Juniper SRX Firewall Üzerinde URL Filtering

SRX firewall larda hem branch serisinde hem de high end serisinde UTM ve IDP feature ları cihaz ile birlikte geliyor.
Ancak ilgili lisansların satın alınıp özelliklerin etkinleştirilmesi gerekiyor tabii. Feature lar tek tek (antivirüs, antispam, url filtering, ips… şeklinde tek tek) veya bundle bir lisans paketi ile toptan etkinleştirilebilir.

Juniper Srx Firewall larda Branch serisinde SSL Proxy özelliği maalesef yok. Yani HTTPS ile taşınan web trafiğini decyrpt edip oradan URL i tespit ederek bloklama yapamıyor. HTTPS üzerinden yapılan requestleri bloklama işlemlerinde Enhanced Web Filtering lisansı alırsanız, SRX, HTTPS ile request yapılan web sitesinin IP adresini Websense ThreatSeeker Cloud (TSC) a gönderiyor ve oradan IP Reputation veya black list, white list kategorizasyonlarına göre aksiyon alıyor. Url Filtering tarafında Surf Control ve Websense markaları ile çalışıyor Juniper.

Integrated Web Filtering Feature ı kullanıldığında, Cihaz Web Filtering işlemi yaparken şu adımları izliyor:

  • Önce Global Black List kontrol ediliyor. Http ile çağırılan web sitesi veya ip adresi Global Black List te ise bloklama işlemi gerçekleştiriliyor.
  • Request Global Black List te yoksa Global White List e bakılıyor.
  • Global White List te de yoksa kullanıcı tarafından tanımlanmış kategorilere (Url Pattern and Category) bakılıyor.
  • Sonra ön tanımlı kategorilere bakılıyor ve buna göre aksiyon alınıyor.
  • İlgili request yukarıdakilerden hiçbirine takılmıyorsa Default Action belirlenebilir.

Bunların haricinde kullanıcı kendi black/white list lerini ve kategorilerini oluşturabiliyor ki bu makalenin konusu budur.

GUI Üzerinden Juniper SRX Firewall URL Filtering Adımları (Chrome kullanmanızı öneriririm 🙂 )
Security / UTM / Custom Objects bölümünden Url tanımlaması yapıyoruz.
http://*.emrebastug.net şeklinde bir domaine ait tüm subdomainleri belirtebiliriz.

SRX_URL_Pattern

SRX_URL_Pattern

Oluşturduğumuz Url Patternleri Security / UTM / Custom Objects / Url Category List bölümünde oluşturacağımız kategorilere dahil ediyoruz.

1_SRX_URL_Category_List

SRX_URL_Category_List

Security / UTM / Web Filtering bölümü içerisinden Global Web Filtering Options ayarlarımızı yapıyoruz ve aşağıdaki resimdeki gibi kategorilerimizi belirliyoruz.

SRX_UTM_Global_WF_Options

SRX_UTM_Global_WF_Options

junos-wf-local-default u editleyerek bloklanan web siteler için kullanıcıya gönderilecek mesajı belirliyoruz.

SRX_UTM_Local_WF_Profile

SRX_UTM_Local_WF_Profile

Daha önce oluşturduğumuz http profilini Security / Policy / Define UTM Policy bölümünden UTM Policy mize assign ediyoruz.

RX_UTM_Define_UTM_Policy

SRX_UTM_Define_UTM_Policy

Security / Policy / Apply Policy denen isimle bölümün ne alakası olduğuna dair kimsenin bir fikrinin olmadığı bölümden Policy oluşturuyoruz.
Benim address book larım daha önceden oluşturulmuş olduğu için zone bazlı bir policy uygulamak istediğimde source kısmında isimlerim görünüyor.
Address book lar Security / Policy Elements / Address Books bölümünden oluşturuluyor.

Policy Action : Permit
Source Address : Emre
Destination : Any
Applications : Any
From zone : trust
To zone : Internet

SRX_UTM_Apply_Policy

SRX_UTM_Apply_Policy

Aynı policy nin Application Services tabında Utm Policy kısmından oluşturduğumuz bir security policy e utm policy atanması işlemini yapıyoruz.

SRX_UTM_Apply_Policy_2

SRX_UTM_Apply_Policy_2

Policy miz aşağıdaki gibi.

SRX_UTM_Apply_Policy_3

SRX_UTM_Apply_Policy_3

İşlemi tamamlayıp GUI de Action bölümünden Commitment işlemini de gerçekleştirdikten sonra sonuç aşağıdaki gibi oluyor.

SRX_URL_Block

SRX_URL_Block

Operational mode da show security utm web-filtering statistics dediğimizde countları görebiliriz.

SRX_UTM_Statistics

SRX_UTM_Statistics

Syslog şeklinde incelemek istersek de configuration mode da
set system syslog file webloglari match WEBFILTER_ any any
komutunu çalıştırıp commit ederek webloglarını ayrı file a yazdırabiliriz.

aşağıdaki gibi syslog detayı görebiliriz.

@SRX210> show log webloglari

SRX_UTM_Logs

SRX_UTM_Logs

Komut satırında Çalıştırılacak Komutlar
set security utm custom-objects url-pattern White value http://www.emrebastug.net
set security utm custom-objects url-pattern White value http://www.juniper.net
set security utm custom-objects url-pattern Black value http://www.milliyet.com.tr
set security utm custom-objects url-pattern Black value http://www.sabah.com.tr
set security utm custom-objects url-pattern Black value http://www.yildizbranda.com
set security utm custom-objects url-pattern Black value http://*.hurriyet.com.tr
set security utm custom-objects custom-url-category Black value Black
set security utm custom-objects custom-url-category White value White
set security utm feature-profile web-filtering url-whitelist White
set security utm feature-profile web-filtering url-blacklist Black
set security utm feature-profile web-filtering type juniper-local
set security utm feature-profile web-filtering juniper-local profile junos-wf-local-default default log-and-permit
set security utm feature-profile web-filtering juniper-local profile junos-wf-local-default custom-block-message “Girmeye çalistiginiz site BT Politikalari kapsaminda bloklanmistir”
set security utm feature-profile web-filtering juniper-local profile junos-wf-local-default fallback-settings default block
set security utm feature-profile web-filtering juniper-local profile junos-wf-local-default fallback-settings server-connectivity block
set security utm feature-profile web-filtering juniper-local profile junos-wf-local-default fallback-settings timeout block
set security utm feature-profile web-filtering juniper-local profile junos-wf-local-default fallback-settings too-many-requests block
set security utm utm-policy junos-wf-policy web-filtering http-profile junos-wf-local-default
set security utm utm-policy junos-wf-policy traffic-options sessions-per-client limit 100
set security utm utm-policy junos-wf-policy traffic-options sessions-per-client over-limit log-and-permit
set security policies from-zone trust to-zone Internet policy Emre match source-address Emre
set security policies from-zone trust to-zone Internet policy Emre match destination-address any
set security policies from-zone trust to-zone Internet policy Emre match application any
set security policies from-zone trust to-zone Internet policy Emre then permit application-services utm-policy junos-wf-policy
set security policies from-zone trust to-zone Internet policy Emre then permit application-services application-firewall rule-set App_RuleSet
set security policies from-zone trust to-zone Internet policy Emre then count alarm per-second-threshold 10
set security policies from-zone trust to-zone Internet policy Emre then count alarm per-minute-threshold 10
commit

About Emre BAŞTUĞ

Emre BAŞTUĞ