WEB фильтрация Juniper Networks SRX для предприятия

Задать вопрос
Наши специалисты ответят на любой интересующий вопрос по услуге

Веб-фильтрация или URL фильтр, является частью системы унифицированной защиты от угроз (unified threat management — UTM) и доступна на брандмауэрах уже много лет. Хотя введение Web 2.0 создало новые требования безопасности, URL фильтры остаются неотъемлемой частью любой стратегии безопасности. В некоторых случаях веб-фильтрация является первой линией защиты сети. Если веб-сайт — известный источник вредоносного ПО, что может быть проще, чем банальное блокирование доступа к этому сату? Дополнительно, URL фильтр обеспечивает легкий способ для внедрения бизнес политик на предприятии.

ОБЛАСТЬ ПРИМЕНЕНИЯ

С операционной системы Juniper Networks® Junos®  версии 9.5 появляется поддержка UTM для сервисных маршрутизаторов J серии и шлюзов динамического предоставления услуг SRX серии. Веб-фильтрция — одна из нескольких особенностей ОС, которая вместе с антивирусом, модулем антиспама, и системой предотвращения вторжений IPS, составляют комплекс защиты Juniper Networks UTM — обеспечивающий возможность предоставить или запретить доступ к определенным URL индивидуально или на основании категорий, к которым они принадлежат. Для этой цели применяется два различных метода — интегрированная опция SurfControl или функция перенаправления Websense.

Требования к оборудованию
  • Juniper Networks шлюзы динамического предоставления услуг SRX серии для филиалов (включая SRX100, SRX210, SRX240, и SRX650)
  • Juniper Networks сервисные маршрутизаторы серии J (включая J2320, J2350, J4350, и J6350)

Требования к программному обеспечению
  • Junos OS версии 9.5 или новее

ОПИСАНИЕ И СЦЕНАРИИ РАЗВЕРТЫВАНИЯ

Решение веб-фильтрации Juniper доступно в двух вариантах — интегрированное решение, которое запрашивает облачную базу данных SurfControl или метод перенаправления, который требует локально установленный Websense сервер. Читая эту аннотацию, можно выбрать, какой метод лучше всего отвечает Вашим потребностям.

SURFCONTROL ВЕБ-ФИЛЬТРАЦИЯ

Первый и наиболее распространенный метод веб-фильтрации — это использование облачного SurfControl сервера, который хранит базу данных категорий и связанных с ним URL адресов. Функция SurfControl требует покупки лицензии Juniper Web filtering. Каждый раз, когда пользователь сети пытается получить доступ к сайту, шлюз Juniper (серии J или SRX) перехватывает запрашиваемую URL страницу и отправляет его адрес в базу данных SurfControl. Сервер SurfControl возвращает категорию сайта в которой он состоит, и которая затем используется в политике веб-фильтрации на шлюзе, чтобы разрешить или запретить доступ.

Особенности базы данных SurfControl
  • Более чем 26 миллионов URL-адресов;
  • Около 50 категорий (число категорий может изменяться от выпуска к выпуску);
  • Более чем 70 языков.

В настоящее время сервер SurfControl использует следующие категории
  • Материалы для взрослых(сексуально направленные) (Adult/Sexually Explicit) Рекламные объявления (Advertisements & Pop-Ups)
  • Алкоголь и табак (Alcohol & Tobacco) Искусство (Arts)
  • Блоги и форумы (Blogs & Forums) Бизнес (Business)
  • Чаты (Chat) Компьютеры и Интернет (Computing & Internet)
  • Преступная деятельность (Criminal Activity) Материалы для скачивания (Downloads)
  • Образование (Education) Развлечения (Entertainment)
  • Мода и красота (Fashion & Beauty) Финансы и инвестиции (Finance & Investment)
  • Еда и напитки (Food & Dining) Азартные игры (Gambling)
  • Игры (Games) Правительство (Government)
  • Хакерство (Hacking) Здоровье и медицина (Health & Medicine)
  • Хобби и отдых (Hobbies & Recreation) Сайты, предлагающие услуги хостинга (Hosting Sites)
  • Наркотики (Illegal Drugs) Инфраструктура (Infrastructure)
  • Нижнее белье и купальники (Intimate Apparel & Swimwear) Нетерпимость и ненависть (Intolerance & Hate)
  • Поиск работы и карьера (Job Search & Career Development) Сайты для детей (Kid’s Sites)
  • Автомобили (Motor Vehicles) Новости (News)
  • Peer-to-Peer Знакомства и свидания (Personals & Dating)
  • Благотворительлные и профессиональные организации (Philanthropic & Professional Orgs.) Онлайновое мошенничество/Обман (Phishing & Fraud)
  • Поиск фотографий (Photo Searches) Политика (Politics)
  • Прокси-сервера и переводчики (Proxies & Translators) Недвижимость (Real Estate)
  • Справочная информация (Reference) Религия (Religion)
  • Рингтоны/Материалы для скачивания на мобильный телефон (Ringtones/Mobile Phone Downloads) Поисковые машины (Search Engines)
  • Половое воспитание (Sex Education) Покупки (Shopping)
  • Культура и общество (Society & Culture) Адреса сайтов, распространяющих спам (Spam URLs)
  • Спорт (Sports) Шпионское программное обеспечение (Spyware)
  • Потоковое медиа (Streaming Media) Безвкусица и агрессия (Tasteless & Offensive)
  • Путешествия (Travel) Насилие (Violence)
  • Оружие (Weapons) Электронная почта на основе Web (Web-Based E-mail)

После того как категория сайта определена и вычислена применяемая политика, маршрутизатор SRX или J серии создает в журнале сообщение о предпринятых действиях. Это сообщение может быть сохранено локально либо отправлено на удаленный syslog сервер или коллектор логов.

Как только сайт был связан с категорией, результат кэшируется локально. Последующие запросы на тот же URL не генерируют новый запрос в центральную базу данных. Основным преимуществом этого решения является то, что пользователям не нужно поддерживать базу данных, которая часто требует избыточной серверной инфраструктуры. Тем не менее, есть некоторые компромиссы, связанные с использованием облачного SurfControl решения. В частности:

  • Будут некоторые задержки, связанные с запросом центрального сервера. Локальный кэш снижает задержки, но первоначальные запросы (или запросы на записи, время жизни которых истекло) всегда будут испытывать дополнительную задержку.
  • Некоторые функции (например, способность обнаруживать и блокировать peer-to-peer трафик, если IPS включен), которые могут быть использованы в варианте с помощью перенаправления, не возможно использовать в решении SurfControl Веб-фильтрации.

WEB ФИЛЬТРАЦИЯ WEBSENSE С ПОМОЩЬЮ ПЕРЕНАПРАВЛЕНИЯ (WEBSENSE REDIRECT)

Второй подход заключается в использовании функции Websense перенаправления. Это решение не требует отдельной лицензии Juniper Networks, но использует стороннюю репутационную базу данных от Websense, которая должна быть куплена отдельно у производителя. В отличие от метода запросов к SurfControl серверу, маршрутизатор перенаправляет URL сайта на локальный Websense сервер, который содержит как репутационную базу данных категорий сайтов так и политики веб-фильтрации. Websense сервер сравнивает URL со своей базой данных и возвращает результат в соответствии с его настроенными политиками безопасности. Затем на маршрутизаторы серии J или SRX направляется ответ, указывающий, является ли URL разрешенным или запрещенным.

Особенности метода перенаправления на сервер Websense
  • Более 100 категорий;
  • Поддержка более 100 протоколов;
  • Websense Network Agent, позволяет контролировать активность более 150 приложений;
  • Политики безопасности вычисляются локально;
  • Разносторонняя отчетность включающая в себя более 60 стандартных отчетов, которые могут быть легко настроены.

Это решение имеет преимущество в минимизации задержек при обработке запросов (так как база данных хранится локально), но дополнительно требует приобретения программного обеспечения Websense и лицензионной подписки для содержания текущей базы данных в актуальном состоянии

  • Возможно несколько серверов Websense для резервирования в каждом распределенном офисе (или на центральном узле, но увеличатся задержки при обработке запросов, как и в случае с интегрированной SurfControl Веб-фильтрацией);
  • Актуальное состояние репутационной базы поддерживается администратором.

Кроме того, HTTPS URL-адреса не могут быть отфильтрованы, поскольку URL не может быть извлечен.

БЕЛЫЕ И ЧЕРНЫЕ СПИСКИ

Администраторы также могут настроить пользовательские URL категории, которые могут быть включены в черный или белый списки, и выполняются на маршрутизаторе. Все URL-адреса каждой категории черного списка блокируются, а все URL-адреса каждой категории белого списка пропускаются. Порядок обработки выглядит следующим образом:

  • Новый адрес сначала сопоставляется с черным списком URL-адресов. Если совпадение найдено, трафик блокируется без дальнейшей обработки;
  • Если совпадений не найдено, то URL сопоставляется теперь с белом списком, и прохождение трафика разрешается, если будет найдено совпадение;
  • Если совпадений с категориями определенными пользователем не найдено, то обработка запросов продолжается в нормальном режиме, либо через интегрированную SurfControl фильтрацию или метод перенаправления Websense.

Пользовательские категории также могут быть использованы как часть интегрированного решения SurfControl. В этом случае пользовательские категории добавляются к политикам шлюза так-же, как и предопределенные категории SurfControl.

ЛИЦЕНЗИРОВАНИЕ

Как упоминалось ранее, для интегрированного SurfControl решения требуется лицензия, но не является обязательной для решения Websense перенаправления. Установленные в устройстве лицензии можно посмотреть с помощью команды “show system license”.

Заказать услугу
Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.