Differences

This shows you the differences between two versions of the page.

--- workbook:jno-332:332_utm [2017/05/27 22:38] – [Полезные ссылки] k
+++ workbook:jno-332:332_utm [2021/08/12 08:35] (current) – external edit 127.0.0.1
@@ Line 1: / Line 1: @@
-===== 332 UTM =====
+===== JN0-332: UTM =====
 ** Необходимые знания: **
   * Identify concepts, general features and functionality of UTM
@@ Line 101: / Line 101: @@
 Лицензии **не** требуются на:
   * Content Filter
-  * Websense Web Filtering (но надо отдельно Websense покупать)
+  * Websense (redirect) Web Filtering (но надо отдельно Websense покупать)
   * Local List Web Filtering
@@ Line 726: / Line 726: @@
 Критерии трафика:
-  * MIME
+  * MIME - на основе типа трафика
   * File extension - на основе расширения файла
   * Команды протоколов:
@@ Line 734: / Line 734: @@
     * POP3 - APOP, DELE, LIST, NOOP, PASS, QUIT, RETH, RSET, STAT, TOP, UIDL, USER
     * IMAP - CAPCABILITY, NOOP, LOGOUT, AUTHENTICATE, LOGIN, SELECT, EXAMINE
+Можем посмотреть ответ от HTTP сервера, найдем там какой-нибудь запрещенный MIME-type, например image/bmp, и запретим его. \\
+Или можем следить за FTP командами, увидели запрещенную, дропнули её, коанда не дошла до сервера\клиента.
+==== Content filter ====
+Критерии трафика для контент фильтра задаются на уровне [edit security utm custom-objects].
+<code>
+[edit security utm]
+root@bluebox# show
+custom-objects {
+    mime-pattern {
+        MIME-ALLOW {
+            value video/quicktime;
+        }
+        MIME-DENY {
+            value text/css;
+        }
+    }
+    filename-extension {
+        FILE-EXTEN {
+            value EXE;
+        }
+    }
+    protocol-command {
+        PROTOCOL-COMMAND-ALLOW {
+            value get;
+        }
+        PROTOCOL-COMMAND-BLOCK {
+            value delete;
+        }
+    }
+}
+</code>
+Потом эти критерии используются на уровне [edit security utm feature-profile content-filtering].
+<code>
+[edit security utm feature-profile]
+root@bluebox# set content-filtering profile CONTET-FILTER-PROFILE-1 ?
+Possible completions:
+  <[Enter]>            Execute this command
++ apply-groups         Groups from which to inherit configuration data
++ apply-groups-except  Don't inherit configuration data from these groups
+  block-command        Block command list
+> block-content-type   Content-filtering feature block content type
+  block-extension      Block extension list
+> block-mime           Content-filtering feature block MIME
+> notification-options  Notification options
+  permit-command       Permit command list
+  |                    Pipe through a command
+[edit security utm feature-profile]
+root@bluebox# ...g profile CONTET-FILTER-PROFILE-1 block-content-type ?
+Possible completions:
+  activex              Block activex
++ apply-groups         Groups from which to inherit configuration data
++ apply-groups-except  Don't inherit configuration data from these groups
+  exe                  Block Windows/dos exe file
+  http-cookie          Block HTTP cookie
+  java-applet          Block Java-applet
+  zip                  Block zip file
+[edit security utm feature-profile]
+root@bluebox# show
+content-filtering {
+    profile CONTET-FILTER-PROFILE-1 {
+        permit-command PROTOCOL-COMMAND-ALLOW;
+        block-command PROTOCOL-COMMAND-BLOCK;
+        block-extension FILE-EXTEN;
+        block-mime {
+            list MIME-DENY;
+            exception MIME-ALLOW;
+        }
+    }
+}
+</code>
+Настройки уведомлений о блокировки.
+<code>
+[edit security utm feature-profile]
+root@bluebox# set content-filtering profile CONTET-FILTER-PROFILE-1 notification-options ?
+Possible completions:
+  <[Enter]>            Execute this command
++ apply-groups         Groups from which to inherit configuration data
++ apply-groups-except  Don't inherit configuration data from these groups
+  custom-message       Custom notification message
+  no-notify-mail-sender  Don't notifiy mail sender
+  notify-mail-sender   Notifiy mail sender
+  type                 Notification options type
+  |                    Pipe through a command
+</code>
+Профиль к политике безопасности применяться через UTP политику. Так же как в антивирусе.
+=== Мониторинг ===
+<code>
+[edit]
+root@bluebox# run show security utm content-filtering statistics
+ Content-filtering-statistic:         Blocked
+     Base on command list:                    0
+     Base on mime list:                       0
+     Base on extension list:                  0
+     ActiveX plugin:                          0
+     Java applet:                             0
+     EXE files:                               0
+     ZIP files:                               0
+     HTTP cookie:                             0
+</code>
+==== Web filter ====
+Есть возможность фильтровать HTTP трафик по конкретному url или категории.
+Методы фильтрации:
+  * Integrated Web Filtering (surf-control-integrated) - База сайтов и категорий хранится в облаках (SurfControl Content Portal Authority provided by Websense), srx спрашивает про сайт, ему возвращают категорию сайта. \\ Нужна лицензия. \\ В дополнение можно определять сайты и категории руками.
+  * Redirect Web Filtering (websense-redirect) - отдельный сервер который стоит "рядом" с srx и хранит базу категорий, сайтов и политик фильтрации. \\ Лицензия на srx не нужна, нужно отдельное ПО и сервер.
+  * Enhanced Web Filtering (juniper-enhanced) - Еще одна база сайтов, категорий и репутаций которая храится в облаке (Websense ThreatSeeker Cloud),  srx спрашивает про сайт, ему возвращают категорию сайта и рупутацию.\\ Нужна лицензия. \\
+  * Local Web filtering (juniper-local) - администратором пишутся черные и белые списки сайтов. \\ Лицензия не нужна. Может использоваться в дополнение к surfcontrol и websense.
+<code>
+[edit security utm]
+root@msk-02-srx2# set feature-profile web-filtering ?
+Possible completions:
++ apply-groups         Groups from which to inherit configuration data
++ apply-groups-except  Don't inherit configuration data from these groups
+> juniper-enhanced     Configure web-filtering juniper enhanced engine
+> juniper-local        Configure web-filtering juniper local engine
+> surf-control-integrated  Configure web-filtering surf-control integrated engine
+> traceoptions         Trace options for web-filtering feature
+  type                 Configure web-filtering engine type
+  url-blacklist        Configure custom URL for blacklist category
+  url-whitelist        Configure custom URL for whitelist category
+> websense-redirect    Configure web-filtering websense redirect engine
+[edit security utm]
+root@msk-02-srx2# set feature-profile web-filtering type ?
+Possible completions:
+  juniper-enhanced
+  juniper-local
+  surf-control-integrated
+  websense-redirect
+</code>
+>Если к политике безопасности одновременно применен web-filter и antivirus, то сначала применяется web-filter и если доступ к сайту запрещен, то сессия сразу дропается и antivirus в работу не вступает.
+=== Integrated Web Filtering (Surf Control, SC) ===
+{{workbook:jno-332:utm-webfilter-surfcontrol.png?600}}
+Каждый раз когда пользователь обращается к сайту, srx смотрит url и обращается к базе SC. SC возвращает категорию сайта. Разрешенный или запрещенные категории прописываются в политиках безопасности. Если запрещаем посещение сайта, то пользователю можно вывести сообщение. Ответы от SC кэшируются, по одному и тому же сайту два раза в SC ходить не надо.
+База SC содержит:
+  * более 26 000 000 адресов.
+  * порядка 40 категорий сайтов
+  * более 70 языков
+> The Integrated Web filtering is not supported from Junos OS Release 15.1X49-D10 onwards.
+> Integrated Web filtering solution is supported only on SRX210, SRX220, SRX240, SRX550, and SRX650 devices.
+=== Redirect Web Filtering ===
+{{workbook:jno-332:utm-webfilter-websense.png?600}}
+Стоит отдельный локальный сервер, который хранит базу данных с сайтами категориями и политиками фильтрации. \\
+SRX перенаправляет URL запрашиваемого сайта на WS и он уже принимает решение о пропуске трафика.
+База WS содержит:
+  * 95 категорий
+  * поддерживается порядка 100 протоколов (??)
+  * логирование и отчеты
+=== Enhanced Web Filtering ===
+{{workbook:jno-332:utm-webfilter-websense-enhanced.png?600}}
+Перехватываем HTTP запросы и ip адреса HTTPS запросов, отправляем их в Websense ThreatSeeker Cloud (TSC) нам возвращают категорию и репутацию сайта, на основе этой инфы принимаем решение о пропуске трафика.
 ----
@@ Line 743: / Line 916: @@
     * [[http://htmlbook.ru/html/value/mime]]
     * [[https://joomla-school.com/poleznosti/108-chto-takoe-mime-types.html]]
+  * [[https://www.juniper.net/documentation/en_US/junos/topics/concept/security-utm-enhanced-web-filtering-functionality-understanding.html|Про Enhanced Web Filtering]]
+  * [[https://www.juniper.net/documentation/en_US/junos/topics/concept/utm-web-filtering-overview.html|Про типы web-filtering]]
+  * [[https://www.juniper.net/documentation/en_US/junos/topics/concept/utm-license-understanding.html|Про лицензирование UTM]]
+{{tag>juniper jn0-332 exam}}