Настройка Web-фильтрации на маршрутизаторах Juniper SRX

Многие компании после внедрения проектов по безопасности локальной сети, и создания надежных шлюзов хотят расширить возможности и  внедрить новые методы, который призваны обезопасить бизнес.

            Один из типовых примеров, использование маршрутизаторов Juniper SRX, в качестве WEB-фильтра. Начиная с версии JunOS 12.1 данная возможность в них появилась используя Unified Threat Management. Данная опция лицензируется отдельной програмной лицензией и может быть куплена как у дилеров, так и заказан триал на официальном сайте производителя.

Лицензия имеет название — anti_spam_key_sbl и её наличие можно проверить командой – show system license. (Для установки ключа воспользуемся командой –  request system license add terminal)

            И так, лицензию мы получили/установили, и теперь нам необходимо настроить политики и объекты для фильтрации. Для начала создадим два списка содержащий запрещённые и разрешенные сайты:

            set security utm custom-objects url-pattern ip-black-list value http://*.vk.com

            set security utm custom-objects url-pattern ip-black-list value http://*.odnoklassniki.ru

            set security utm custom-objects url-pattern ip-black-list value http://*.facebook.com

            set security utm custom-objects url-pattern ip-white-list value http://*.yandex.ru

            set security utm custom-objects url-pattern ip-white-list value http://*.rbc.ru

Теперь добавим данные списки в категории фильтрации:

            set security utm custom-objects custom-url-category white-category value ip-white-list

            set security utm custom-objects custom-url-category black-category value ip-black-list

            set security utm feature-profile web-filtering url-blacklist white-category

            set security utm feature-profile web-filtering url-whitelist black-category

Добавим правила фильтрации и бан-сообщение:

            set security utm feature-profile web-filtering type juniper-local

            set security utm feature-profile web-filtering juniper–local profile localprofile1 default permit

        set security utm feature-profile web-filtering juniper-local profile localprofile1 custom-block-message “Access to this site is not permitted”

Создадим политику доступа и правила фильтарции зоны:

            set security utm utm-policy utmp5 web-filtering http-profile localprofile1

            set security policies from-zone trust to-zone untrust policy p5 match source-address any

            set security policies from-zone trust to-zone untrust policy p5 match destination-address any

            set security policies from-zone trust to-zone untrust policy p5 match application junos-http

            set security policies from-zone trust to-zone untrust policy p5 then permit application-services utm-policy utmp5

 Вот такими, не сложными действиями и настраивается Web-фильтрация на маршрутизаторах SRX серии. Официальное руководство по настройке веб-фильтров на маршрутизаторах линеек SRX и J можно найти здесь.

Валерий Кулик