Funciones compatibles con Content Security
Registro WELF para funciones de seguridad de contenido
- Descripción del registro WELF para las características de seguridad de contenido
- Ejemplo: configuración del registro WELF para funciones de seguridad de contenido
Descripción del registro WELF para las características de seguridad de contenido
Las funciones de seguridad de contenido son compatibles con el estándar WELF. La referencia WELF define el formato de intercambio de archivos de registro estándar de la industria de WebTrends. Cualquier registro del sistema en este formato es compatible con Firewall Suite 2.0 y versiones posteriores, Firewall Reporting Center 1.0 y versiones posteriores, y Security Reporting Center 2.0 y versiones posteriores.
Un archivo de registro WELF se compone de registros. Cada registro es una sola línea en el archivo. Los registros siempre están en orden cronológico. El registro más antiguo es el primer registro en el archivo; El registro más reciente es el último registro del archivo. WELF no impone restricciones en los nombres de archivo de registro o las políticas de rotación de archivos de registro.
Cada registro WELF se compone de campos. El campo identificador de registro (id=) debe ser el primer campo de un registro. Todos los demás campos pueden aparecer en cualquier orden.
A continuación se muestra un ejemplo de registro WELF:
id=firewall time="2000-2-4 12:01:01" fw=192.168.0.238 pri=6 rule=3 proto=http
src=192.168.0.23 dst=6.1.0.36 rg=www.example.com/index.html op=GET result=0
rcvd=1426
Los campos del registro WELF de ejemplo incluyen los siguientes elementos obligatorios (todos los demás campos son opcionales):
id(Identificador de registro)time(Fecha/hora)fw(Dirección IP o nombre del firewall)pri(Prioridad del expediente)
Ejemplo: configuración del registro WELF para funciones de seguridad de contenido
En este ejemplo se muestra cómo configurar el registro WELF para las características de Content Security.
Requisitos
Antes de comenzar, revise los campos utilizados para crear un archivo de registro y un registro WELF. Consulte Descripción general de la seguridad de contenido.
Visión general
Un archivo de registro WELF se compone de registros. Cada registro es una sola línea en el archivo. Los registros siempre están en orden cronológico. El registro más antiguo es el primer registro en el archivo; El registro más reciente es el último registro del archivo. WELF no impone restricciones en los nombres de archivo de registro o las políticas de rotación de archivos de registro. En este ejemplo, el nivel de gravedad es emergencia y el nombre de la secuencia de registro de seguridad es utm-welf.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security log source-address 1.2.3.4 stream utm-welf set security log source-address 1.2.3.4 stream utm-welf format welf set security log source-address 1.2.3.4 stream utm-welf format welf category content-security set security log source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency set security log source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency host 5.6.7.8
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Usar el editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar el registro WELF para las funciones de Content Security:
Establezca la dirección IP del origen del registro de seguridad.
[edit security log] user@host# set source-address 1.2.3.4
Nota:Debe guardar los mensajes de registro WELF en un servidor WebTrends dedicado.
Asigne un nombre al flujo de registro de seguridad.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf
Establezca el formato de los mensajes de registro.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf
Establezca la categoría de los mensajes de registro que se envían.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security
Establezca el nivel de gravedad de los mensajes de registro que se envían.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency
Introduzca la dirección de host del servidor dedicado de WebTrends al que se van a enviar los mensajes de registro.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency host 5.6.7.8
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security log comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security log
stream utm-welf {
severity emergency;
format welf;
category content—
security;
host {
5.6.7.8;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Comprobación del registro de seguridad
Propósito
Verifique que el registro WELF para las características de Content Security esté completo.
Acción
Desde el modo operativo, escriba el show security utm status comando para comprobar si el servicio Content Security se está ejecutando o no.
Proxy explícito para la seguridad del contenido
Content Security admite el uso de un proxy explícito para la conectividad basada en la nube para el filtrado web mejorado (EWF) y el antivirus de Sophos (SAV) en Content Security. El proxy explícito oculta la identidad del dispositivo de origen y establece una conexión con el dispositivo de destino.
- Descripción del proxy explícito
- Configuración del proxy explícito en el servidor mejorado de Juniper
- Verificación de la configuración de proxy explícito en el servidor mejorado de Juniper
- Configuración de la actualización de categorías predefinidas y la configuración del filtro base mediante proxy explícito
- Verificación de la actualización de categorías predefinidas y la configuración del filtro base
- Configuración de la actualización de patrones de Sophos Antivirus
- Verificación de la actualización del patrón de Sophos Antivirus
Descripción del proxy explícito
Un proxy explícito oculta la identidad del dispositivo de origen, se comunica directamente con el servidor Websense Threatseeker Cloud (TSC) y establece una conexión con el dispositivo de destino. La configuración de proxy explícito consiste en la dirección del puerto y la dirección IP directa o el nombre de host.
Para usar el proxy explícito, cree uno o más perfiles de proxy y consulte esos perfiles:
En EWF, el proxy explícito se configura haciendo referencia a la jerarquía creada
proxy-profileensecurity utm default-configuration web-filtering juniper-enhanced server. La conexión se establece con el servidor TSC.En la actualización de categoría predefinida de EWF y el filtro base, el proxy explícito se configura haciendo referencia a la jerarquía creada
proxy-profileensecurity utm custom-objects category-package proxy-profile. Puede descargar y cargar dinámicamente nuevas categorías de EWF sin necesidad de ninguna actualización de software. Elproxy-profilearchivo de categoría se instala y se utiliza para transferir el tráfico.El firewall de la serie SRX envía la solicitud CONNECT al servidor proxy, el firewall de la serie SRX y el servidor TSC se comunican a través de la conexión HTTP. Luego, se espera que el servidor proxy identifique las direcciones IP configuradas, la lista de permitidos y permita que el firewall de la serie SRX envíe tráfico al servidor TSC en la nube a través de proxy. Después del filtrado de proxy, creará una conexión con el servidor TSC real.
En Sophos Antivirus (SAV), el proxy explícito se configura haciendo referencia a la jerarquía creada
proxy-profileensecurity utm default-configuration anti-virus sophos-engine pattern-update. El proceso utmd se conecta al host proxy en lugar del servidor de actualización de patrones SAV en la nube.
En EWF, si el perfil de proxy está configurado en la configuración de filtrado web de Content Security, la conexión del servidor TSC se establece con el host proxy en lugar del servidor de Content Security en la nube.
En SAV, si se configura el perfil de proxy, el proceso utmd se conecta al host proxy en lugar del servidor de actualización de patrones SAV en la nube.
La autenticación del servidor proxy no es compatible si está proxy-profile configurada.
Configuración del proxy explícito en el servidor mejorado de Juniper
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Cree un perfil de proxy con información de host y puerto, y refiéralo al servidor mejorado de Juniper para establecer una conexión con el servidor en la nube de Content Security.
La siguiente configuración muestra cómo configurar el proxy explícito en el servidor mejorado de Juniper.
Results
Desde el modo de configuración, confirme la configuración introduciendo el show security comando y show services . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security
default-configuration {
web-filtering {
type juniper-enhanced;
juniper-enhanced {
server {
proxy-profile proxy1;
}
}
}
}
[edit]
user@host# show services
proxy {
profile proxy1 {
protocol {
http {
host 192.0.2.1;
port 3128;
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación de la configuración de proxy explícito en el servidor mejorado de Juniper
Propósito
Muestra el estado del servidor explícito en el servidor mejorado de Juniper.
Acción
Desde el modo operativo, ingrese el show security utm web-filtering status comando.
user@host> show security utm web-filtering statusUTM web-filtering status: Server status: Juniper Enhanced using Websense server UP
Significado
Este comando proporciona información sobre el estado del servidor del filtrado web mejorado (EWF) mediante Websense Threatseeker Cloud (TSC).
Configuración de la actualización de categorías predefinidas y la configuración del filtro base mediante proxy explícito
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Cree un perfil de proxy con información de host y puerto, y refiéralo en el filtro base y actualización de categoría predefinido para descargar y cargar dinámicamente nuevas categorías de EWF sin necesidad de ninguna actualización de software.
La siguiente configuración muestra cómo configurar el proxy explícito en la actualización de categorías predefinidas y el filtro base.
Results
Desde el modo de configuración, confirme la configuración introduciendo el show security comando y show services . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security
custom-objects {
category-package {
proxy-profile proxy1;
}
}
[edit]
user@host# show services
proxy {
profile proxy1 {
protocol {
http {
host 203.0.113.1;
port 3128;
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación de la actualización de categorías predefinidas y la configuración del filtro base
Propósito
Muestra el estado de descarga, instalación y actualización del paquete de categorías predefinidas de filtrado web mejorado (EWF).
Acción
Desde el modo operativo, escriba el comando de la show security utm web-filtering category status CLI para ver el estado de la categoría de filtrado web.
Antes de ejecutar el comando de CLI show security utm web-filtering category status , debe ejecutar el comando de request security utm web-filtering category download-install CLI para obtener los resultados.
user@host> show security utm web-filtering category status
UTM category status:
Installed version: 1
Download version: 0
Update status: Done
Significado
Este comando proporciona información sobre el número de categorías instaladas y descargadas y el estado de la actualización.
Configuración de la actualización de patrones de Sophos Antivirus
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Cree un perfil de proxy con información de host y puerto, y refiérase a él en la actualización del patrón de Sophos Antivirus (SAV). El proceso utmd se conecta al host proxy en lugar del servidor de actualización de patrones SAV en la nube.
La siguiente configuración muestra cómo configurar el proxy explícito en la actualización del patrón SAV.
Results
Desde el modo de configuración, confirme la configuración introduciendo el show security comando y show services . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security
default-configuration {
anti-virus {
sophos-engine {
pattern-update {
proxy-profile proxy1;
}
}
}
}
[edit]
user@host# show services
proxy {
profile proxy1 {
protocol {
http {
host 203.0.113.1;
port 3128;
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación de la actualización del patrón de Sophos Antivirus
Propósito
Muestra el estado del patrón de actualización de Sophos Antivirus (SAV).
Acción
Desde el modo operativo, escriba el comando de la show security utm anti-virus status CLI para ver el estado del antivirus Content Security.
user@host> show security utm anti-virus status
UTM anti-virus status:
Anti-virus key expire date: 2018-08-02 00:00:00
Update server: https://host2.example.com/SAV/
Interval: 1000 minutes
Pattern update status: next update in 979 minutes
Pattern update via proxy server: 203.0.113.1:3128
Last result: already have latest database
Anti-virus signature version: 1.13 (1.02)
Scan engine type: sophos-engine
Scan engine information: last action result: No error
Significado
Este comando proporciona información sobre el servidor de actualización de patrones de Sophos Antivirus (SAV), el estado de la actualización, la versión de firma del antivirus, el tipo de motor antivirus y la información del motor antivirus.
Políticas unificadas para la seguridad del contenido
Descripción de las políticas unificadas [Seguridad de contenido]
Los firewalls de la serie SRX ahora admiten políticas unificadas, lo que permite un control granular y la aplicación de aplicaciones dinámicas de capa 7 dentro de la política de seguridad tradicional.
Las políticas unificadas son políticas de seguridad en las que puede usar aplicaciones dinámicas como condiciones de coincidencia junto con condiciones de coincidencia de 5 o 6 tuplas existentes (con firewall de usuario) para detectar cambios en las aplicaciones a lo largo del tiempo. El uso de directivas unificadas permite aplicar un conjunto de reglas para el tráfico de tránsito. Utiliza los criterios de coincidencia, a saber, zona de origen, zona de destino, direcciones de origen, direcciones de destino y nombres de aplicaciones. Esto da lugar a posibles políticas de igualación.
La configuración de política unificada controla todas las funcionalidades del firewall de aplicaciones (AppFW) y simplifica la tarea de configurar la política de firewall para permitir o bloquear el tráfico de aplicaciones desde la red. Como parte de la política unificada, se agrega una nueva condición de coincidencia de política de aplicación dinámica a los firewalls de la serie SRX, lo que permite al administrador controlar de manera más eficaz el comportamiento de las aplicaciones de capa 7.
Para dar cabida a las políticas basadas en aplicaciones de capa 7 en Content Security, se introduce el [edit security utm default-configuration] comando. Si no se configura ningún parámetro de una configuración específica del perfil de características de Content Security, se aplicará el parámetro correspondiente de la configuración predeterminada de Content Security.
Además, durante la fase inicial de búsqueda de directivas, que tiene lugar antes de identificar una aplicación dinámica, si hay varias directivas presentes en la lista de directivas potenciales que contienen diferentes perfiles de seguridad de contenido, el firewall de la serie SRX aplica el perfil predeterminado de seguridad de contenido hasta que se produzca una coincidencia más explícita.
Descripción de la política de seguridad de contenido predeterminada
Hay disponible una nueva política de seguridad de contenido predeterminada predefinida con la configuración predeterminada de fábrica para proporcionar una configuración predeterminada de seguridad de contenido. Esta política global predefinida de Content Security hereda la configuración del perfil de configuración predeterminado de Content Security.
Si se ha definido una política de seguridad de contenido, se seguirá utilizando para evaluar el tráfico en función de la configuración de la política de seguridad existente.
Cuando se realiza una búsqueda de políticas, las políticas de seguridad de contenido existentes se evalúan antes que las políticas globales. La política predeterminada de seguridad de contenido predefinida se aprovecha si existen varias políticas de seguridad de contenido en la lista de políticas potenciales durante el proceso de creación de la sesión de Content Security.
Los parámetros predeterminados de la política de Content Security predefinidos se incluyen en [edit security utm default-configuration] el nivel de jerarquía. Estos parámetros están disponibles para el filtrado web, el filtrado de contenido, el antivirus y el perfil antispam. Si no se configura ningún perfil de característica de seguridad de contenido (filtrado web, filtrado de contenido, antivirus y antispam), se aplican los parámetros de la configuración global predefinida de seguridad de contenido.
La directiva predeterminada predefinida de Content Security está disponible en [edit groups junos-defaults security utm]. Puede modificar determinados parámetros para el filtrado Web, el filtrado de contenido, el antivirus y el antispam. También puede modificar los parámetros de perfil predeterminados de Content Security para los perfiles de características de filtrado Web, filtrado de contenido, antivirus y antispam en [edit security utm default-configuration].
A partir de la versión 23.1R1 de Junos OS, hemos habilitado los registros de seguridad para el tráfico que coincide con la categoría de URL mencionada en la política unificada. Antes de esta versión, el sistema no generaba registros de seguridad para el tráfico que coincide con la categoría de URL mencionada en la directiva unificada.
Ver también
Compatibilidad de seguridad de contenido para clúster de chasis
Content Security es compatible con la configuración de clúster de chasis activo/activo y clúster de chasis activo/de respaldo. Para obtener más información, consulte los temas siguientes:
- Descripción de la compatibilidad de seguridad de contenido para clústeres de chasis activo/activo
- Descripción de la compatibilidad de seguridad de contenido para clústeres de chasis activo/de copia de seguridad
Descripción de la compatibilidad de seguridad de contenido para clústeres de chasis activo/activo
Content Security requiere una licencia para cada dispositivo en la configuración del clúster de chasis. Para obtener información sobre cómo comprar una licencia de software, comuníquese con su representante de ventas de Juniper Networks en https://www.juniper.net/in/en/contact-us/ y para obtener más información, consulte la Guía de licencias.
Todas las siguientes funciones de seguridad de contenido son compatibles con el clúster de chasis activo/activo:
Filtrado antispam
Filtrado de contenido
Análisis de Sophos Antivirus
Filtrado web mejorado
Filtrado web local
Redireccionamiento de Websense Filtrado web
En caja/Avira AV
Content Security admite la configuración de clústeres de chasis activo/activo a partir de la versión 19.4R1 de Junos OS. El clúster activo/activo es un clúster en el que las interfaces pueden estar activas en ambos nodos del clúster simultáneamente. Este es el caso cuando hay más de un grupo de redundancia del plano de datos, es decir, grupos de redundancia 1 y superior, o cuando se utilizan interfaces locales (no reth) en los nodos del clúster.
La conexión en la nube de filtrado web mejorado no admite la conmutación por error, creará una nueva conexión automáticamente después de que se retire la conexión anterior.
Descripción de la compatibilidad de seguridad de contenido para clústeres de chasis activo/de copia de seguridad
Content Security requiere una licencia para cada dispositivo en la configuración del clúster de chasis. Para obtener más información sobre cómo comprar una licencia de software, comuníquese con su representante de ventas de Juniper Networks en https://www.juniper.net/in/en/contact-us/.
El clúster de chasis admite las siguientes funciones de seguridad de contenido:
Filtrado de contenido
Filtrado de URL (web)
Filtrado antispam
Análisis antivirus completo basado en archivos
Análisis antivirus de Sophos
El clúster activo/activo es un clúster en el que las interfaces pueden estar activas en ambos nodos del clúster al mismo tiempo. Este es el caso cuando hay más de un grupo de redundancia del plano de datos, es decir, grupos de redundancia 1 y superior, o cuando se utilizan interfaces locales (no reth) en los nodos del clúster.
Si se configuran varios grupos de redundancia de plano de datos, Content Security solo funciona si todos los grupos de redundancia están activos en un solo nodo. En caso de que uno de los grupos de redundancia conmute automáticamente a otro nodo, Content Security no funcionará.
Ver también
Lista de permitidos
Una lista de URL permitidas define todas las URL enumeradas para una categoría específica para omitir siempre el proceso de escaneo. La lista de permitidos incluye nombres de host que desea eximir de someterse al procesamiento de proxy SSL. Para obtener más información, consulte los temas siguientes:
- Descripción de la lista de permitidos MIME
- Ejemplo: configurar la lista de permitidos MIME para omitir el análisis antivirus
- Descripción de la lista de direcciones URL permitidas
- Configuración de la lista de direcciones URL permitidas para omitir el análisis antivirus (procedimiento de la CLI)
Descripción de la lista de permitidos MIME
El dispositivo de puerta de enlace utiliza tipos MIME (extensión multipropósito de correo de Internet) para decidir qué tráfico puede omitir el análisis antivirus. La lista de permitidos MIME define una lista de tipos MIME y puede contener una o varias entradas MIME.
Una entrada MIME no distingue entre mayúsculas y minúsculas. Un MIME vacío es una entrada no válida y nunca debe aparecer en la lista MIME. Si la entrada MIME termina con un carácter / , se produce una coincidencia de prefijos. De lo contrario, se produce una coincidencia exacta.
Hay dos tipos de listas MIME que se usan para configurar la omisión del análisis antivirus de tipo MIME:
mime-allowlist list: esta es la lista completa de los tipos MIME que pueden omitir el análisis antivirus.
exception list: la lista de excepciones es una lista para excluir algunos tipos MIME de la lista mime-allowlist. Esta lista es un subconjunto de los tipos MIME que se encuentran en la lista de permitidos mime.
Por ejemplo, si mime-allowlist incluye la entrada
video/y la lista de excepciones incluye la entradavideo/x-shockwave-flash, mediante estas dos listas, puede omitir objetos con el tipo MIME "video/" pero no omitir el tipo MIME "video/x-shockwave-flash".Debe tener en cuenta que hay límites para las entradas de la lista de permitidos mime de la siguiente manera:
El número máximo de elementos MIME en una lista MIME es 50.
La longitud máxima de cada entrada MIME está restringida a 40 bytes.
La longitud máxima de una cadena de nombre de lista MIME está restringida a 40 bytes.
Ejemplo: configurar la lista de permitidos MIME para omitir el análisis antivirus
En este ejemplo se muestra cómo configurar las listas de permitidos MIME para omitir el análisis antivirus.
Requisitos
Antes de comenzar, decida el tipo de listas MIME que usa para configurar la omisión del análisis antivirus de tipo MIME. Consulte Descripción de la lista de permitidos MIME.
Visión general
En este ejemplo, se crean listas MIME denominadas avmime2 y ex-avmime2 y se les agregan patrones.
Configuración
Procedimiento
Procedimiento paso a paso
Para configurar las listas de permitidos MIME para omitir el análisis antivirus:
Crear listas MIME y agregar patrones a las listas.
[edit] user@host# set security utm custom-objects mime-pattern avmime2 value [video/quicktime image/x-portable-anymap x-world/x-vrml] user@host# set security utm custom-objects mime-pattern ex-avmime2 value [video/quicktime-inappropriate]
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Descripción de la lista de direcciones URL permitidas
Una lista de URL permitidas define todas las URL enumeradas para una categoría específica para omitir siempre el proceso de escaneo. La lista de permitidos incluye nombres de host que desea eximir de someterse a un procesamiento proxy SSL. También existen requisitos legales para eximir a los sitios financieros y bancarios; dichas exenciones se logran configurando categorías de URL correspondientes a esos nombres de host en las listas de URL permitidas. Si alguna URL no requiere escaneo, se pueden agregar las categorías correspondientes a esta lista de permitidos.
A partir de Junos OS versión 15.1X49-D80 y Junos OS versión 17.3R1, la función de lista de permitidos se amplía para incluir categorías de URL compatibles con Content Security en la configuración de lista de permitidos del proxy de reenvío SSL. Para obtener más información, consulte Guía del usuario de seguridad de aplicaciones para dispositivos de seguridad.
A partir de Junos OS versión 17.4R1, la función de lista de permitidos se amplía para admitir categorías de URL personalizadas compatibles con Content Security en la configuración de lista de permitidos del proxy de reenvío SSL.
Configuración de la lista de direcciones URL permitidas para omitir el análisis antivirus (procedimiento de la CLI)
Para configurar las listas de direcciones URL permitidas, utilice las siguientes instrucciones de configuración de CLI:
security utm custom-objects {
custom-url-category { ; set of list
name url-category-name; #mandatory
value url-pattern-name;
}
}
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.