使用 J-Web 集成内容安全 Web 过滤允许或阻止网站
总结 了解 Web 过滤以及如何使用 J-Web 过滤启用了内容安全的 SRX 系列防火墙上的 URL。Web 过滤可帮助您允许或阻止对 Web 的访问,并监控网络流量。
内容安全 URL 过滤概述
今天,我们大多数人都花在网络上。我们浏览我们最喜欢的网站,关注通过电子邮件发送给我们的有趣链接,并为我们的办公室网络使用各种基于 Web 的应用程序。网络使用的增加对我们个人和专业都有帮助。但是,它也使组织面临各种安全和业务风险,例如潜在的数据丢失、不合规以及恶意软件、病毒等威胁。在这种风险增加的环境中,企业最好实施 Web 或 URL 过滤器来控制网络威胁。您可以使用 Web 或 URL 过滤器对互联网上的网站进行分类,并允许或阻止用户访问。
下面是办公室网络用户有权访问被阻止网站的典型情况示例:
在 Web 浏览器上,用户键入 www.game.co.uk,一个流行的游戏网站。用户收到一条消息,如 Access Denied 或 The Website is blocked。显示此类消息意味着您的组织已插入游戏网站的筛选器,并且您无法从工作场所访问该网站。
瞻博网络 Web (J-Web) 设备管理器支持 SRX 系列防火墙上的内容安全 Web 过滤。
从 Junos OS 22.2R1 开始:
在 J-Web GUI 中,UTM 术语被替换为内容安全性。
在 Junos CLI 命令中,我们继续使用旧术语 UTM 来表示内容安全。
在 J-Web 中,Web 过滤配置文件根据网站类别预定义的 Web 连接定义一组权限和操作。您还可以为 Web 过滤配置文件创建自定义 URL 类别和 URL 模式列表。
您无法使用 J-Web 内容安全 Web 过滤检查电子邮件中的 URL。
内容安全 Web 过滤的优势
本地 Web 过滤:
不需要许可证。
使您能够定义自己的允许站点列表(允许列表)或阻止站点列表(阻止列表),以便对其强制实施策略。
增强型 Web 过滤:
是最强大的集成过滤方法,包括网址类别的精细列表、对 Google 安全搜索的支持和信誉引擎。
不需要其他服务器组件。
提供每个 URL 的实时威胁分数。
使您能够将用户从阻止的 URL 重定向到用户定义的 URL,而不是简单地阻止用户访问被阻止的 URL。
重定向 Web 过滤:
在本地跟踪所有查询,因此您不需要互联网连接。
使用独立 Websense 解决方案的日志记录和报告功能。
Web 过滤工作流
范围
在此示例中,您将:
创建您自己的自定义 URL 模式列表和 URL 类别。
-
使用本地引擎类型创建 Web 筛选配置文件。在这里,您可以定义自己的 URL 类别,可以是在 SRX 系列防火墙上评估的允许站点(允许列表)或阻止站点(阻止列表)。为被阻止的网站添加的所有网址都将被拒绝,而允许为允许的网站添加的所有网址。
阻止不适当的游戏网站并允许合适的网站(例如, www.juniper.net)。
定义用户尝试访问游戏网站时要显示的自定义消息。
将 Web 过滤配置文件应用于内容安全策略。
将内容安全策略分配给安全策略规则。
Web 过滤和 URL 过滤具有相同的含义。我们将在整个示例中使用术语 Web 过滤 。
开始之前
我们假设您的设备已设置基本配置。如果没有,请参阅 配置安装向导。
如果使用本地引擎类型,则不需要许可证即可配置 Web 过滤配置文件。这是因为您将负责定义自己的 URL 模式列表和 URL 类别。
如果要试用 Web 过滤配置文件的瞻博网络增强型引擎类型,则需要有效的许可证 (wf_key_websense_ewf)。重定向 Web 过滤不需要许可证。
确保此示例中使用的 SRX 系列防火墙运行 Junos OS 22.2R1 及更高版本。
注意:从 Junos OS 22.2R1 开始:
在 J-Web GUI 中,内容安全性术语替换为内容安全性。
在 Junos CLI 命令中,我们继续使用旧术语“内容安全”来表示内容安全。
拓扑
在此拓扑中,我们有一台 PC 连接到启用了内容安全的 SRX 系列防火墙,该防火墙可以访问互联网。让我们使用 J-Web 通过这个简单的设置过滤发送到互联网的 HTTP/HTTPS 请求。
先睹为快 – J-Web 内容安全 Web 过滤步骤
第 1 步:列出要允许或阻止的网址
在此步骤中,我们将定义自定义对象(URL 和模式)来处理要允许或阻止的 URL。
您在此处(在 J-Web UI 中):安全 服务>内容安全>自定义对象。
要列出网址,请执行以下操作:
- 完成下表中“操作”列中列出的任务:
领域
行动
名字
键入 allowed-sites 或 blocked-sites。
注意:使用以字母或下划线开头并由字母数字字符和特殊字符(如短划线和下划线)组成的字符串。最大长度为 29 个字符。
价值
单击 + 以添加 URL 模式值。
键入以下内容:
对于允许的站点 —www.juniper.net 和 www.google.com
对于被阻止的站点 —www.gematsu.com 和 www.game.co.uk
单击勾号图标
。
图 1:添加 URL 模式列表
- 单击 “确定 ”保存更改。
干得好!以下是配置的结果:
第 2 步:对要允许或阻止的网址进行分类
现在,我们将创建的 URL 模式分配给 URL 类别列表。类别列表定义与关联 URL 关联的操作。例如,应屏蔽“ 赌博 ”类别。
您在此处: 安全服务>内容安全>自定义对象。
要对网址进行分类:
- 完成下表中“操作”列中列出的任务:
领域
行动
名字
键入 URL 类别列表名称,就像 good-sites 允许的站点 URL 模式或 stop-sites 阻止的站点 URL 模式一样。
注意:使用以字母或下划线开头并由字母数字字符和特殊字符(如短划线和下划线)组成的字符串。最大长度为 59 个字符。
网址模式
从“可用”列中选择“ 允许的网站” 或 “阻止的网站 ”的 URL 模式值,以将网址模式值分别与网址类别“良好网站”或“停止网站”相关联。
单击向右箭头将 URL 模式值移动到“已选择”列。
图 2:添加 URL 类别列表
- 单击 “确定 ”保存更改。
干得好!以下是配置的结果:
步骤 3:添加 Web 筛选配置文件
现在,让我们将创建的 URL 对象(模式和类别)链接到内容安全 Web 筛选配置文件。此映射允许您为筛选行为设置不同的值。
您在此处: 安全服务>内容安全>Web 过滤配置文件。
要创建 Web 过滤配置文件:
- 完成下表中“操作”列中列出的任务:
领域
行动
一般 名字
键入 wf-local Web 筛选配置文件。
注意:最大长度为 29 个字符。
超时
键入 30 (以秒为单位)以等待本地引擎的响应。
最大值为 1800 秒。默认值为 15 秒。
发动机类型
选择 Web 筛选的 本地 引擎类型。单击 下一步。
注意:默认值为“瞻博网络增强”。
网址类别 +
单击添加图标以打开选择 URL 类别窗口。
选择要应用于列表的 URL 类别
选择 良好 站点或 停止站点。
行动
从列表中选择“ 日志”和“允许 ”作为“良好网站”类别。
从列表中选择停止站点类别的 阻止 。
图 3:创建 Web 过滤配置文件
- 单击 完成。查看配置摘要,然后单击 确定 以保存更改。
干得好!以下是配置的结果:
步骤 4:在内容安全策略中引用 Web 筛选配置文件
现在,我们需要将 Web 筛选配置文件 (wf-local) 分配给可应用于安全策略的内容安全策略。
您在这里: 安全服务>内容安全>内容安全策略。
要创建内容安全策略,请执行以下操作:
- 单击完成。查看配置摘要,然后单击确定以保存更改。
快到了!以下是配置的结果:
- 单击“确定”保存更改。
快到了!下面是内容安全默认 Web 筛选配置的结果。
好消息!您已完成内容安全 Web 筛选配置。
步骤 5:将内容安全策略分配给安全策略
您尚未将内容安全配置分配给从信任区域到 INTERNET 区域的安全策略。只有在将内容安全策略分配给充当匹配条件的安全策略规则后,才会执行筛选操作。
当允许安全策略规则时,SRX 系列防火墙:
拦截 HTTP/HTTPS 连接并提取每个 URL(在 HTTP/HTTPS 请求中)或 IP 地址。
注意:对于 HTTPS 连接,通过 SSL 转发代理支持 Web 过滤。
-
在“Web 过滤(安全服务>内容安全>默认配置)下搜索用户配置的阻止列表或允许列表中的 URL。然后,如果 URL 位于:
-
用户配置的阻止列表,设备阻止 URL。
-
用户配置的允许列表,设备允许该 URL。
-
检查用户定义的类别并阻止或根据用户指定的类别操作允许 URL。
根据 Web 筛选配置文件中配置的默认操作允许或阻止 URL(如果未配置类别)。
你在这里:Security Policy & Objects>Security Policies。
要为内容安全策略创建安全策略规则,请执行以下操作:
- 单击勾号图标 ,然后单击 保存 以保存更改。
注意:
如果在创建新规则时内联勾号和取消图标不可用,请向后滚动水平条。
干得好!以下是配置的结果:
步骤 6:验证服务器是否允许或阻止 URL
让我们验证我们的配置和安全策略是否适用于拓扑中定义的 URL:
-
如果输入 www.gematsu.com 和 www.game.co.uk,SRX 系列防火墙应阻止 URL 并发送配置的阻止站点消息。
注意:大多数网站使用 HTTPS。阻止的站点消息仅对 HTTP 站点可见。对于 HTTPS,可能会出现“安全连接失败”错误消息,例如
An error occurred during a connection to <blocked-siteurl> PR_CONNECT_RESET_ERROR。 -
如果输入 www.juniper.net 和 www.google.com,SRX 系列防火墙应允许显示主页的 URL。
下一步是什么
怎么办? |
在哪里? |
|---|---|
监控内容安全 Web 过滤信息和统计信息。 |
在 J-Web 中,转到 监控>安全服务>内容安全>Web 过滤。 |
生成和查看有关允许和阻止的 URL 的报告。 |
在 J-Web 中,转到 “报告”。通过 Webfilter 日志为威胁评估报告和最受阻止的应用程序生成报告。 |
详细了解内容安全功能。 |
示例配置输出
在本节中,我们将提供允许和阻止此示例中定义的网站的配置示例。
您可以在层次结构级别配置以下内容安全配置 [edit security utm] 。
创建自定义对象:
custom-objects {
url-pattern {
blocked-sites {
value [ http://*.gematsu..com http://*.game.co.uk];
}
allowed-sites {
value [ http://*.juniper.net http://*.google.com];
}
}
custom-url-category {
good-sites {
value allowed-sites;
}
stop-sites {
value blocked-sites;
}
}
}
创建 Web 过滤配置文件:
default-configuration {
web-filtering {
url-whitelist good-sites;
url-blacklist stop-sites;
type juniper-local;
juniper-local {
default block;
custom-block-message "Juniper Web Filtering has been set to block this site.";
fallback-settings {
default log-and-permit;
server-connectivity log-and-permit;
timeout log-and-permit;
too-many-requests log-and-permit;
}
}
}
}
feature-profile {
web-filtering {
juniper-local {
profile wf-local {
category {
stop-sites {
action block;
}
good-sites {
action log-and-permit;
}
}
timeout 30;
}
}
}
}
创建内容安全策略:
utm-policy wf-custom-policy {
web-filtering {
http-profile wf-local;
}
}
您可以在层次结构级别配置安全策略规则 [edit security policies] 。
为安全策略创建规则:
from-zone trust to-zone internet {
policy wf-local-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
utm-policy wf-custom-policy;
}
}
}
}
}