Funciones compatibles con la seguridad de contenido
Registro de WELF para funciones de seguridad de contenido
- Descripción del registro de WELF para funciones de seguridad de contenido
- Ejemplo: Configurar el registro WELF para funciones de seguridad de contenido
Descripción del registro de WELF para funciones de seguridad de contenido
Las funciones de seguridad de contenido son compatibles con el estándar WELF. La referencia WELF define el formato de intercambio de archivos de registro estándar del sector WebTrends. Cualquier inicio de sesión del sistema con este formato es compatible con Firewall Suite 2.0 y posterior, Firewall Reporting Center 1.0 y posterior, y Security Reporting Center 2.0 y posteriores.
Un archivo de registro WELF se compone de registros. Cada registro es una sola línea en el archivo. Los registros están siempre en orden cronológico. El registro más temprano es el primer registro del archivo; el registro más reciente es el último registro del archivo. WELF no aplica restricciones a los nombres de archivo de registro ni a las políticas de rotación de archivos de registro.
Cada registro WELF se compone de campos. El campo identificador de registro (id=) debe ser el primer campo de un registro. El resto de los campos pueden aparecer en cualquier orden.
El siguiente es un registro WELF de ejemplo:
id=firewall time="2000-2-4 12:01:01" fw=192.168.0.238 pri=6 rule=3 proto=http
src=192.168.0.23 dst=6.1.0.36 rg=www.example.com/index.html op=GET result=0
rcvd=1426
Los campos del registro WELF de ejemplo incluyen los siguientes elementos obligatorios (todos los demás campos son opcionales):
id(Identificador de registro)time(Fecha y hora)fw(Nombre o dirección IP del firewall)pri(Prioridad del registro)
Ejemplo: Configurar el registro WELF para funciones de seguridad de contenido
En este ejemplo, se muestra cómo configurar el registro WELF para las funciones de seguridad de contenido.
Requisitos
Antes de comenzar, revise los campos utilizados para crear un archivo de registro WELF y un registro. Consulte Descripción general de la seguridad de contenido.
Visión general
Un archivo de registro WELF se compone de registros. Cada registro es una sola línea en el archivo. Los registros están siempre en orden cronológico. El registro más temprano es el primer registro del archivo; el registro más reciente es el último registro del archivo. WELF no aplica restricciones a los nombres de archivo de registro ni a las políticas de rotación de archivos de registro. En este ejemplo, el nivel de gravedad es de emergencia y el nombre de la secuencia de registro de seguridad es utm-welf.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security log source-address 1.2.3.4 stream utm-welf set security log source-address 1.2.3.4 stream utm-welf format welf set security log source-address 1.2.3.4 stream utm-welf format welf category content-security set security log source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency set security log source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency host 5.6.7.8
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar el registro WELF para funciones de seguridad de contenido:
Establezca la dirección IP de origen del registro de seguridad.
[edit security log] user@host# set source-address 1.2.3.4
Nota:Debe guardar los mensajes de registro WELF en un servidor WebTrends dedicado.
Asigne un nombre al flujo de registro de seguridad.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf
Establezca el formato para los mensajes de registro.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf
Establezca la categoría de mensajes de registro que se envían.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security
Establezca el nivel de gravedad de los mensajes de registro que se envían.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency
Escriba la dirección de host del servidor WebTrends dedicado al que se enviarán los mensajes de registro.
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency host 5.6.7.8
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security log configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security log
stream utm-welf {
severity emergency;
format welf;
category content—
security;
host {
5.6.7.8;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Verificar el registro de seguridad
Propósito
Verifique que el registro WELF para las funciones de seguridad de contenido esté completo.
Acción
Desde el modo operativo, escriba el show security utm status comando para comprobar si el servicio Content Security se está ejecutando o no.
Proxy explícito para seguridad de contenido
La seguridad de contenido admite el uso de un proxy explícito para la conectividad basada en la nube para el filtrado web mejorado (EWF) y el antivirus de Sophos (SAV) en seguridad de contenido. El proxy explícito oculta la identidad del dispositivo de origen y establece una conexión con el dispositivo de destino.
- Descripción del proxy explícito
- Configuración del proxy explícito en el servidor mejorado de Juniper
- Verificar la configuración de proxy explícito en el servidor mejorado de Juniper
- Configurar la actualización de categoría predefinida y la configuración del filtro base mediante el proxy explícito
- Verificar la actualización de categoría predefinida y la configuración del filtro base
- Configuración de la actualización de patrones de Sophos Antivirus
- Verificar la actualización del patrón de Sophos Antivirus
Descripción del proxy explícito
Un proxy explícito oculta la identidad del dispositivo de origen, se comunica directamente con el servidor de Websense Threatseeker Cloud (TSC) y establece una conexión con el dispositivo de destino. La configuración de proxy explícita consta de dirección de puerto y dirección IP directa o nombre de host.
Para usar el proxy explícito, cree uno o más perfiles de proxy y haga referencia a esos perfiles:
En EWF, el proxy explícito se configura haciendo referencia al creado
proxy-profileensecurity utm default-configuration web-filtering juniper-enhanced serverla jerarquía. La conexión se establece con el servidor TSC.En el filtro base y la actualización de categorías predefinidos de EWF, el proxy explícito se configura haciendo referencia al creado
proxy-profileensecurity utm custom-objects category-package proxy-profilela jerarquía. Puede descargar y cargar dinámicamente nuevas categorías de EWF sin ninguna actualización de software. Elproxy-profilearchivo de categoría se instala y se utiliza para la transferencia del tráfico.El firewall serie SRX envía la solicitud CONNECT al servidor proxy, el firewall serie SRX y el servidor TSC se comunican a través de la conexión HTTP. Luego, se espera que el servidor proxy identifique las direcciones IP configuradas, permita lista y permita que el firewall serie SRX envíe tráfico al servidor TSC en la nube a través de proxy. Después del filtrado de proxy, creará una conexión con el servidor TSC real.
En Sophos Antivirus (SAV), el proxy explícito se configura haciendo referencia al creado
proxy-profileensecurity utm default-configuration anti-virus sophos-engine pattern-updatela jerarquía. El proceso utmd se conecta al host proxy en lugar del servidor de actualización de patrones SAV en la nube.
En EWF, si el perfil de proxy está configurado en la configuración de filtrado web de Content Security, la conexión del servidor TSC se establece con el host de proxy en lugar del servidor de Content Security en la nube.
En SAV, si el perfil de proxy está configurado, el proceso utmd se conecta al host proxy en lugar del servidor de actualización de patrón SAV en la nube.
La autenticación del servidor proxy no se admite si la proxy-profile autenticación está configurada.
Configuración del proxy explícito en el servidor mejorado de Juniper
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Cree un perfil de proxy con información de host y puerto, y refiéralo en el servidor mejorado de Juniper para establecer una conexión con el servidor de Content Security en la nube.
La siguiente configuración muestra cómo configurar el proxy explícito en el servidor mejorado de Juniper.
Results
Desde el modo de configuración, ingrese el comando y show services para confirmar la show security configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security
default-configuration {
web-filtering {
type juniper-enhanced;
juniper-enhanced {
server {
proxy-profile proxy1;
}
}
}
}
[edit]
user@host# show services
proxy {
profile proxy1 {
protocol {
http {
host 192.0.2.1;
port 3128;
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificar la configuración de proxy explícito en el servidor mejorado de Juniper
Propósito
Mostrar el estado del servidor explícito en el servidor mejorado de Juniper.
Acción
Desde el modo operativo, ingrese el show security utm web-filtering status comando.
user@host> show security utm web-filtering statusUTM web-filtering status: Server status: Juniper Enhanced using Websense server UP
Significado
Este comando proporciona información sobre el estado del servidor del filtrado web mejorado (EWF) mediante Websense Threatseeker Cloud (TSC).
Configurar la actualización de categoría predefinida y la configuración del filtro base mediante el proxy explícito
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Cree un perfil de proxy con información de host y puerto, y refiéralo en la actualización de categoría predefinida y el filtro de base para descargar y cargar dinámicamente nuevas categorías de EWF sin ninguna actualización de software.
La siguiente configuración muestra cómo configurar el proxy explícito en la actualización de categoría y el filtro base predefinidos.
Results
Desde el modo de configuración, ingrese el comando y show services para confirmar la show security configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security
custom-objects {
category-package {
proxy-profile proxy1;
}
}
[edit]
user@host# show services
proxy {
profile proxy1 {
protocol {
http {
host 203.0.113.1;
port 3128;
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificar la actualización de categoría predefinida y la configuración del filtro base
Propósito
Muestra el estado predefinido de descarga, instalación y actualización del paquete de categorías de filtrado web mejorado (EWF).
Acción
Desde el modo operativo, ingrese el comando de CLI show security utm web-filtering category status para ver el estado de la categoría de filtrado web.
Antes de ejecutar el comando de CLI show security utm web-filtering category status , debe ejecutar el comando de CLI request security utm web-filtering category download-install para obtener los resultados.
user@host> show security utm web-filtering category status
UTM category status:
Installed version: 1
Download version: 0
Update status: Done
Significado
Este comando proporciona información sobre el número de categorías instaladas y descargadas y el estado de actualización.
Configuración de la actualización de patrones de Sophos Antivirus
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Cree un perfil de proxy con información de host y puerto, y refiéralo en la actualización de patrón de Sophos Antivirus (SAV). El proceso utmd se conecta al host proxy en lugar del servidor de actualización de patrones SAV en la nube.
La siguiente configuración muestra cómo configurar el proxy explícito en la actualización del patrón SAV.
Results
Desde el modo de configuración, ingrese el comando y show services para confirmar la show security configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security
default-configuration {
anti-virus {
sophos-engine {
pattern-update {
proxy-profile proxy1;
}
}
}
}
[edit]
user@host# show services
proxy {
profile proxy1 {
protocol {
http {
host 203.0.113.1;
port 3128;
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificar la actualización del patrón de Sophos Antivirus
Propósito
Muestra el estado de actualización de Sophos Antivirus (SAV).
Acción
Desde el modo operativo, ingrese el comando de CLI show security utm anti-virus status para ver el estado del antivirus De seguridad de contenido.
user@host> show security utm anti-virus status
UTM anti-virus status:
Anti-virus key expire date: 2018-08-02 00:00:00
Update server: https://host2.example.com/SAV/
Interval: 1000 minutes
Pattern update status: next update in 979 minutes
Pattern update via proxy server: 203.0.113.1:3128
Last result: already have latest database
Anti-virus signature version: 1.13 (1.02)
Scan engine type: sophos-engine
Scan engine information: last action result: No error
Significado
Este comando proporciona información sobre el servidor de actualización de patrones de Sophos Antivirus (SAV), el estado de actualización, la versión de la firma del antivirus, el tipo de motor de antivirus y la información del motor del antivirus.
Políticas unificadas para la seguridad del contenido
Descripción de las políticas unificadas [Seguridad de contenido]
Ahora se admiten políticas unificadas en firewalls serie SRX, lo que permite el control granular y la aplicación de aplicaciones dinámicas de capa 7 dentro de la política de seguridad tradicional.
Las políticas unificadas son políticas de seguridad en las que puede usar aplicaciones dinámicas como condiciones de coincidencia, junto con condiciones de coincidencia de 5 o 6 tuplas existentes (con firewall de usuario) para detectar cambios en las aplicaciones con el tiempo. El uso de políticas unificadas le permite aplicar un conjunto de reglas para el tráfico de tránsito. Utiliza los criterios de coincidencia, a saber, la zona de origen, la zona de destino, las direcciones de origen, las direcciones de destino y los nombres de las aplicaciones. Esto da como resultado políticas de coincidencia potencial.
La configuración de política unificada controla todas las funcionalidades del firewall de aplicaciones (AppFW) y simplifica la tarea de configurar la política de firewall para permitir o bloquear el tráfico de aplicaciones de la red. Como parte de la política unificada, se agrega una nueva condición de coincidencia de política de aplicación dinámica a los firewalls serie SRX, lo que permite a un administrador controlar de manera más eficaz el comportamiento de las aplicaciones de capa 7.
Para adaptarse a las políticas basadas en aplicaciones de capa 7 en Content Security, se introduce el [edit security utm default-configuration] comando. Si no se configura ningún parámetro de una configuración de perfil de entidad de Seguridad de contenido específico, se aplica el parámetro correspondiente de la configuración predeterminada de Seguridad de contenido.
Además, durante la fase inicial de búsqueda de políticas que se produce antes de identificar una aplicación dinámica, si hay varias políticas presentes en la lista de políticas potenciales que contienen diferentes perfiles de Seguridad de contenido, el firewall de la serie SRX aplica el perfil predeterminado de Content Security hasta que se produzca una coincidencia más explícita.
Descripción de la política predeterminada de seguridad de contenido
Una nueva política de Seguridad de contenido predeterminada y predefinida está disponible con la configuración predeterminada de fábrica para proporcionar una configuración predeterminada de Seguridad de contenido. Esta política de seguridad de contenido global predefinida hereda la configuración del perfil de configuración predeterminado de Content Security.
Si hay una política de seguridad de contenido existente definida, se seguirá utilizando para evaluar el tráfico en función de la configuración de la política de seguridad existente.
Cuando se realiza una búsqueda de políticas, las políticas de seguridad de contenido existentes se evalúan antes de las políticas globales. La política predeterminada predefinida seguridad de contenido se aprovecha si existen varias políticas de seguridad de contenido en la lista de políticas potenciales durante el proceso de creación de la sesión de Seguridad de contenido.
Los parámetros predeterminados predefinidos de la política de seguridad de contenido se incluyen en [edit security utm default-configuration] el nivel jerárquico. Estos parámetros están disponibles para el filtrado web, el filtrado de contenido, el antivirus y el perfil de antispam. Si no se configura ningún perfil de característica de Content Security (filtrado web, filtrado de contenido, antivirus y antispam), se aplican los parámetros en la configuración de Content Security global predefinida.
La política predeterminada predefinida De seguridad de contenido está disponible en [edit groups junos-defaults security utm]. Puede modificar ciertos parámetros para el filtrado web, el filtrado de contenido, el antivirus y el antispam. También puede modificar los parámetros predeterminados del perfil de Content Security para perfiles de características de filtrado web, filtrado de contenido, antivirus y antispam en [edit security utm default-configuration].
Ver también
Soporte de seguridad de contenido para el clúster de chasis
La seguridad de contenido se admite para la configuración del clúster de chasis activo/activo y de respaldo. Para obtener más información, consulte los temas siguientes:
- Descripción de la compatibilidad de seguridad de contenido para el clúster de chasis activo/activo
- Descripción de la compatibilidad de seguridad de contenido para el clúster de chasis activo/de respaldo
Descripción de la compatibilidad de seguridad de contenido para el clúster de chasis activo/activo
Content Security requiere una licencia para cada dispositivo en la configuración del clúster de chasis. Para obtener información sobre cómo comprar una licencia de software, comuníquese con su representante de ventas de Juniper Networks en https://www.juniper.net/in/en/contact-us/ y, para obtener más información, consulte la guía de licencias.
Se admiten todas las siguientes funciones de seguridad de contenido en el clúster de chasis activo/activo:
Filtrado antispam
Filtrado de contenido
Análisis de Sophos Antivirus
Filtrado web mejorado
Filtrado web local
Filtrado web de redirección de Websense
Av en la caja/Avira
Content Security admite la configuración del clúster de chasis activo/activo desde junos OS versión 19.4R1 en adelante. El clúster Activo/Activo es un clúster en el que las interfaces pueden estar activas en ambos nodos de clúster simultáneamente. Este es el caso cuando hay más de un grupo de redundancia de plano de datos, es decir, los grupos de redundancia 1 y superiores, o cuando se utilizan interfaces locales (no reth) en los nodos del clúster.
La conexión en la nube de filtrado web mejorado no admite la conmutación por error, sino que creará una nueva conexión automáticamente después de retirar la conexión anterior.
Descripción de la compatibilidad de seguridad de contenido para el clúster de chasis activo/de respaldo
Content Security requiere una licencia para cada dispositivo en la configuración del clúster de chasis. Para obtener información acerca de cómo comprar una licencia de software, comuníquese con su representante de ventas de Juniper Networks en https://www.juniper.net/in/en/contact-us/.
Se admiten las siguientes funciones de seguridad de contenido en el clúster de chasis:
Filtrado de contenido
Filtrado de URL (Web)
Filtrado antispam
Análisis antivirus completo basado en archivos
Análisis antivirus de Sophos
El clúster Activo/Activo es un clúster en el que las interfaces pueden estar activas en ambos nodos de clúster al mismo tiempo. Este es el caso cuando hay más de un grupo de redundancia de plano de datos, es decir, grupos de redundancia 1 y superiores, o cuando se utilizan interfaces locales (no reth) en los nodos del clúster.
Si se configuran varios grupos de redundancia de plano de datos, Content Security solo funciona si todos los grupos de redundancia están activos en un solo nodo. En caso de que uno de los grupos de redundancia falle automáticamente a otro nodo, Content Security no funcionará.
Ver también
Lista de permitir
Una lista de permitir URL define todas las URL enumeradas para una categoría específica para evitar siempre el proceso de análisis. La lista de permitidos incluye nombres de host que desea eximir de operaciones de procesamiento de proxy SSL. Para obtener más información, consulte los temas siguientes:
- Descripción de la lista de permitidos de MIME
- Ejemplo: Configurar mime allowlist para omitir el análisis antivirus
- Descripción de la lista permitida de URL
- Configurar la lista de permitidos de URL para omitir el análisis antivirus (procedimiento de CLI)
Descripción de la lista de permitidos de MIME
El dispositivo de puerta de enlace usa tipos MIME (extensión de correo de Internet multipropósito) para decidir qué tráfico puede omitir el análisis del antivirus. La lista de permitidos MIME define una lista de tipos MIME y puede contener una o varias entradas MIME.
Una entrada MIME es insensible a mayúsculas y minúsculas. Una MIME vacía es una entrada no válida y nunca debe aparecer en la lista MIME. Si la entrada MIME termina con un / carácter, se produce una coincidencia de prefijo. De lo contrario, se produce una coincidencia exacta.
Hay dos tipos de listas MIME que se utilizan para configurar el tipo de análisis antivirus MIME que se pasa por alto:
lista de mime-allowlist: esta es la lista completa para aquellos tipos MIME que pueden omitir el análisis de antivirus.
lista de excepciones: la lista de excepciones es una lista para excluir algunos tipos MIME de la lista mime-allowlist. Esta lista es un subconjunto de tipos MIME encontrados en la mime-allowlist.
Por ejemplo, si la mime-allowlist incluye la entrada,
video/y la lista de excepciones incluye la entradavideo/x-shockwave-flash, mediante el uso de estas dos listas, puede omitir objetos con "video/" tipo MIME, pero no "video/x-shockwave-flash" tipo MIME.Debe tener en cuenta que hay límites para las entradas mime-allowlist como se indica a continuación:
La cantidad máxima de elementos MIME en una lista MIME es de 50.
La longitud máxima de cada entrada MIME está restringida a 40 bytes.
La longitud máxima de una cadena de nombres de lista MIME está restringida a 40 bytes.
Ejemplo: Configurar mime allowlist para omitir el análisis antivirus
En este ejemplo, se muestra cómo configurar MIME permite que las listas eviten el análisis antivirus.
Requisitos
Antes de comenzar, decida el tipo de listas MIME que se utilizan para configurar el análisis antivirus de tipo MIME que pasa por alto. Consulte Descripción de la lista de permitidos de MIME.
Visión general
En este ejemplo, se crean listas MIME llamadas avmime2 y ex-avmime2 y se agregan patrones a ellas.
Configuración
Procedimiento
Procedimiento paso a paso
Para configurar MIME permite que las listas eviten el análisis antivirus:
Cree listas MIME y agregue patrones a las listas.
[edit] user@host# set security utm custom-objects mime-pattern avmime2 value [video/quicktime image/x-portable-anymap x-world/x-vrml] user@host# set security utm custom-objects mime-pattern ex-avmime2 value [video/quicktime-inappropriate]
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Descripción de la lista permitida de URL
Una lista de permitir URL define todas las URL enumeradas para una categoría específica para evitar siempre el proceso de análisis. La lista de permitidos incluye nombres de host que desea eximir de operaciones de procesamiento de proxy SSL. También hay requisitos legales para eximir a los sitios financieros y bancarios; estas exenciones se logran mediante la configuración de categorías de URL correspondientes a esos nombres de host en las listas permitidas de URL. Si alguna URL no requiere análisis, se pueden agregar las categorías correspondientes a esta lista permitida.
A partir de Junos OS versión 15.1X49-D80 y Junos OS versión 17.3R1, la característica allowlisting se extiende para incluir categorías de URL compatibles con Content Security en la configuración allowlist del proxy de reenvío SSL. Para obtener más información, consulte La guía del usuario de seguridad de aplicaciones para dispositivos de seguridad.
A partir de Junos OS versión 17.4R1, la función allowlisting se extiende para admitir categorías de URL personalizadas compatibles con Content Security en la configuración allowlist del proxy de reenvío SSL.
Configurar la lista de permitidos de URL para omitir el análisis antivirus (procedimiento de CLI)
Para configurar listas permitidas de URL, utilice las siguientes instrucciones de configuración de CLI:
security utm custom-objects {
custom-url-category { ; set of list
name url-category-name; #mandatory
value url-pattern-name;
}
}