SRX240 AppFw 块消息

网络工程 杜松-srx
2021-07-06 04:38:14

我正在 SRX240 机箱上配置 AppFw,这可以很好地阻止 Facebook 或 Twitter 或任何应用程序。我还配置了一条自定义阻止消息,以在满足策略时将用户重定向到特定网页。

问题是此阻止消息不适用于 Facebook 或 Twitter,内容被阻止(因此必须满足策略?)但连接超时而不是将用户重定向到配置的阻止消息。

当我配置另一个像路透社这样的应用程序时,一切都完美无缺。我主要对为什么会发生这种情况感到困惑,当然,如果有人知道如何显示阻止消息或重定向,那就太好了!

根据请求,我的 AppFw 测试配置:

application-firewall {
    profile test_block_msg {
        block-message {
            type {
                custom-redirect-url {
                    content http://www.justasite.nl;
                }
            }
        }
    }
    rule-sets test-apfw {
        rule 1 {
            match {
                dynamic-application-group junos:web:social-networking:facebook;
            }
            then {
                deny;
            }
        }
        rule 2 {
            match {
                dynamic-application [ junos:TWITTER junos:TWITTER-UPDATE junos:TWITVID junos:TWITTER-SSL ];
            }
            then {
                deny;
            }
        }
        default-rule {
            permit;
        }
        profile test_block_msg;
    }
}

还有我的政策:

policies {
    from-zone Inside to-zone Outside {
        policy test-apfw-pol {
            match {
                source-address any;
                destination-address any;
                application any;
            }
            then {
                permit {
                    application-services {
                        application-firewall {
                            rule-set test-apfw;
                        }
                    }
                }
            }
        }
        policy in-to-out {
            match {
                source-address any;
                destination-address any;
                application any;
            }
            then {
                permit;
            }
        }
    }
    from-zone Outside to-zone Inside {
        policy Outside-to-IIS {
            match {
                source-address IIS_Ext_permitted;
                destination-address IIS_Test;
                application HTTP;
            }
            then {
                permit;
                log {
                    session-init;
                    session-close;
                }
            }
        }
        policy my-ssh {
            match {
                source-address any;
                destination-address any;
                application my-ssh;
            }
            then {
                permit;
            }
        }
        policy dyn-vpn-SECPOL {
            match {
                source-address any;
                destination-address any;
                application any;
            }
            then {
                permit {
                    tunnel {
                        ipsec-vpn SRX100;
                    }
                }
            }
        }
    }
}

希望这可以帮助。

1个回答

它看起来像 HTTP 重定向工作(路透社)的常见问题,但 HTTPS 没有(Facebook 和 Twitter)。

要在 HTTPS 连接时显示“此页面被阻止”消息,您需要一个 MITM,因为您不需要中断 TLS 握手(现在正在发生)。

运行测试 - 尝试连接到您已阻止的 HTTP 站点,然后尝试同一站点的 HTTPS 版本(只需确保它不是像 Facebook 和 Twitter 那样从 HTTP 重定向到 HTTPS 的站点)。

其它你可能感兴趣的问题
上一篇为什么某些界面不显示,除非我处于配置模式? 下一篇使 Cisco 891 通过 PPPoE 连接到 NTU 的问题