Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Funciones compatibles con la seguridad de contenido

Registro de WELF para funciones de seguridad de contenido

Descripción del registro de WELF para funciones de seguridad de contenido

Las funciones de seguridad de contenido son compatibles con el estándar WELF. La referencia WELF define el formato de intercambio de archivos de registro estándar del sector WebTrends. Cualquier inicio de sesión del sistema con este formato es compatible con Firewall Suite 2.0 y posterior, Firewall Reporting Center 1.0 y posterior, y Security Reporting Center 2.0 y posteriores.

Un archivo de registro WELF se compone de registros. Cada registro es una sola línea en el archivo. Los registros están siempre en orden cronológico. El registro más temprano es el primer registro del archivo; el registro más reciente es el último registro del archivo. WELF no aplica restricciones a los nombres de archivo de registro ni a las políticas de rotación de archivos de registro.

Nota:

Cada registro WELF se compone de campos. El campo identificador de registro (id=) debe ser el primer campo de un registro. El resto de los campos pueden aparecer en cualquier orden.

El siguiente es un registro WELF de ejemplo:

Los campos del registro WELF de ejemplo incluyen los siguientes elementos obligatorios (todos los demás campos son opcionales):

  • id (Identificador de registro)

  • time (Fecha y hora)

  • fw (Nombre o dirección IP del firewall)

  • pri (Prioridad del registro)

Ejemplo: Configurar el registro WELF para funciones de seguridad de contenido

En este ejemplo, se muestra cómo configurar el registro WELF para las funciones de seguridad de contenido.

Requisitos

Antes de comenzar, revise los campos utilizados para crear un archivo de registro WELF y un registro. Consulte Descripción general de la seguridad de contenido.

Visión general

Un archivo de registro WELF se compone de registros. Cada registro es una sola línea en el archivo. Los registros están siempre en orden cronológico. El registro más temprano es el primer registro del archivo; el registro más reciente es el último registro del archivo. WELF no aplica restricciones a los nombres de archivo de registro ni a las políticas de rotación de archivos de registro. En este ejemplo, el nivel de gravedad es de emergencia y el nombre de la secuencia de registro de seguridad es utm-welf.

Configuración

Procedimiento
Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar el registro WELF para funciones de seguridad de contenido:

  1. Establezca la dirección IP de origen del registro de seguridad.

    Nota:

    Debe guardar los mensajes de registro WELF en un servidor WebTrends dedicado.

  2. Asigne un nombre al flujo de registro de seguridad.

  3. Establezca el formato para los mensajes de registro.

  4. Establezca la categoría de mensajes de registro que se envían.

  5. Establezca el nivel de gravedad de los mensajes de registro que se envían.

  6. Escriba la dirección de host del servidor WebTrends dedicado al que se enviarán los mensajes de registro.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security log configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Verificar el registro de seguridad
Propósito

Verifique que el registro WELF para las funciones de seguridad de contenido esté completo.

Acción

Desde el modo operativo, escriba el show security utm status comando para comprobar si el servicio Content Security se está ejecutando o no.

Proxy explícito para seguridad de contenido

La seguridad de contenido admite el uso de un proxy explícito para la conectividad basada en la nube para el filtrado web mejorado (EWF) y el antivirus de Sophos (SAV) en seguridad de contenido. El proxy explícito oculta la identidad del dispositivo de origen y establece una conexión con el dispositivo de destino.

Descripción del proxy explícito

Un proxy explícito oculta la identidad del dispositivo de origen, se comunica directamente con el servidor de Websense Threatseeker Cloud (TSC) y establece una conexión con el dispositivo de destino. La configuración de proxy explícita consta de dirección de puerto y dirección IP directa o nombre de host.

Para usar el proxy explícito, cree uno o más perfiles de proxy y haga referencia a esos perfiles:

  • En EWF, el proxy explícito se configura haciendo referencia al creado proxy-profile en security utm default-configuration web-filtering juniper-enhanced server la jerarquía. La conexión se establece con el servidor TSC.

  • En el filtro base y la actualización de categorías predefinidos de EWF, el proxy explícito se configura haciendo referencia al creado proxy-profile en security utm custom-objects category-package proxy-profile la jerarquía. Puede descargar y cargar dinámicamente nuevas categorías de EWF sin ninguna actualización de software. El proxy-profile archivo de categoría se instala y se utiliza para la transferencia del tráfico.

    El firewall serie SRX envía la solicitud CONNECT al servidor proxy, el firewall serie SRX y el servidor TSC se comunican a través de la conexión HTTP. Luego, se espera que el servidor proxy identifique las direcciones IP configuradas, permita lista y permita que el firewall serie SRX envíe tráfico al servidor TSC en la nube a través de proxy. Después del filtrado de proxy, creará una conexión con el servidor TSC real.

  • En Sophos Antivirus (SAV), el proxy explícito se configura haciendo referencia al creado proxy-profile en security utm default-configuration anti-virus sophos-engine pattern-update la jerarquía. El proceso utmd se conecta al host proxy en lugar del servidor de actualización de patrones SAV en la nube.

En EWF, si el perfil de proxy está configurado en la configuración de filtrado web de Content Security, la conexión del servidor TSC se establece con el host de proxy en lugar del servidor de Content Security en la nube.

En SAV, si el perfil de proxy está configurado, el proceso utmd se conecta al host proxy en lugar del servidor de actualización de patrón SAV en la nube.

Nota:

La autenticación del servidor proxy no se admite si la proxy-profile autenticación está configurada.

Configuración del proxy explícito en el servidor mejorado de Juniper

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Cree un perfil de proxy con información de host y puerto, y refiéralo en el servidor mejorado de Juniper para establecer una conexión con el servidor de Content Security en la nube.

La siguiente configuración muestra cómo configurar el proxy explícito en el servidor mejorado de Juniper.

  1. Asignación de dirección IP de host para perfil de proxy.
  2. Asignación de dirección de puerto para perfil de proxy.
  3. Asigne el perfil de proxy al servidor mejorado de Juniper de filtrado web.

Results

Desde el modo de configuración, ingrese el comando y show services para confirmar la show security configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificar la configuración de proxy explícito en el servidor mejorado de Juniper

Propósito

Mostrar el estado del servidor explícito en el servidor mejorado de Juniper.

Acción

Desde el modo operativo, ingrese el show security utm web-filtering status comando.

user@host> show security utm web-filtering statusUTM web-filtering status: Server status: Juniper Enhanced using Websense server UP

Significado

Este comando proporciona información sobre el estado del servidor del filtrado web mejorado (EWF) mediante Websense Threatseeker Cloud (TSC).

Configurar la actualización de categoría predefinida y la configuración del filtro base mediante el proxy explícito

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Cree un perfil de proxy con información de host y puerto, y refiéralo en la actualización de categoría predefinida y el filtro de base para descargar y cargar dinámicamente nuevas categorías de EWF sin ninguna actualización de software.

La siguiente configuración muestra cómo configurar el proxy explícito en la actualización de categoría y el filtro base predefinidos.

  1. Asignación de dirección IP de host para perfil de proxy.
  2. Asigne la dirección de puerto para el perfil de proxy.
  3. Asigne el perfil de proxy a los paquetes de categoría en los objetos personalizados.

Results

Desde el modo de configuración, ingrese el comando y show services para confirmar la show security configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificar la actualización de categoría predefinida y la configuración del filtro base

Propósito

Muestra el estado predefinido de descarga, instalación y actualización del paquete de categorías de filtrado web mejorado (EWF).

Acción

Desde el modo operativo, ingrese el comando de CLI show security utm web-filtering category status para ver el estado de la categoría de filtrado web.

Nota:

Antes de ejecutar el comando de CLI show security utm web-filtering category status , debe ejecutar el comando de CLI request security utm web-filtering category download-install para obtener los resultados.

Significado

Este comando proporciona información sobre el número de categorías instaladas y descargadas y el estado de actualización.

Configuración de la actualización de patrones de Sophos Antivirus

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Cree un perfil de proxy con información de host y puerto, y refiéralo en la actualización de patrón de Sophos Antivirus (SAV). El proceso utmd se conecta al host proxy en lugar del servidor de actualización de patrones SAV en la nube.

La siguiente configuración muestra cómo configurar el proxy explícito en la actualización del patrón SAV.

  1. Asignación de dirección IP de host para perfil de proxy.
  2. Asigne la dirección de puerto para el perfil de proxy.
  3. Asigne el perfil de proxy a la actualización de patrones del antivirus de Sophos.

Results

Desde el modo de configuración, ingrese el comando y show services para confirmar la show security configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificar la actualización del patrón de Sophos Antivirus

Propósito

Muestra el estado de actualización de Sophos Antivirus (SAV).

Acción

Desde el modo operativo, ingrese el comando de CLI show security utm anti-virus status para ver el estado del antivirus De seguridad de contenido.

Significado

Este comando proporciona información sobre el servidor de actualización de patrones de Sophos Antivirus (SAV), el estado de actualización, la versión de la firma del antivirus, el tipo de motor de antivirus y la información del motor del antivirus.

Políticas unificadas para la seguridad del contenido

Descripción de las políticas unificadas [Seguridad de contenido]

Ahora se admiten políticas unificadas en firewalls serie SRX, lo que permite el control granular y la aplicación de aplicaciones dinámicas de capa 7 dentro de la política de seguridad tradicional.

Las políticas unificadas son políticas de seguridad en las que puede usar aplicaciones dinámicas como condiciones de coincidencia, junto con condiciones de coincidencia de 5 o 6 tuplas existentes (con firewall de usuario) para detectar cambios en las aplicaciones con el tiempo. El uso de políticas unificadas le permite aplicar un conjunto de reglas para el tráfico de tránsito. Utiliza los criterios de coincidencia, a saber, la zona de origen, la zona de destino, las direcciones de origen, las direcciones de destino y los nombres de las aplicaciones. Esto da como resultado políticas de coincidencia potencial.

La configuración de política unificada controla todas las funcionalidades del firewall de aplicaciones (AppFW) y simplifica la tarea de configurar la política de firewall para permitir o bloquear el tráfico de aplicaciones de la red. Como parte de la política unificada, se agrega una nueva condición de coincidencia de política de aplicación dinámica a los firewalls serie SRX, lo que permite a un administrador controlar de manera más eficaz el comportamiento de las aplicaciones de capa 7.

Para adaptarse a las políticas basadas en aplicaciones de capa 7 en Content Security, se introduce el [edit security utm default-configuration] comando. Si no se configura ningún parámetro de una configuración de perfil de entidad de Seguridad de contenido específico, se aplica el parámetro correspondiente de la configuración predeterminada de Seguridad de contenido.

Además, durante la fase inicial de búsqueda de políticas que se produce antes de identificar una aplicación dinámica, si hay varias políticas presentes en la lista de políticas potenciales que contienen diferentes perfiles de Seguridad de contenido, el firewall de la serie SRX aplica el perfil predeterminado de Content Security hasta que se produzca una coincidencia más explícita.

Descripción de la política predeterminada de seguridad de contenido

Una nueva política de Seguridad de contenido predeterminada y predefinida está disponible con la configuración predeterminada de fábrica para proporcionar una configuración predeterminada de Seguridad de contenido. Esta política de seguridad de contenido global predefinida hereda la configuración del perfil de configuración predeterminado de Content Security.

Si hay una política de seguridad de contenido existente definida, se seguirá utilizando para evaluar el tráfico en función de la configuración de la política de seguridad existente.

Cuando se realiza una búsqueda de políticas, las políticas de seguridad de contenido existentes se evalúan antes de las políticas globales. La política predeterminada predefinida seguridad de contenido se aprovecha si existen varias políticas de seguridad de contenido en la lista de políticas potenciales durante el proceso de creación de la sesión de Seguridad de contenido.

Los parámetros predeterminados predefinidos de la política de seguridad de contenido se incluyen en [edit security utm default-configuration] el nivel jerárquico. Estos parámetros están disponibles para el filtrado web, el filtrado de contenido, el antivirus y el perfil de antispam. Si no se configura ningún perfil de característica de Content Security (filtrado web, filtrado de contenido, antivirus y antispam), se aplican los parámetros en la configuración de Content Security global predefinida.

La política predeterminada predefinida De seguridad de contenido está disponible en [edit groups junos-defaults security utm]. Puede modificar ciertos parámetros para el filtrado web, el filtrado de contenido, el antivirus y el antispam. También puede modificar los parámetros predeterminados del perfil de Content Security para perfiles de características de filtrado web, filtrado de contenido, antivirus y antispam en [edit security utm default-configuration].

Soporte de seguridad de contenido para el clúster de chasis

La seguridad de contenido se admite para la configuración del clúster de chasis activo/activo y de respaldo. Para obtener más información, consulte los temas siguientes:

Descripción de la compatibilidad de seguridad de contenido para el clúster de chasis activo/activo

Content Security requiere una licencia para cada dispositivo en la configuración del clúster de chasis. Para obtener información sobre cómo comprar una licencia de software, comuníquese con su representante de ventas de Juniper Networks en https://www.juniper.net/in/en/contact-us/ y, para obtener más información, consulte la guía de licencias.

Se admiten todas las siguientes funciones de seguridad de contenido en el clúster de chasis activo/activo:

  • Filtrado antispam

  • Filtrado de contenido

  • Análisis de Sophos Antivirus

  • Filtrado web mejorado

  • Filtrado web local

  • Filtrado web de redirección de Websense

  • Av en la caja/Avira

Content Security admite la configuración del clúster de chasis activo/activo desde junos OS versión 19.4R1 en adelante. El clúster Activo/Activo es un clúster en el que las interfaces pueden estar activas en ambos nodos de clúster simultáneamente. Este es el caso cuando hay más de un grupo de redundancia de plano de datos, es decir, los grupos de redundancia 1 y superiores, o cuando se utilizan interfaces locales (no reth) en los nodos del clúster.

La conexión en la nube de filtrado web mejorado no admite la conmutación por error, sino que creará una nueva conexión automáticamente después de retirar la conexión anterior.

Descripción de la compatibilidad de seguridad de contenido para el clúster de chasis activo/de respaldo

Content Security requiere una licencia para cada dispositivo en la configuración del clúster de chasis. Para obtener información acerca de cómo comprar una licencia de software, comuníquese con su representante de ventas de Juniper Networks en https://www.juniper.net/in/en/contact-us/.

Se admiten las siguientes funciones de seguridad de contenido en el clúster de chasis:

  • Filtrado de contenido

  • Filtrado de URL (Web)

  • Filtrado antispam

  • Análisis antivirus completo basado en archivos

  • Análisis antivirus de Sophos

El clúster Activo/Activo es un clúster en el que las interfaces pueden estar activas en ambos nodos de clúster al mismo tiempo. Este es el caso cuando hay más de un grupo de redundancia de plano de datos, es decir, grupos de redundancia 1 y superiores, o cuando se utilizan interfaces locales (no reth) en los nodos del clúster.

Si se configuran varios grupos de redundancia de plano de datos, Content Security solo funciona si todos los grupos de redundancia están activos en un solo nodo. En caso de que uno de los grupos de redundancia falle automáticamente a otro nodo, Content Security no funcionará.

Lista de permitir

Una lista de permitir URL define todas las URL enumeradas para una categoría específica para evitar siempre el proceso de análisis. La lista de permitidos incluye nombres de host que desea eximir de operaciones de procesamiento de proxy SSL. Para obtener más información, consulte los temas siguientes:

Descripción de la lista de permitidos de MIME

El dispositivo de puerta de enlace usa tipos MIME (extensión de correo de Internet multipropósito) para decidir qué tráfico puede omitir el análisis del antivirus. La lista de permitidos MIME define una lista de tipos MIME y puede contener una o varias entradas MIME.

Una entrada MIME es insensible a mayúsculas y minúsculas. Una MIME vacía es una entrada no válida y nunca debe aparecer en la lista MIME. Si la entrada MIME termina con un / carácter, se produce una coincidencia de prefijo. De lo contrario, se produce una coincidencia exacta.

Hay dos tipos de listas MIME que se utilizan para configurar el tipo de análisis antivirus MIME que se pasa por alto:

  • lista de mime-allowlist: esta es la lista completa para aquellos tipos MIME que pueden omitir el análisis de antivirus.

  • lista de excepciones: la lista de excepciones es una lista para excluir algunos tipos MIME de la lista mime-allowlist. Esta lista es un subconjunto de tipos MIME encontrados en la mime-allowlist.

    Por ejemplo, si la mime-allowlist incluye la entrada,video/ y la lista de excepciones incluye la entrada video/x-shockwave-flash, mediante el uso de estas dos listas, puede omitir objetos con "video/" tipo MIME, pero no "video/x-shockwave-flash" tipo MIME.

    Debe tener en cuenta que hay límites para las entradas mime-allowlist como se indica a continuación:

    • La cantidad máxima de elementos MIME en una lista MIME es de 50.

    • La longitud máxima de cada entrada MIME está restringida a 40 bytes.

    • La longitud máxima de una cadena de nombres de lista MIME está restringida a 40 bytes.

Ejemplo: Configurar mime allowlist para omitir el análisis antivirus

En este ejemplo, se muestra cómo configurar MIME permite que las listas eviten el análisis antivirus.

Requisitos

Antes de comenzar, decida el tipo de listas MIME que se utilizan para configurar el análisis antivirus de tipo MIME que pasa por alto. Consulte Descripción de la lista de permitidos de MIME.

Visión general

En este ejemplo, se crean listas MIME llamadas avmime2 y ex-avmime2 y se agregan patrones a ellas.

Configuración

Procedimiento
Procedimiento paso a paso

Para configurar MIME permite que las listas eviten el análisis antivirus:

  1. Cree listas MIME y agregue patrones a las listas.

  2. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Verificar la configuración de la lista de permitidos MIME
Propósito

Para comprobar que la configuración de la lista de permitir MIME funciona correctamente.

Acción

Desde el modo operativo, ingrese el show security utm comando.

Descripción de la lista permitida de URL

Una lista de permitir URL define todas las URL enumeradas para una categoría específica para evitar siempre el proceso de análisis. La lista de permitidos incluye nombres de host que desea eximir de operaciones de procesamiento de proxy SSL. También hay requisitos legales para eximir a los sitios financieros y bancarios; estas exenciones se logran mediante la configuración de categorías de URL correspondientes a esos nombres de host en las listas permitidas de URL. Si alguna URL no requiere análisis, se pueden agregar las categorías correspondientes a esta lista permitida.

A partir de Junos OS versión 15.1X49-D80 y Junos OS versión 17.3R1, la característica allowlisting se extiende para incluir categorías de URL compatibles con Content Security en la configuración allowlist del proxy de reenvío SSL. Para obtener más información, consulte La guía del usuario de seguridad de aplicaciones para dispositivos de seguridad.

A partir de Junos OS versión 17.4R1, la función allowlisting se extiende para admitir categorías de URL personalizadas compatibles con Content Security en la configuración allowlist del proxy de reenvío SSL.

Configurar la lista de permitidos de URL para omitir el análisis antivirus (procedimiento de CLI)

Para configurar listas permitidas de URL, utilice las siguientes instrucciones de configuración de CLI:

Tabla de historial de versiones
Lanzamiento
Descripción
17.4R1
A partir de Junos OS versión 17.4R1, la función allowlisting se extiende para admitir categorías de URL personalizadas compatibles con Content Security en la configuración allowlist del proxy de reenvío SSL.
15.1X49-D80
A partir de Junos OS versión 15.1X49-D80 y Junos OS versión 17.3R1, la característica allowlisting se extiende para incluir categorías de URL compatibles con Content Security en la configuración allowlist del proxy de reenvío SSL. Para obtener más información, consulte La guía del usuario de seguridad de aplicaciones para dispositivos de seguridad.