当前,我们正在使用UTM Web过滤功能,仅允许使用“ juniper-local ”通过瞻博网络SRX防火墙列出网站,并且正常运行。
如果将设备配置为使用代理服务器,则不会使用Juniper UTM,即使是通过Juniper UTM不允许的站点也可以访问。
我们想要的预期行为:内部设备应使用Juniper白名单功能,如果允许,则将请求传递到外部代理服务器以检查是否允许请求的站点,如果允许,则Web请求成功,并且内容显示给用户。这是一种双重代理服务器功能,即,如果两者都允许,则仅允许Web内容,否则被阻止。
示例:
如果假设外部代理服务器位于IP 10.123.113.116和端口3128的非信任区域中,则将该代理应用到信任区域内部的设备后,Internet Explorer-> Internet选项-> Connections-> LAN Settings->代理服务器,(如果通过安全策略允许了给定的代理端口),则将允许所有Internet,即未选中Juniper白名单。根据“显示安全流会话”,互联网流量是通过端口3128传递的,而不是通过HTTP / HTTPS传递的。
即使相关的安全策略包括代理端口(3128),并且该操作也可以通过application-services-> utm-policy
允许我的期望是,这应该应用utm政策,但实际上并没有。
接下来,我们尝试了 websense-redirect ,其中我们将外部代理服务器配置为websense-redirect服务器主机。 (随附配置文件)
如果我们不将此代理服务器包含在Web浏览器Internet连接LAN设置中,则可以看到Juniper Web过滤有效,但是它不检查外部代理服务器(即,UTM允许但在外部代理服务器中被阻止的网站允许)。如果我们在Internet选项(连接LAN设置)中包含此代理服务器,则不会使用Juniper Web过滤。
是否可以使用增强型网络过滤功能来完成此操作(我们尚未对其进行测试,因为这是一项许可功能)?
“本地杜松”
custom-objects {
url-pattern {
Whitelist-Allowed-urls {
value [ https://www.webex.com https://www.juniper.net https://*.juniper.net ];
}
}
custom-url-category {
Whitelist-good-sites {
value Whitelist-Allowed-urls;
}
}
}
feature-profile {
web-filtering {
url-whitelist Whitelist-good-sites;
type juniper-local;
juniper-local {
profile Whitelist-web-profile {
default block;
custom-block-message "Juniper UTM firewall has blocked this request";
fallback-settings {
default block;
server-connectivity block;
timeout block;
too-many-requests block;
}
}
}
}
}
utm-policy Whitelist-sites-local-policy {
web-filtering {
http-profile Whitelist-web-profile;
}
}
}
“ websense-重定向”
web-filtering {
url-whitelist Whitelist-good-sites;
type websense-redirect;
traceoptions {
flag all;
}
websense-redirect {
profile websense-profile1 {
server {
host 10.123.113.116;
port 3128;
}
custom-block-message *******DENIED**********;
fallback-settings {
default block;
server-connectivity block;
timeout block;
too-many-requests block;
}
timeout 1800;
sockets 4;
}
}
}
}
utm-policy Whitelist-sites-local-policy {
web-filtering {
http-profile websense-profile1;
}
}
}