entonces EWF reenvía el paquete retransmitido al servidor. Sin embargo, si EWF está en medio del procesamiento del primer paquete o hace el cálculo para bloquear la sesión, la solución descarta el paquete retransmitido. Un contador realiza un seguimiento del número de paquetes retransmitidos recibidos por el dispositivo.
Si el TSC no responde a tiempo a la solicitud de categorización del dispositivo, la solicitud del cliente original se bloquea o se permite de acuerdo con la configuración de reserva de tiempo de espera.
HTTPS request interception—A partir de Junos OS 15.1X49-D40 y Junos OS versión 17.3R1, EWF intercepta el tráfico HTTPS que pasa a través del firewall de la serie SRX. El canal de seguridad del dispositivo se divide en un canal SSL entre el cliente y el dispositivo y otro canal SSL entre el dispositivo y el servidor HTTPS. El proxy de reenvío SSL actúa como terminal para ambos canales y reenvía el tráfico de texto sin cifrar a Content Security. Content Security extrae la URL del mensaje de solicitud HTTP.
Blocking message: el mensaje de bloqueo enviado al cliente Web es configurable por el usuario y es de los siguientes tipos:
El mensaje de bloqueo de Juniper Networks es el mensaje predeterminado definido en el dispositivo que puede ser modificado por el usuario. El mensaje de bloqueo predeterminado contiene el motivo por el que se bloquea la solicitud y el nombre de la categoría (si está bloqueada debido a una categoría).
Mensaje de Syslog.
Por ejemplo, si ha establecido la acción para Enhanced_Search_Engines_and_Portals para bloquear e intenta tener acceso a www.example.com, el mensaje de bloqueo tiene el siguiente formato: Juniper Web Filtering:Juniper Web Filtering has been set to block this site. CATEGORY: Enhanced_Search_Engines_and_Portals REASON: BY_PRE_DEFINED . Sin embargo, el mensaje syslog correspondiente en el dispositivo bajo prueba (DUT) es: WEBFILTER_URL_BLOCKED: WebFilter: ACTION="URL Blocked" 56.56.56.2(59418)->74.125.224.48(80) CATEGORY="Enhanced_Search_Engines_and_Portals" REASON="by predefined category" PROFILE="web-ewf" URL=www.example.com OBJ=/ .
Monitoring the Websense server—El módulo de filtrado de URL utiliza dos métodos para determinar si el TSC está activo: conexiones de socket y latidos. EWF mantiene sockets TCP persistentes con el TSC. El servidor responde con un TCP ACK si está habilitado. EWF envía una capa de aplicación NOOP keepalive al TSC. Si el dispositivo no recibe respuestas a tres keepalives NOOP consecutivos en un período específico, determina que el zócalo está inactivo. El módulo EWF intenta abrir una nueva conexión al TSC. Si todos los enchufes están inactivos, el TSC se considera inactivo. Por lo tanto, se produce un error. El error se muestra y se registra. Las solicitudes subsiguientes y las solicitudes pendientes se bloquean o se pasan de acuerdo con la configuración de reserva de conectividad del servidor hasta que se abran de nuevo nuevas conexiones al TSC.
HTTP protocol communication with the TSC—EWF utiliza el protocolo HTTP 1.1 para comunicarse con el TSC. Esto garantiza una conexión persistente y la transmisión de varias solicitudes HTTP a través de la misma conexión. Se utiliza una única solicitud o respuesta HTTP para la comunicación con el cliente o el servidor. El TSC puede manejar solicitudes en cola; Para un rendimiento óptimo, se utiliza un mecanismo asíncrono de solicitud o respuesta. Las solicitudes se envían a través de TCP, por lo que la retransmisión TCP se utiliza para garantizar la entrega de solicitudes o respuestas. TCP también garantiza que se envíen datos de secuencia HTTP válidos en orden y no retransmitidos al cliente HTTP en el dispositivo.
Responses: las respuestas se ajustan a las convenciones HTTP básicas. Las respuestas correctas incluyen un código de respuesta 20x (normalmente 200). Una respuesta de error incluye un código 4xx o 5xx. Las respuestas de error de la serie 4xx indican problemas en el código personalizado. Las respuestas de error de la serie 5xx indican problemas con el servicio.
Los códigos y significados de error son los siguientes:
400–Solicitud incorrecta
403–Prohibido
404–No encontrado
408–Solicitud de respuesta cancelada o nula
500: Error interno del servidor
Los errores en la serie 400 indican problemas con la solicitud. Los errores en la serie 500 indican problemas con el servicio TSC. Websense recibe notificaciones de estos errores automáticamente y responde en consecuencia.
Puede configurar la opción de reserva predeterminada para determinar si desea pasar o bloquear la solicitud:
set security utm feature-profile web-filtering juniper-enhanced profile juniper-enhanced fallback-settings default ?
La respuesta también contiene la categorización del sitio y la información de reputación del sitio.
Categories: hay una lista de categorías disponible en el dispositivo. Esta lista consta de categorías, cada una de las cuales contiene un código de categoría, un nombre y un ID principal. Las categorías también pueden ser definidas por el usuario. Cada categoría consiste en una lista de URL o direcciones IP. Las categorías no se actualizan dinámicamente y están vinculadas a la versión de Junos OS porque tienen que compilarse en la imagen de Junos OS. Cualquier actualización en categorías debe sincronizarse con el ciclo de lanzamiento de Junos OS.
A partir de Junos OS versión 17.4R1, puede descargar y cargar dinámicamente nuevas categorías de EWF. La descarga y carga dinámica de las nuevas categorías EWF no requieren una actualización de software. Websense ocasionalmente lanza nuevas categorías EWF. EWF clasifica los sitios web en categorías según el host, la URL o la dirección IP y realiza un filtrado basado en las categorías.
Si la transferencia de archivos de categoría falla entre los dispositivos primarios y secundarios, la transferencia de archivos produce un error de actualización y se genera un registro de errores.
Durante la instalación del nuevo archivo de categoría, si se cambia el nombre de archivo de categoría, el nuevo archivo de categoría sobrescribe el archivo de categoría antiguo en el sistema interno y toda la información de salida relacionada se reemplaza con el nuevo nombre de categoría.
A partir de Junos OS versión 17.4R1, los filtros base predefinidos, definidos en un archivo de categoría, son compatibles con categorías EWF individuales. Cada categoría EWF tiene una acción predeterminada en un filtro base, que se adjunta al perfil de usuario para actuar como filtro de reserva. Si las categorías no están configuradas en el perfil de usuario, el filtro base realiza la acción.
Un filtro base es un objeto que contiene un par categoría-acción para todas las categorías definidas en el archivo de categoría. Un filtro base es un objeto estructurado y se define con la ayuda de un nombre de filtro y una matriz de pares categoría-acción.
A continuación se muestra un ejemplo de un filtro base con una matriz de pares categoría-acción. Para la categoría Enhanced_Adult_Material, la acción es bloquear; para la categoría Enhanced_Blog_Posting, la acción es permiso; y así sucesivamente.
{ "predefined-filter": [ { "filter-name": "ewf-default-filter", "cat-action-table": [ {"name":"Enhanced_Adult_Material","action":"block"}, {"name":"Enhanced_Blog_Posting","action":"permit"}, {"name":"Enhanced_Blog_Commenting","action":"permit"} ] } ] }
EWF admite hasta 16 filtros base. Junos OS versión 17.4R1 también admite la actualización en línea de filtros base.
Si el perfil de usuario tiene el mismo nombre que el filtro base, el filtro web utiliza el perfil incorrecto.
Caching: las respuestas categorizadas correctamente se almacenan en caché en el dispositivo. Las URL sin categorizar no se almacenan en caché. El tamaño de la caché puede ser configurado por el usuario.
Safe search (HTTP support only, not HTTPS)—Se utiliza una solución de búsqueda segura para garantizar que los objetos incrustados, como las imágenes en las URL recibidas de los motores de búsqueda, sean seguros y que no se devuelva ningún contenido no deseado al cliente.
Se proporciona una URL al TSC para proporcionar información de categorización. Si se trata de una URL de búsqueda, el TSC también devuelve una cadena de búsqueda segura. Por ejemplo, la cadena de búsqueda segura es safe=active. Esta cadena de búsqueda segura se anexa a la dirección URL y se activa una respuesta de redirección para redirigir la consulta del cliente con búsqueda segura. Esto garantiza que no se devuelva ningún contenido no seguro al cliente. Si el TSC indica que necesita una búsqueda segura, puede realizar la redirección de búsqueda segura.
Por ejemplo, el cliente realiza una solicitud al https://www.google.com/search?q=test de URL, que está permitido por el perfil EWF. En el modo de paquete, el EWF en el DUT generará una respuesta HTTP 302, con la URL de redireccionamiento: https://www.google.com/search?q=test&safe=active. Esta respuesta vuelve al cliente. El cliente ahora envía una solicitud de redireccionamiento seguro a esta URL. En el modo de transmisión, el EWF en el DUT reescribe la URL para https://www.google.com/search?q=test&safe=active y la reenvía.
Nota:La redirección de búsqueda segura solo admite HTTP. No puede extraer la dirección URL de HTTPS. Por lo tanto, no es posible generar una respuesta de redireccionamiento para las URL de búsqueda HTTPS. Los redireccionamientos de búsqueda segura se pueden deshabilitar mediante la opción
no-safe-search
CLI .Site reputation—El TSC proporciona información sobre la reputación del sitio. En función de estas reputaciones, puede elegir un bloqueo o una acción de permiso. Si la URL no se controla mediante una lista de permitidos o una lista de bloqueo y no pertenece a un usuario o categoría predefinida, la reputación se puede utilizar para realizar una decisión de filtrado de URL.
A partir de Junos OS versión 17.4R1, las puntuaciones base de reputación son configurables. Los usuarios pueden aplicar valores de reputación global, proporcionados por Websense ThreatSeeker Cloud (TSC). Para las URL que no son de categoría, el valor de reputación global se utiliza para realizar el filtrado,
Las puntuaciones de reputación son las siguientes:
100-90–El sitio se considera muy seguro.
80-89–El sitio se considera moderadamente seguro.
70-79–El sitio se considera bastante seguro.
60-69–El sitio se considera sospechoso.
0-59–El sitio se considera dañino.
El dispositivo mantiene un registro de las URL bloqueadas o permitidas en función de las puntuaciones de reputación del sitio.
Profiles: un perfil de filtrado de URL se define como una lista de categorías, y cada perfil tiene un tipo de acción (permiso, registro y permiso, bloqueo, cuarentena) asociado. Se proporciona un perfil junos-wf-enhanced-default predefinido a los usuarios si deciden no definir su propio perfil.
También puede definir una acción basada en la reputación del sitio en un perfil para especificar la acción cuando la URL entrante no pertenece a ninguna de las categorías definidas en el perfil. Si no configura la información de manejo de reputación del sitio, puede definir una acción predeterminada. Todas las URL que no tengan una categoría definida o una acción de reputación definida en su perfil se bloquearán, se permitirán, se registrarán y permitirán, o se pondrán en cuarentena dependiendo del bloqueo o manejo de permisos para la acción predeterminada definida explícitamente en el perfil. Si no especifica una acción predeterminada, se permitirán las direcciones URL. Para las solicitudes de motores de búsqueda, si no hay una configuración explícita definida por el usuario y la solicitud de URL no tiene la opción de búsqueda segura, EWF genera una respuesta de redirección y la envía al cliente. El cliente generará una nueva solicitud de búsqueda con la opción de búsqueda segura habilitada.
Un perfil de filtrado de URL puede contener los siguientes elementos:
Varias categorías predefinidas y definidas por el usuario, cada una con una acción de permiso o bloqueo
Múltiples categorías de manejo de reputación de sitios, cada una con una acción de permiso o bloqueo
Una acción predeterminada con una acción de permiso o bloqueo
El orden de búsqueda es lista de bloqueo, lista de permitidos, categoría definida por el usuario, categoría predefinida, búsqueda segura, reputación del sitio y acción predeterminada.
Precarga de caché para un filtrado web mejorado
A partir de Junos OS versión 23.2R1, la caché se carga con la lista de URL mejor valoradas y visitadas con frecuencia, junto con la información de clasificación en la fase de inicio del sistema. Esto es útil para los usuarios con una conexión lenta a Internet que experimentan una alta latencia mientras acceden a la Web debido al servicio de categorización remota. Garantiza que no haya demoras incluso cuando se realiza la primera solicitud, ya que la decisión de la política de filtro web se basa en la información de categoría de URL que está precargada en la memoria caché.
La caché no está habilitada de forma predeterminada. Asegúrese de que el almacenamiento en caché esté habilitado para usar esta función. Las siguientes configuraciones son necesarias para habilitar el almacenamiento en caché para el filtrado web mejorado (EWF) y están disponibles en los firewalls de la serie SRX.
-
security utm default-configuration web-filtering juniper-enhanced cache timeout
-
security utm default-configuration web-filtering juniper-enhanced cache size
Utilice las siguientes opciones de instrucción de configuración de CLI para la precarga de caché para el filtrado web mejorado:
security { utm { default-configuration { web-filtering { juniper-enhanced { cache-preload { feed-url <URL>; automatic { interval 1; retry 1; feed-type <server-names-feed>; } } } } } } }
feed-url | Se utiliza para descargar un archivo alternativo en lugar del archivo codificado por defecto. No es obligatorio. Los valores predeterminados codificados de forma rígida se utilizan si no está establecido. URL predeterminada del feed: https://update.juniper-updates.net/EWF-CACHE-PRELOAD/ Se utiliza uno de los siguientes valores predeterminados en función del tipo de fuente: https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_feed.tgz https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_feed.tgz |
Automático | Se utiliza para configurar la descarga y precarga de caché automáticamente sin interacción del usuario. |
Intervalo automático <tiempo en horas> | Se utiliza para programar la precarga automática de la memoria caché. Es obligatorio si se especifica la opción automática. |
Reintento automático <tiempo en horas> | Se utiliza para programar un reintento si la precarga automática de caché falla por algún motivo. Es obligatorio si se especifica la opción automática. |
Tipo de feed automático <abs-urls-feed o server-names-feed> | Se utiliza para especificar el tipo de fuente que se utilizará mediante las funciones de descarga automática y precarga. Es obligatorio si se especifica la opción automática. |
Puede limitar el número máximo de entradas en la memoria caché mediante el siguiente comando:
set security utm default-configuration web-filtering juniper-enhanced cache size ?
Posibles terminaciones:
<size> Juniper enhanced cache size (0..4096 kilobytes)
Hay nuevos comandos operativos disponibles en la CLI para la función de precarga de caché de filtrado web mejorado.
Puede utilizar los comandos operativos para descargar la fuente de URL de su elección desde el servidor remoto. La opción Feed-URL es útil para descargar un archivo alternativo en lugar del archivo codificado por defecto. Incluso con la opción Feed-URL, la opción server-names-feed y la opción abs-urls-feed deben indicar el tipo de feed que está disponible en el paquete que ha especificado.
-
request security utm web-filtering cache-preload download abs-urls-feed
-
request security utm web-filtering cache-preload download server-names-feed
-
request security utm web-filtering cache-preload download server-names-feed feed-url https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_fp_feed.tgz
-
request security utm web-filtering cache-preload download abs-urls-feed feed-url https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_fp_feed.tgz
El paquete de tipo server-names-feed especificado por el usuario debe contener los server_names_feed.csv archivos y server_names_feed.ver .
El paquete de tipo abs-urls-feed must especificado por el usuario contiene los abs_urls_feed.csv archivos y abs_urls_feed.ver .
Los siguientes son los enlaces codificados. El programa elige un enlace basado en el tipo de feed.
https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_feed.tgz
https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_feed.tgz
Utilice los siguientes comandos operativos para activar la precarga de caché mediante la fuente de URL existente en el sistema. Estos comandos cargan la memoria caché si el paquete ya estaba instalado mediante los comandos para la descarga. Utilice la opción server-names-feed para precargar los nombres de servidor categorizados. Usa abs-urls-feed para precargar el feed de URL categorizado.
-
request security utm web-filtering cache-preload load-active-local server-names-feed
-
request security utm web-filtering cache-preload load-active-local abs-urls-feed
Use lo siguiente para descargar, instalar la fuente de URL predeterminada desde el servidor remoto y también cargar la memoria caché. Utilice la opción server-names-feed para descargar nombres de servidor categorizados. Utilice abs-urls-feed para descargar el feed de URL categorizado.
-
request security utm web-filtering cache-preload load-active server-names-feed
-
request security utm web-filtering cache-preload load-active abs-urls-feed
Para comprobar el estado de la función de precarga de caché, utilice el siguiente comando:
user@host> show security utm web-filtering cache-preload status
Mensajes de usuario y URL de redireccionamiento para filtrado web mejorado (EWF)
A partir de Junos OS versión 15.1X49-D110, se agrega una nueva opción, custom-message
, para la custom-objects
instrucción que permite configurar mensajes de usuario y URL de redireccionamiento para notificar a los usuarios cuando una URL está bloqueada o en cuarentena para cada categoría de EWF. La custom-message
opción tiene los siguientes atributos obligatorios:
Nombre: nombre del mensaje personalizado; la longitud máxima es de 59 caracteres ASCII.
Tipo: Tipo de mensaje personalizado:
user-message
oredirect-url
.Contenido: contenido del mensaje personalizado; la longitud máxima es de 1024 caracteres ASCII.
Configure un mensaje de usuario o una URL de redirección como un objeto personalizado y asigne el objeto personalizado a una categoría EWF.
Los mensajes de usuario indican que la directiva de acceso de una organización ha bloqueado el acceso al sitio web. Para configurar un mensaje de usuario, incluya la
type user-message content message-text
instrucción en el nivel de[edit security utm custom-objects custom-message message]
jerarquía.Las URL de redireccionamiento redirigen una URL bloqueada o en cuarentena a una URL definida por el usuario. Para configurar una dirección URL de redireccionamiento, incluya la
type redirect-url content redirect-url
instrucción en el nivel jerárquico[edit security utm custom-objects custom-message message]
.
La custom-message
opción ofrece las siguientes ventajas:
Puede configurar un mensaje personalizado independiente o una URL de redirección para cada categoría de EWF.
La
custom-message
opción le permite ajustar los mensajes para admitir sus políticas para saber qué URL está bloqueada o en cuarentena.Solo se aplica una
custom-message
opción de configuración para cada categoría. Lacustom-message
configuración solo se admite en el filtrado web mejorado (EWF). Por lo tanto, solo se admite el tipo de motor EWF de Juniper.
A partir de Junos OS versión 17.4R1, la compatibilidad con la configuración de categorías personalizadas está disponible para los perfiles de redireccionamiento local y de Websense.
Selección inteligente de perfiles de filtrado web
A partir de Junos OS versión 23.2R1, la información dinámica de aplicaciones de JDPI se utiliza para recuperar información de políticas antes de que se realice la coincidencia final de políticas. El perfil de filtro web se actualiza de nuevo después de la selección final de la directiva basada en la coincidencia final de la aplicación.
El perfil de seguridad de contenido que se recupera en función de la información dinámica de la aplicación es más preciso que aplicar el perfil predeterminado, que era el enfoque anterior.
La detección dinámica de políticas basadas en aplicaciones es ahora el comportamiento predeterminado. Se agrega el siguiente botón en la jerarquía de configuración predeterminada del filtrado web para deshabilitar la característica de detección de perfiles de aplicaciones dinámicas si es necesario.
set security utm default-configuration web-filtering disable-dynapp-profile-selection
Para hacer que una de las directivas de seguridad de contenido sea predeterminada, se introduce el siguiente comando:
set security utm default-policy <pol_name>
Puede elegir cualquier política de seguridad de contenido como política predeterminada mediante este comando. Si la directiva predeterminada se configura en un escenario de configuración unificada de varias políticas, se utiliza la directiva predeterminada de filtrado web de Content Security. Si no está configurada, se utiliza junos-default-utm-policy como política predeterminada.
Los cambios de directiva predeterminados solo se aplican al filtrado Web y no al filtrado de contenido, antivirus o antispam.
El siguiente comando de CLI se usa para mostrar la configuración de dynapp-profile-selection:
show security utm web-filtering status
Seguridad de contenido Estado del filtrado web:
Server status: Juniper Enhanced using Websense server UP
JDPI Parser : Enabled
Dynapp-profile-selection: Enabled
Use el siguiente comando para mostrar los valores del contador de depuración para las actividades de búsqueda de directivas:
show security utm l7-app-policy statistics
Se agregan nuevos contadores a las estadísticas de filtrado web para la depuración.
Sesiones combinadas con la política de dynapp |
Aumenta cada vez que cambia la política asociada a una sesión de uf_ng en función del app-id recién identificado. |
Sesiones coincidentes con la política predeterminada |
Aumenta cuando la acción de política de seguridad de contenido realizada para una conexión se basa en la directiva predeterminada configurada por el usuario. Este contador aumenta cuando la directiva predeterminada configurada por el usuario es la misma que la directiva identificada por la nueva aplicación dinámica o cuando la directiva predeterminada configurada por el usuario tiene un perfil de filtrado web de seguridad de contenido válido y ninguna directiva coincide con la directiva de firewall existente. |
Sesiones emparejadas con la política final |
Aumenta cuando se realiza una acción en una política de seguridad de contenido sin ningún conflicto de políticas. |
Utilice el show services application-identification application-system-cache
comando para comprobar la aplicación dinámica identificada por el módulo AppID.
Ver también
Descripción general de la actualización de categorías predefinidas y la configuración del filtro base
Puede descargar y cargar dinámicamente nuevas categorías de filtrado web mejorado (EWF) sin necesidad de actualizar el software. Los filtros base predefinidos definidos en un archivo de categoría son compatibles con categorías EWF individuales.
Para configurar una actualización de categoría predefinida sin ninguna actualización de software:
mostrar objetos personalizados UTM de seguridad
category-package{ automatic{ interval 60; enable; start-time "2017-09-05.08.08.08"; } route-instance VRF; url https://update.juniper-updates.net/EWF; }
Mostrar seguridad UTM feature-profile filtrado web Juniper-Enhanced
server { host rp.cloud.threatseeker.com; } sockets 8; profile ewf_p1 { + base-filter gov-filter; default log-and-permit; timeout 15; } +reputation { reputation-very-safe 90; reputation-moderately-safe 80; reputation-fairly-safe 70; reputation-suspicious 60; }
Ver también
Ejemplo: configuración del filtrado web mejorado
En este ejemplo se muestra cómo configurar el filtrado web mejorado (EWF) para administrar el acceso al sitio web. Esta función es compatible con todos los firewalls de la serie SRX. La solución EWF intercepta las solicitudes HTTP y HTTPS y envía la URL HTTP o la IP de origen HTTPS a Websense ThreatSeeker Cloud (TSC). El TSC clasifica la URL en una o más categorías predefinidas y también proporciona información de reputación del sitio. El TSC devuelve además la categoría de URL y la información de reputación del sitio al dispositivo. El firewall de la serie SRX determina si puede permitir o bloquear la solicitud en función de la información proporcionada por el TSC.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
SRX5600 dispositivo
Junos OS versión 12.1X46-D10 o posterior
Antes de comenzar, debe estar familiarizado con el filtrado web y el filtrado web mejorado (EWF). Consulte Descripción general del filtrado web y Descripción del proceso de filtrado web mejorado.
Visión general
El filtrado web se utiliza para supervisar y controlar cómo los usuarios acceden al sitio web a través de HTTP y HTTPS. En este ejemplo, se configura una lista de patrones de URL (lista de permitidos) de direcciones URL o direcciones que desea omitir. Después de crear la lista de patrones de direcciones URL, defina los objetos personalizados. Después de definir los objetos personalizados, aplíquelos a los perfiles de características para definir la actividad en cada perfil, aplique el perfil de característica a la directiva de seguridad de contenido y, por último, adjunte las directivas de seguridad de contenido de filtrado web a las directivas de seguridad. La tabla 3 muestra información sobre el tipo de configuración, los pasos y los parámetros de EWF utilizados en este ejemplo.
Tipo de configuración |
Pasos de configuración |
Parámetros de configuración |
---|---|---|
URL pattern and custom objects |
Configure una lista de patrones de URL (lista de permitidos) de direcciones URL que desea omitir. Cree un objeto personalizado denominado urllist3 que contenga el patrón http://www.example.net 1.2.3.4 |
|
Agregue el objeto personalizado urllist3 a la categoría de URL personalizada custurl3. |
|
|
Feature profiles |
Configure el perfil de característica de filtrado web: |
|
|
|
|
|
|
|
|
|
|
|
|
Configuración
En este ejemplo se muestra cómo configurar patrones de dirección URL personalizados, objetos personalizados, perfiles de características y directivas de seguridad.
- Configuración de objetos personalizados de filtrado web mejorado y patrones de URL
- Configuración de perfiles de características de filtrado web mejorados
- Adjuntar directivas de seguridad de contenido de filtrado web a directivas de seguridad
Configuración de objetos personalizados de filtrado web mejorado y patrones de URL
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security utm custom-objects url-pattern urllist3 value http://www.example.net set security utm custom-objects url-pattern urllist3 value 1.2.3.4 set security utm custom-objects url-pattern urllistblack value http://www.untrusted.com set security utm custom-objects url-pattern urllistblack value 13.13.13.13 set security utm custom-objects url-pattern urllistwhite value http://www.trusted.com set security utm custom-objects url-pattern urllistwhite value 11.11.11.11 set security utm custom-objects custom-url-category custurl3 value urllist3 set security utm custom-objects custom-url-category custblacklist value urllistblack set security utm custom-objects custom-url-category custwhiltelist value urllistwhite
A partir de Junos OS versión 15.1X49-D110, el "* " en una sintaxis comodín, necesaria para crear un patrón de URL para el perfil de filtrado web, coincide con todos los subdominios. Por ejemplo, *.example.net coincide:
http://a.example.net
http://example.net
a.b.example.net
Una categoría personalizada no tiene prioridad sobre una categoría predefinida cuando tiene el mismo nombre que una de las categorías predefinidas. No utilice el mismo nombre para una categoría personalizada que haya utilizado para una categoría predefinida.
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar objetos personalizados y patrones de URL en el filtrado web mejorado:
Configure una lista de patrones de URL (lista de permitidos) de direcciones URL que desea omitir. Después de crear la lista de patrones de URL, cree una lista de categorías de URL personalizada y agréguele la lista de patrones. Configure un objeto personalizado de lista de patrones de dirección URL creando el nombre de lista y agregándole valores de la siguiente manera:
Nota:Dado que utiliza listas de patrones de URL para crear listas de categorías de URL personalizadas, debe configurar objetos personalizados de lista de patrones de URL antes de configurar listas de categorías de URL personalizadas.
[edit security utm] user@host# set custom-objects url-pattern urllist3 value [http://www. example.net 1.2.3.4]
Nota:La directriz para usar un comodín de patrón de URL es la siguiente: Use \*\.[] \?* y precede a todas las URL comodín con http://. Puede usar "*" solo si está al principio de la URL y va seguido de ".". Puede usar "?" solo al final de la URL.
Se admiten las siguientes sintaxis comodín: http://*. example.net, http://www.example.ne?, http://www.example.n??. No se admiten las siguientes sintaxis comodín: *.example.???, http://*example.net, http://?.
Cree un objeto personalizado denominado urllist3 que contenga el patrón http://www.example.net y, a continuación, agregue el objeto personalizado urllist3 a la categoría de dirección URL personalizada custurl3.
[edit security utm] user@host# set custom-objects custom-url-category custurl3 value urllist3
Cree una lista de sitios que no son de confianza y de confianza.
[edit security utm] user@host# set custom-objects url-pattern urllistblack value [http://www.untrusted.com 13.13.13.13] user@host# set custom-objects url-pattern urllistwhite value [http://www.trusted.com 11.11.11.11]
Configure el objeto personalizado de lista de categorías de direcciones URL personalizadas mediante la lista de patrones de dirección URL de sitios que no son de confianza y de confianza.
[edit security utm] user@host# set custom-objects custom-url-category custblacklist value urllistblack user@host# set custom-objects custom-url-category custwhitelist value urllistwhite
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security utm custom-objects
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla.
[edit] user@host# show security utm custom-objects url-pattern { urllist3 { value [ 1.2.3.4 http://www.example.net ]; } urllistblack { value [ 13.13.13.13 http://www.untrusted.com ]; } urllistwhite { value [ 11.11.11.11 http://www.trusted.com ]; } } custom-url-category { custurl3 { value urllist3; } custblacklist { value urllistblack; } custwhiltelist { value urllistwhite; } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Configuración de perfiles de características de filtrado web mejorados
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
A partir de Junos OS versión 12.3X48-D25, hay nuevas opciones de CLI disponibles. Las http-reassemble
opciones y http-persist
se agregan en el show security utm feature-profile web-filtering
comando.
set security utm default-configuration web-filtering juniper-enhanced set security utm default-configuration web-filtering juniper-enhanced cache size 500 set security utm default-configuration web-filtering juniper-enhanced cache timeout 1800 set security utm default-configuration web-filtering juniper-enhanced server host rp.cloud.threatseeker.com set security utm default-configuration web-filtering juniper-enhanced server port 80 set security utm default-configuration web-filtering http-reassemble set security utm default-configuration web-filtering http-persist set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile category Enhanced_Hacking action log-and-permit set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile category Enhanced_Government action quarantine set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile site-reputation-action very-safe permit set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile default block set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile fallback-settings server-connectivity block set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile fallback-settings timeout block set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile fallback-settings too-many-requests block set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile timeout 10 set security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile no-safe-search set security utm utm-policy mypolicy web-filtering http-profile ewf_my_profile set security policies from-zone utm_clients to-zone mgmt policy 1 then permit application-services utm-policy mypolicy
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar los perfiles de característica de EWF:
-
Configure el motor EWF y establezca el tamaño de caché y los parámetros de tiempo de espera de caché.
[edit security utm default-configuration web-filtering] user@host# set juniper-enhanced cache size 500 user@host# set juniper-enhanced cache timeout 1800
Establezca el nombre del servidor o la dirección IP y el número de puerto para comunicarse con el servidor. El valor de host predeterminado en el sistema es rp.cloud.threatseeker.com.
[edit security utm default-configuration web-filtering] user@host# set juniper-enhanced server host rp.cloud.threatseeker.com user@host# set juniper-enhanced server port 80
Establezca la
http-reassemble
instrucción para volver a ensamblar el paquete solicitado y lahttp-persist
instrucción para comprobar todos los paquetes de solicitud HTTP de la misma sesión. Si la instrucción no está configurada para elhttp-reassemble
tráfico HTTP de texto sin formato, EWF no vuelve a ensamblar la solicitud HTTP fragmentada para evitar un análisis incompleto en la inspección basada en paquetes. Si la instrucción no está configurada para elhttp-persist
tráfico HTTP de texto sin formato, EWF no comprueba todos los paquetes de solicitud HTTP de la misma sesión.[edit security utm default-configuration web-filtering] user@host# set http-reassemble user@host# set http-persist
Especifique la acción que se va a realizar en función de la reputación del sitio devuelta para la dirección URL si no se encuentra ninguna coincidencia de categoría.
[edit security utm feature-profile web-filtering] user@host#set juniper-enhanced profile ewf_my_profile site-reputation-action very-safe permit
-
Especifique una acción predeterminada para el perfil, cuando no coincida ninguna otra acción configurada explícitamente.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf_my_profile default block
Configure las opciones de reserva (bloquear o registrar y permitir) para este perfil.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf_my_profile fallback-settings default block user@host# set juniper-enhanced profile ewf_my_profile fallback-settings server-connectivity block user@host# set juniper-enhanced profile ewf_my_profile fallback-settings timeout block user@host# set juniper-enhanced profile ewf_my_profile fallback-settings too-many-requests block
Introduzca un valor de tiempo de espera en segundos. Cuando se alcanza este límite, se aplica la configuración de reserva. En este ejemplo se establece el valor de tiempo de espera en 10. También puede desactivar la funcionalidad de búsqueda segura. De forma predeterminada, las solicitudes de búsqueda tienen cadenas de búsqueda segura adjuntas y se envía una respuesta de redirección para garantizar que todas las solicitudes de búsqueda sean seguras o estrictas.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf_my_profile timeout 10 user@host# set juniper-enhanced profile ewf_my_profile no-safe-search
Nota:El intervalo de valores de tiempo de espera para SRX210, SRX220, SRX240, SRX300, SRX320, SRX345, SRX380, SRX550, SRX1500, SRX4100 y SRX4200 es de 0 a 1800 segundos y el valor predeterminado es 15 segundos. El intervalo de valores de tiempo de espera para SRX3400 y SRX3600 es de 1 a 120 segundos y el valor predeterminado es de 3 segundos.
-
Configure una directiva
mypolicy
de seguridad de contenido para el protocolo HTTP de filtrado web, asociándolaewf_my_profile
a la directiva de seguridad de contenido, y adjunte esta directiva a un perfil de seguridad para implementarla.[edit security utm] user@host# set utm-policy mypolicy web-filtering http-profile ewf_my_profile
-
Adjunte la política
mypolicy
de seguridad de contenido a la política1
de seguridad.[edit] user@host# set security policies from-zone utm_clients to-zone mgmt policy 1 then permit application-services utm-policy mypolicy
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security utm feature-profile
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla.
[edit] user@host# show security utm default-configuration { web-filtering { http-reassemble; http-persist; juniper-enhanced { cache { timeout 1800; size 500; } server { host rp.cloud.threatseeker.com; port 80; } } } } feature-profile { web-filtering { http-reassemble; http-persist; juniper-enhanced { profile ewf_my_profile { category { Enhanced_Hacking { action log-and-permit; } Enhanced_Government { action quarantine; } } site-reputation-action { very-safe permit; } default block; fallback-settings { server-connectivity block; timeout block; too-many-requests block; } timeout 10; no-safe-search; } utm-policy mypolicy { web-filtering { http-profile ewf_my_profile; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Adjuntar directivas de seguridad de contenido de filtrado web a directivas de seguridad
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security policies from-zone trust to-zone untrust policy sec_policy match source-address any set security policies from-zone trust to-zone untrust policy sec_policy match destination-address any set security policies from-zone trust to-zone untrust policy sec_policy match application any set security policies from-zone trust to-zone untrust policy sec_policy then permit application-services utm-policy mypolicy
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para adjuntar una política de seguridad de contenido a una política de seguridad:
Cree la política de seguridad sec_policy.
[edit] user@host# set security policies from-zone trust to-zone untrust policy sec_policy
Especifique las condiciones de coincidencia para sec-policy.
[edit security policies from-zone trust to-zone untrust policy sec_policy] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any
-
Adjunte la política de seguridad de contenido mypolicy a la sec_policy de política de seguridad.
[edit security policies from-zone trust to-zone untrust policy sec_policy] user@host# set then permit application-services utm-policy mypolicy
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security policies
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security policies from-zone trust to-zone untrust { sec_policy { match { source-address any; destination-address any; application any; } then { permit { application-services { utm-policy mypolicy; } } } } } default-policy { permit-all; }
Cuando haya terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Comprobación del estado del servidor de filtrado web
- Comprobación de que las estadísticas de filtrado web han aumentado
- Comprobar que la directiva de seguridad de contenido de filtrado Web está asociada a la directiva de seguridad
Comprobación del estado del servidor de filtrado web
Propósito
Compruebe el estado del servidor de filtrado web.
Acción
En la parte superior de la configuración en modo operativo, escriba el show security utm web-filtering status
comando.
user@host> show security utm web-filtering status UTM web-filtering status: Server status: Juniper Enhanced using Websense server UP
Significado
El resultado del comando muestra que la conexión del servidor de filtrado web está activa.
Comprobación de que las estadísticas de filtrado web han aumentado
Propósito
Compruebe el aumento de las estadísticas de filtrado web. El valor inicial del contador es 0; si hay un golpe de URL de solicitud HTTP, entonces hay un aumento en las estadísticas de filtrado web.
Acción
En la parte superior de la configuración en modo operativo, escriba el show security utm web-filtering statistics
comando.
user@host> show security utm web-filtering statistics UTM web-filtering statistics: Total requests: 0 white list hit: 0 Black list hit: 0 Queries to server: 0 Server reply permit: 0 Server reply block: 0 Server reply quarantine: 0 Server reply quarantine block: 0 Server reply quarantine permit: 0 Custom category permit: 0 Custom category block: 0 Custom category quarantine: 0 Custom category qurantine block: 0 Custom category quarantine permit: 0 Site reputation permit: 0 Site reputation block: 0 Site reputation quarantine: 0 Site reputation quarantine block: 0 Site reputation quarantine permit: 0 Site reputation by Category 0 Site reputation by Global 0 Cache hit permit: 0 Cache hit block: 0 Cache hit quarantine: 0 Cache hit quarantine block: 0 Cache hit quarantine permit: 0 Safe-search redirect: 0 SNI pre-check queries to server: 1 SNI pre-check server responses: 1 Web-filtering sessions in total: 128000 Web-filtering sessions in use: 0 Fallback: log-and-permit block Default 0 0 Timeout 0 0 Connectivity 0 0 Too-many-requests 0 0
Significado
El resultado muestra estadísticas de filtrado web para las conexiones, incluidas las aciertos de lista de permitidos y de lista de bloqueo y los aciertos de categorías personalizadas. Si hay un golpe de URL de solicitud HTTP, hay un aumento en las estadísticas de filtrado web de un valor anterior.
Comprobar que la directiva de seguridad de contenido de filtrado Web está asociada a la directiva de seguridad
Propósito
Compruebe que la directiva de seguridad de contenido de filtrado web mypolicy esté asociada a la sec_policy de directiva de seguridad.
Acción
Desde el modo operativo, ingrese el show security policy
comando.
user@host> show security policies global policy-name mypolicy detail node0: - Global policies: Policy: mypolicy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1 From zones: zone1, zone2 To zones: zone3, zone4 Source addresses: any Destination addresses: any Applications: any Action: permit Unified Threat Management: enabled
Significado
El resultado muestra un resumen de todas las políticas de seguridad configuradas en el dispositivo. Si se especifica una directiva determinada, muestra información específica de esa directiva. Si la seguridad de contenido está habilitada, mypolicy se adjunta a sec_policy.
Descripción de la acción de cuarentena para un filtrado web mejorado
El filtrado web mejorado de seguridad de contenido admite acciones de bloqueo, registro y permiso, y permisos para solicitudes HTTP/HTTPS. Además de esto, el filtrado web mejorado de seguridad de contenido ahora admite la acción de cuarentena que permite o deniega el acceso al sitio bloqueado en función de la respuesta del usuario al mensaje.
En la siguiente secuencia se explica cómo la acción de cuarentena intercepta, redirige y actúa sobre la solicitud HTTP o HTTP:
El cliente HTTP solicita acceso a la dirección URL.
El dispositivo intercepta la solicitud HTTP y envía la URL extraída a Websense Thread Seeker Cloud (TSC).
El TSC devuelve la categoría de URL y la información de reputación del sitio al dispositivo.
Si la acción configurada para la categoría es cuarentena, el dispositivo registra la acción de cuarentena y envía una respuesta de redirección al cliente HTTP.
La URL se envía al servidor HTTP para su redirección.
El dispositivo muestra un mensaje de advertencia que indica que el acceso a la URL está bloqueado de acuerdo con las políticas de seguridad de la organización y solicita al usuario que responda.
Si la respuesta del usuario es "No", la sesión finalizará. Si la respuesta del usuario es "Sí", se le permite el acceso al sitio y dicho acceso se registra y se informa al administrador.
La acción de cuarentena solo se admite para el filtrado web mejorado de seguridad de contenido o el tipo de filtrado web mejorado de Juniper.
Quarantine Message
El mensaje de cuarentena enviado al cliente HTTP es configurable por el usuario y es de los siguientes tipos:
Mensaje predeterminado
El mensaje de cuarentena predeterminado se muestra cuando un usuario intenta acceder a un sitio web en cuarentena y contiene la siguiente información:
Nombre de la URL
Motivo de la cuarentena
Categoría (si está disponible)
Reputación del sitio (si está disponible)
Por ejemplo, si ha establecido la acción para Enhanced_Search_Engines_and_Portals en cuarentena e intenta tener acceso a www.search.example.com, el mensaje de cuarentena es el siguiente:
***The requested webpage is blocked by your organization's access policy***.
Mensaje de Syslog.
El sistema registrará el mensaje syslog cuando el usuario acceda a la página web que ya ha sido puesta en cuarentena y marcada como bloquear o permitir.
El mensaje syslog correspondiente en el dispositivo bajo prueba es:
Jan 25 15:10:40 rodian utmd[3871]: WEBFILTER_URL_BLOCKED: WebFilter: ACTION="URL Blocked" 99.99.99.4(60525)->74.125.224.114(80) CATEGORY="Enhanced_Search_Engines_and_Portals" REASON="by predefined category(quarantine)" PROFILE="ewf-test-profile" URL=www.search.example.com OBJ=/
A partir de Junos OS 12.1X47-D40 y Junos OS versión 17.3R1, los campos de registro estructurados han cambiado. Los cambios en el campo de registro estructurado en los registros del filtro web de seguridad de contenido WEBFILTER_URL_BLOCKED, WEBFILTER_URL_REDIRECTED y WEBFILTER_URL_PERMITTED son los siguientes:
name -> category
error-message -> reason
profile-name -> profile
object-name -> url
pathname -> obj
Mensajes de usuario y URL de redireccionamiento para filtrado web mejorado (EWF)
A partir de Junos OS versión 15.1X49-D110, se agrega una nueva opción, custom-message
, para la custom-objects
instrucción que permite configurar mensajes de usuario y URL de redireccionamiento para notificar a los usuarios cuando una URL está bloqueada o en cuarentena para cada categoría de EWF. La custom-message
opción tiene los siguientes atributos obligatorios:
Nombre: nombre del mensaje personalizado; la longitud máxima es de 59 caracteres ASCII.
Tipo: Tipo de mensaje personalizado:
user-message
oredirect-url
.Contenido: contenido del mensaje personalizado; la longitud máxima es de 1024 caracteres ASCII.
Configure un mensaje de usuario o una URL de redirección como un objeto personalizado y asigne el objeto personalizado a una categoría EWF.
Los mensajes de usuario indican que la directiva de acceso de una organización ha bloqueado el acceso al sitio web. Para configurar un mensaje de usuario, incluya la
type user-message content message-text
instrucción en el nivel de[edit security utm custom-objects custom-message message]
jerarquía.Las URL de redireccionamiento redirigen una URL bloqueada o en cuarentena a una URL definida por el usuario. Para configurar una dirección URL de redireccionamiento, incluya la
type redirect-url content redirect-url
instrucción en el nivel jerárquico[edit security utm custom-objects custom-message message]
.
La custom-message
opción ofrece las siguientes ventajas:
Puede configurar un mensaje personalizado independiente o una URL de redirección para cada categoría de EWF.
La
custom-message
opción le permite ajustar los mensajes para admitir sus políticas y saber qué URL está bloqueada o en cuarentena.Solo se aplica una opción de configuración de mensajes personalizados para cada categoría. La configuración de mensajes personalizados solo se admite en el filtrado web mejorado (EWF). Por lo tanto, solo se admite el tipo de motor EWF de Juniper.
A partir de Junos OS versión 17.4R1, la compatibilidad con la configuración de categorías personalizadas está disponible para los perfiles de redireccionamiento local y de Websense.
Ver también
Ejemplo: configuración de la acción de reputación del sitio para un filtrado web mejorado
En este ejemplo se muestra cómo configurar la acción de reputación del sitio para direcciones URL categorizadas y no categorizadas.
Requisitos
Antes de comenzar, debe estar familiarizado con el filtrado web y el filtrado web mejorado. Consulte Descripción general del filtrado web y Descripción del proceso de filtrado web mejorado.
Visión general
En este ejemplo, se configuran perfiles de filtrado web en direcciones URL según categorías definidas mediante la acción de reputación del sitio. Establezca la categoría de filtrado de lista de direcciones URL permitidas en url-cat-white
y el tipo de motor de filtrado web en juniper-enhanced
. A continuación, establezca los parámetros de tamaño de caché para el filtrado web y los parámetros de tiempo de espera de caché en 1.
A continuación, se crea un juniper-enhanced
perfil denominado perfil ewf-test-profile
, se establece la categoría de lista de direcciones URL permitidas en cust-cat-quarantine
y se establece la acción de reputación en cuarentena.
Escriba un mensaje personalizado que se enviará cuando las solicitudes HTTP estén en cuarentena. En este ejemplo, se envía el siguiente mensaje: The requested webpage is blocked by your organization's access policy
.
Puede bloquear las direcciones URL en la categoría Enhanced_News_and_Media y permitir direcciones URL en la categoría Enhanced_Education. A continuación, ponga en cuarentena las direcciones URL de la categoría Enhanced_Streaming_Media y configure el dispositivo para que envíe el mensaje siguiente: The requested webpage is blocked by your organization's access policy
.
En este ejemplo, la acción predeterminada se establece en permitir. Seleccione la configuración de reserva (bloquear o registrar y permitir) para este perfil en caso de que se produzcan errores en cada categoría configurada. Por último, establezca la configuración de reserva para bloquear.
Configuración
Configuración de la acción de reputación del sitio
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security utm feature-profile web-filtering juniper-enhanced cache size set security utm feature-profile web-filtering juniper-enhanced reputation reputation-very-safe 85 set security utm feature-profile web-filtering juniper-enhanced reputation reputation-moderately-safe 75 set security utm feature-profile web-filtering juniper-enhanced reputation reputation-fairly-safe 65 set security utm feature-profile web-filtering juniper-enhanced reputation reputation-suspicious 55 set security utm feature-profile web-filtering juniper-enhanced cache timeout 1 set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category cust-cat-quarantine action quarantine set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category Enhanced_News_and_Media action block set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category Enhanced_Education action permit set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category Enhanced_Education reputation-action harmful block set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile category Enhanced_Streaming_Media action quarantine set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile default permit set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile default quarantine-message “*** The requested webpage is blocked by your organization’s access policy***”. set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile fallback-settings server-connectivity block set security utm feature-profile web-filtering juniper-enhanced profile ewf-test-profile fallback-settings timeout block
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar la acción de reputación del sitio:
-
Especifique el motor de filtrado web mejorado y establezca los parámetros de tamaño de caché.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced cache size
Configure las puntuaciones de reputación base.
[edit security utm feature-profile web-filtering] set juniper-enhanced reputation reputation-very-safe 85 set juniper-enhanced reputation reputation-moderately-safe 75 set juniper-enhanced reputation reputation-fairly-safe 65 set juniper-enhanced reputation reputation-suspicious 55
Nota:Se debe pedir el valor base de reputación.
Establezca los parámetros del tiempo de espera de la memoria caché.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced cache timeout 1
Cree un nombre de perfil y seleccione una categoría de las categorías de la lista de permitidos.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile category cust-cat-quarantine action quarantine
Cree un nombre de perfil y seleccione una categoría de las categorías de la lista de permitidos.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile category Enhanced_News_and_Media action block [edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile category Enhanced_Education action permit user@host# set juniper-enhanced profile ewf-test-profile category Enhanced_Education action harmful block [edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile category Enhanced_Streaming_Media action quarantine
Escriba un mensaje de advertencia que se enviará cuando las solicitudes HTTP estén en cuarentena.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile quarantine-custom-message "***The requested webpage is blocked by your organization's access policy ***"
Seleccione una acción predeterminada (permitir, registrar y permitir, bloquear o poner en cuarentena) para el perfil, cuando no coincida ninguna otra acción configurada explícitamente (lista de bloqueo, lista de permitidos, categoría personalizada, categoría predefinida o reputación del sitio).
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile default permit
Seleccione la configuración de reserva (bloquear o iniciar sesión y permitir) para este perfil.
[edit security utm feature-profile web-filtering] user@host# set juniper-enhanced profile ewf-test-profile fallback-settings server-connectivity block user@host# set juniper-enhanced profile ewf-test-profile fallback-settings timeout block
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security utm
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla.
[edit] user@host# show security utm feature-profile{ web-filtering { type juniper-enhanced; traceoptions; flag all; } juniper-enhanced { reputation { reputation-very-safe 85 reputation-moderately-safe 75 reputation-fairly-safe 65 reputation-suspicious 55 cache { timeout 1 } profile ewf-test-profile { category { cust-cat-quarantine { action quarantine; } Enhanced_News_and_Media { action block; reputation-action; } Enhanced_Education { action permit; reputation-action; { harmful block; } } Enhanced_Streaming_Media { action quarantine; } } default permit; quarantine-custom-message "***The requested webpage is blocked by your organization's access policy***". fallback-settings { server-connectivity block; timeout block; } } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Comprobación del estado del servicio de seguridad de contenido
- Verificación del estado de la sesión de seguridad de contenido
- Comprobación del estado del filtrado web de seguridad de contenido
- Verificación de las estadísticas del filtrado web de seguridad de contenido
- Comprobación del estado de la URL mediante el archivo de registro
Comprobación del estado del servicio de seguridad de contenido
Propósito
Compruebe el estado del servicio Content Security.
Acción
Desde el modo operativo, ingrese el show security utm status
comando.
Salida de muestra
nombre-comando
user@host>show security utm status UTM service status: Running
Verificación del estado de la sesión de seguridad de contenido
Propósito
Compruebe el estado de la sesión de Content Security.
Acción
Desde el modo operativo, ingrese el show security utm session
comando.
Salida de muestra
nombre-comando
user@host>show security utm session UTM session info: Maximum sessions: 4000 Total allocated sessions: 0 Total freed sessions: 0 Active sessions: 0
Comprobación del estado del filtrado web de seguridad de contenido
Propósito
Compruebe el estado del filtrado web de Content Security.
Acción
Desde el modo operativo, ingrese el show security utm web-filtering status
comando.
Salida de muestra
nombre-comando
user@host>show security utm web-filtering status UTM web-filtering status: Server status: Juniper Enhanced using Websense server UP
Verificación de las estadísticas del filtrado web de seguridad de contenido
Propósito
Compruebe las estadísticas de filtrado web para las conexiones, incluidas las aciertos de lista de permitidos y de lista de bloqueo y los aciertos de categorías personalizadas.
Acción
Desde el modo operativo, ingrese el show security utm web-filtering statistics
comando.
Salida de muestra
nombre-comando
user@host>show security utm web-filtering statistics UTM web-filtering statistics: Total requests: 2594 white list hit: 0 Black list hit: 0 Queries to server: 2407 Server reply permit: 1829 Server reply block: 0 Server reply quarantine: 517 Server reply quarantine block: 0 Server reply quarantine permit: 8 Custom category permit: 0 Custom category block: 0 Custom category quarantine: 0 Custom category qurantine block: 0 Custom category quarantine permit: 0 Site reputation permit: 0 Site reputation block: 0 Site reputation quarantine: 0 Site reputation quarantine block: 0 Site reputation quarantine permit: 0 Site reputation by Category 0 Site reputation by Global 0 Cache hit permit: 41 Cache hit block: 0 Cache hit quarantine: 144 Cache hit quarantine block: 0 Cache hit quarantine permit: 1 Safe-search redirect: 0 Web-filtering sessions in total: 16000 Web-filtering sessions in use: 0 Fallback: log-and-permit block Default 0 0 Timeout 0 0 Connectivity 0 1 Too-many-requests 0 0
Comprobación del estado de la URL mediante el archivo de registro
Propósito
Verifique el estado de la URL bloqueada y permitida mediante el archivo de registro.
Acción
Para ver las URL bloqueadas y permitidas, envíe los registros de Content Security a un servidor syslog mediante el modo de secuencia. Para obtener más información, consulte: Configuración de archivos de registro de seguridad binaria fuera de la caja.
Desde el modo operativo, ingrese el show log messages | match RT_UTM
comando.
Salida de muestra
nombre-comando
user@host>show log messages | match RT_UTM RT_UTM: WEBFILTER_URL_BLOCKED: WebFilter: ACTION="URL Blocked" source-zone="trust" destination-zone="untrust" 4.0.0.3(59466)->5.0.0.3(80) SESSION_ID=268436912 APPLICATION="UNKNOWN" NESTED-APPLICATION="UNKNOWN" CATEGORY="URL_Blacklist" REASON="BY_BLACK_LIST" PROFILE="ewf" URL=www.example1.com OBJ=/ username N/A roles N/A application-sub-category N/A urlcategory-risk 0
Descripción general de la compatibilidad con el modo TAP para la seguridad de contenido
En el modo TAP, se conectará un firewall de la serie SRX a un puerto espejo del conmutador, que proporciona una copia del tráfico que atraviesa el conmutador. Un firewall de la serie SRX en modo TAP procesa el tráfico entrante desde la interfaz TAP y genera un registro de seguridad para mostrar la información sobre las amenazas detectadas, el uso de la aplicación y los detalles del usuario.
A partir de Junos OS versión 19.1R1, puede activar el modo TAP en el módulo Seguridad de contenido. Cuando habilita el modo TAP en el módulo Content Security, el firewall de la serie SRX inspecciona el tráfico entrante y saliente que coincide con una o varias políticas de firewall con el servicio Content Security habilitado. El modo TAP no puede bloquear el tráfico, pero genera registros de seguridad, informes y estadísticas para mostrar el número de amenazas detectadas, el uso de la aplicación y los detalles del usuario. Si algún paquete se pierde en la interfaz TAP, Content Security finaliza la conexión y el modo TAP no genera ningún registro, informe ni estadística de seguridad para esta conexión. La configuración de Seguridad de contenido sigue siendo la misma que en el modo que no es TAP.
La funcionalidad de seguridad de contenido configurada en un firewall de la serie SRX sigue funcionando e intercambiando información desde el servidor. Para utilizar la funcionalidad de seguridad de contenido cuando el firewall de la serie SRX está configurado en modo TAP, debe configurar el servidor DNS para resolver las direcciones IP del servidor en la nube.
Para utilizar el modo TAP, el firewall de la serie SRX se conectará a un puerto espejo del conmutador, que proporciona una copia del tráfico que atraviesa el conmutador. El firewall de la serie SRX procesa el tráfico entrante desde la interfaz TAP y genera información de registro de seguridad para mostrar la información sobre amenazas detectadas, uso de aplicaciones y detalles del usuario.
Cuando funciona en modo TAP, el firewall de la serie SRX realiza:
Filtrado web mejorado (EWF) para tráfico HTTP reflejado.
Sophos antivirus (SAV) para tráfico HTTP/FTP/SMTP/POP3/IMAP duplicado.
Antispam (AS) para tráfico SMTP reflejado.
Ver también
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.
custom-message
, para el
custom-objects
comando que permite configurar mensajes de usuario y URL de redireccionamiento para notificar a los usuarios cuando una URL está bloqueada o en cuarentena para cada categoría de EWF.
custom-message
, para la
custom-objects
instrucción que permite configurar mensajes de usuario y URL de redireccionamiento para notificar a los usuarios cuando una URL está bloqueada o en cuarentena para cada categoría de EWF.
custom-message
, para la
custom-objects
instrucción que permite configurar mensajes de usuario y URL de redireccionamiento para notificar a los usuarios cuando una URL está bloqueada o en cuarentena para cada categoría de EWF.