K-12 中的安全搜索强制执行
Resolution
表的内容
介绍
《儿童网络保护法》 (CIPA) 是美国国会于2000年12月颁布的一项联邦法律, 目的是解决对学校和图书馆进入互联网和其他信息的关注。学校和图书馆必须满足以符合 CIPA 标准的要求的完整列表在 www.fcc.gov 中定义. 具体到内容过滤, 学校和图书馆受 CIPA 不能接受 "电子费率" 计划提供的折扣 (使获取互联网负担得起的折扣为学校和图书馆), 除非他们证明他们有某些互联网安全措施到位。其中包括阻止或过滤图片的措施: (a) 淫秽, (b) 含有儿童色情制品, 或 (c) 未成年人使用因特网上网的电脑对未成年人有害。
由于绝大多数搜索引擎都可以提供通过 SSL 加密的内容, 这对强制网络/安全管理员执行 CIPA 遵从性提出了挑战。幸运的是, 帕洛阿尔托网络提供了多个建议来加强搜索引擎安全。本文档详细介绍了每一项建议, 并对每个推荐进行了说明, 并突出显示了启用此功能的建议过程。
1-控制搜索引擎访问
系统必备组件
本文假定您的帕洛阿尔托网络防火墙具有有效的泛 DB URL 筛选许可证, 并且已将 url 筛选配置文件应用于当前的安全策略规则集。
定义被认可的搜索引擎
作为确保搜索引擎安全的第一步, 应避免允许与预定义的搜索引擎类别匹配的所有 url。这是因为并非所有的搜索引擎都能得到充分的控制。建议由组织定义被认可的搜索引擎列表, 并通过自定义 URL 类别进行控制。这就限制了最终用户以规避的方式搜索内容的能力, 并为管理员提供了更易于管理的解决方案。在编写本报告时, 帕洛阿尔托网络支持以下搜索引擎以增强安全搜索功能:
- 必应
- 谷歌
- 雅虎
有关上面提到的每个搜索引擎的其他信息, 请查看相关的泛 OS 版本的技术文档。
阻止预定义的搜索引擎类别
- 导航到对象->>安全配置文件-> URL 筛选
- 创建或编辑现有配置文件, 并将搜索引擎类别设置为阻止
- 单击" 确定"
创建自定义 URL 类别
- 导航到对象->>自定义对象->> URL 类别- > 添加
- 为每个被认可的搜索引擎创建自定义 URL 类别
- 管理员可以根据组织要求输入多个 ccTLD 国家南部域 (即 google), 但本示例仅指定. com
- 管理员可以根据组织要求输入多个 ccTLD 国家南部域 (即 google), 但本示例仅指定. com
- 单击" 确定"
- 有关自定义 url 和通配符条目的其他详细信息, 请参阅当前 OS 版本的技术文档。
将自定义 url 类别添加到 url 筛选配置文件中
- 导航到对象->>安全配置文件-> URL 筛选
- 编辑已预定义的搜索引擎类别设置为在上一步中阻止 的现有配置文件
- 将自定义被批准的搜索引擎 URL 类别设置为警报
- 单击" 确定"
- 提交配置
2-强制搜索引擎安全
系统必备组件
本文假定您的帕洛阿尔托网络防火墙具有有效的 PAN DB URL 筛选许可证, 并且包含来自1的自定义 url 配置的 url 筛选配置文件-控制安全搜索访问被应用于安全策略规则集. 本文还假定 PKI 已经到位, 并将相应的 SSL 证书部署到防火墙最终用户计算机上。如果无法将证书部署到最终用户计算机, 请参阅下面的选项 #2.
选项 #1 –通过防火墙安全搜索强制执行
通过防火墙强制执行最严格的搜索设置要求对所有会话进行解密, 并提供警报、报告、对用户活动、内容、威胁、文件类型等的其他可见性的好处。然而, 随着对解密的要求, 在控制被认可的搜索引擎的同时, 也出现了一些警告, 管理员应该知道这一点。例如:
- Google 的快速搜索功能在某些情况下不起作用
- 谷歌的Ok 谷歌功能在某些情况下不起作用
- 谷歌的 Chrome 浏览器使用专有的加密协议, 称为快下啊, 它必须被禁用, 以解密通信量
- Bing 不遵守 SSL 标准;因此, 建议在 SSL 上阻止 Bing 应用程序
- 如果其中任何一个是您的组织中的问题, 请参见选项 #2 或选项 #3
启用安全搜索强制
- 导航到策略->>安全-添加, 并创建一个安全规则, 阻止快下啊应用程序, 因为这将迫使谷歌 Chrome 恢复到标准的 SSL, 随后允许解密
- 导航到对象->>安全配置文件->> URL 筛选->>编辑 url 筛选配置文件->> URL 筛选设置->>启用安全搜索强制执行
- 单击" 确定"
- 导航到策略->>解密->>添加, 并创建解密规则, 解密与自定义的被认可的搜索引擎 URL 类别匹配的通信量1-控制搜索引擎访问
- 导航到设备->>响应页-> URL 过滤安全搜索块页
- 如果未修改预定义 (默认) 响应页并提交配置, 则在尝试执行搜索时, 用户将被显示为块页, 而搜索引擎设置中没有启用最严格的设置
- 帕洛阿尔托网络还支持通过可添加到响应页的脚本来透明地执行搜索, 从而允许强制执行, 而无需任何最终用户交互
- 导航到设备->>响应页-> URL 筛选安全搜索块页->>导出预定义的响应页
- 导航到您的 PAN OS 版本的技术文档的透明安全搜索部分, 并复制透明的安全搜索脚本
- 在文本编辑器中打开下载的预定义响应页, 并用透明的安全搜索脚本 替换内容
- 导航到设备->>响应页-> URL 筛选安全搜索块页->>导入编辑的响应页
- 透明强制通常是首选选项, 因为它不需要在最终用户部件上执行任何操作。
- 有关详细信息, 请参阅当前软件版本的泛 OS 技术文档
- 提交配置
选项 #2 –通过 DNS 安全搜索强制执行
通过 DNS 强制执行最严格的搜索设置, 可以将本地 DNS 服务器上的 CNAME 项与安全策略规则 (在防火墙上设置) 结合在一起, 以严格控制 DNS 通信。这也意味着不需要 SSL 解密, 这对于无法在最终用户计算机上安装证书的组织是有利的。但是, 此选项有特定的警告。例如:
- 雅虎不提供 CNAME 选项, 因此, 要求雅虎作为认可搜索引擎的组织必须选择 #1。
- 不解密通信量意味着管理员将不会对用户活动、内容、威胁、文件类型等发出警报、报告、其他可见性的好处。为搜索引擎交通
本地 DNS 服务器配置
- 有关如何创建 CNAME 项的详细信息, 请参阅 DNS 服务器文档
- 查阅每个搜索引擎提供商的文档以 CNAME 要求
DNS 安全策略规则集
- 导航到策略->>安全-添加, 并创建一个安全策略规则集, 允许从本地 dns 服务器到 internet 的 dns 查询, 以及从内部主机到本地 dns 服务器的查询
- 创建允许从内部主机到本地 dns 服务器的 dns 通信的规则
- 如果服务器和内部主机位于同一区域, 则可能不需要规则
- 创建允许从本地 dns 服务器到 internet 的 dns 通信的规则
- 创建拒绝所有其他 DNS 通信的规则
- 创建允许从内部主机到本地 dns 服务器的 dns 通信的规则
- 提交配置
3-通过防火墙和 DNS 执行-一个真实的例子
由于在上一节中对选项 #1 和选项 #2 都有警告, 因此可能需要根据组织需要利用这两种方法的组合, 以提供最佳的执行, 同时也为最终用户提供最大的灵活性。下面的示例取自真实的客户场景。下面是满足这些要求所需的需求和后续配置的列表。同样, 以下各节假定 PKI 已经到位, 并将相应的 SSL 证书部署到防火墙和最终用户计算机上。
要求
- 被认可的搜索引擎名单应该只对我们 ccTLDs, 并包括以下内容:
- 必应
- 谷歌
- 雅虎
- 如果首先防止显式搜索, 则不需要对关键字进行报告/警报。
- 检查搜索引擎内容的威胁不是一个要求, 假设主要目标是 CIPA 符合
- 所有谷歌功能 (即 快速搜索, Ok Google, ) 必须无问题工作
配置步骤
- 导航到对象->>安全配置文件-> URL 筛选
- 创建或编辑现有配置文件, 并将搜索引擎类别设置为阻止
- 单击" 确定"
- 导航到对象->>自定义对象->> URL 类别- > 添加
- 为每个被认可的搜索引擎创建自定义 URL 类别
- 单击" 确定"
- 导航到对象->>安全配置文件-> URL 筛选
- 编辑已预定义的搜索引擎类别设置为在步骤2中阻止 的现有配置文件
- 将自定义被批准的搜索引擎 URL 类别设置为警报
- 在配置文件中, 导航到URL 筛选设置--启用安全搜索强制
- 单击" 确定"
- 根据您的 DNS 服务器文档, 为 Bing 和 Google 创建 CNAME 条目。
- 导航到策略->>安全性-添加, 并创建一个阻止快下啊 应用程序的安全规则
- 导航到策略->>安全-添加, 并创建一个安全策略规则集, 允许从本地 dns 服务器到 Internet 的 dns 查询, 以及从内部主机到本地 dns 服务器的查询
- 创建允许从内部主机到本地 dns 服务器的 dns 通信的规则
- 如果服务器和内部主机位于同一区域, 则可能不需要规则
- 创建允许从本地 dns 服务器到 internet 的 dns 通信的规则
- 创建拒绝所有其他 DNS 通信的规则
- 创建允许从内部主机到本地 dns 服务器的 dns 通信的规则
- 导航到策略->>解密添加, 并创建解密规则, 解密的通信量与雅虎自定义批准的搜索引擎 URL 类别创建的步骤 5
- 注意-我们只是解密雅虎流量, 因为我们将利用 DNS 方法为 Bing 和谷歌
- 注意-我们只是解密雅虎流量, 因为我们将利用 DNS 方法为 Bing 和谷歌
- 导航到设备->>响应页-> URL 筛选安全搜索块页->>导出预定义的响应页
- 导航到您的 PAN OS 版本的技术文档的透明安全搜索部分, 并复制透明的安全搜索脚本
- 在文本编辑器中打开下载的预定义响应页, 并用透明的安全搜索脚本 替换内容
- 导航到设备->>响应页-> URL 筛选安全搜索块页->>导入编辑的响应页
- 提交配置
附录
DNS 代理服务器
在某些环境 (即公共云) 中, 可能需要利用公共 DNS。帕洛阿尔托网络 DNS 代理功能允许管理员为某些要求创建静态条目, 如用于安全搜索强制的 DNS CNAME 方法。
配置示例
- 导航到对象->>地址->>添加, 并为每个 DNS 服务器创建一个对象
- 导航到对象->>地址->>添加, 并为每个受信任的网络网关创建一个对象
- 例如, 如果您的内部 Trust-L3 网络是 10.234.234.0/24, 并且网关 (防火墙) 是 10.234.234.1/32, 则您希望创建一个引用网关地址的对象
- 例如, 如果您的内部 Trust-L3 网络是 10.234.234.0/24, 并且网关 (防火墙) 是 10.234.234.1/32, 则您希望创建一个引用网关地址的对象
- 导航到对象->>地址组->>添加, 创建对象, 并添加每个 DNS 服务器地址对象
- 导航到策略->>安全-添加, 并创建一个安全策略规则集, 允许从 Trust-L3 网络网关 (防火墙) 到以前定义的公共 DNS 服务器的 dns 查询
- 创建允许从内部主机 (防火墙) 网关到公用 dns 服务器的 dns 通信的规则
- 创建拒绝所有其他 DNS 通信的规则
- 确保 Trust-L3 网络上所有客户端的 DNS 服务器 ip 是防火墙的 ip 地址 (上面示例中的 10.234.234.1)
- 导航到网络->> DNS 代理->>添加, 并创建一个新的DNS 代理配置文件, 启用它, 并引用 Trust-L3 区域和公共 DNS 服务器的接口
- 在配置文件中, 导航到静态条目, 并为被认可的搜索引擎添加静态条目
- 为安全搜索 FQDNs 执行 NSLOOKUP
- 提交配置
YouTube
由于 YouTube 是谷歌拥有的, 它提供了同样的安全搜索执行方法, 并有以下警告:
- 防火墙当前不支持透明的安全搜索强制。这意味着, 如果使用防火墙来强制进行搜索, 则用户将显示一个响应页, 并且必须在执行搜索之前手动更改设置。
- 支持 DNS CNAME 方法。但是, 一些组织认为由于此方法被筛选的内容过于严格, 即使 YouTube 同时提供了 youtube.com 和restrictmoderate.youtube.com选项.
配置示例
DNS 方法
- 有关如何创建 CNAME 项的详细信息, 请参阅 DNS 服务器文档
- 参阅YouTube 文档以了解 CNAME 要求-请参见选项 1: DNS
- 导航到策略->>安全-添加, 并创建一个安全策略规则集, 允许从本地 dns 服务器到 internet 的 dns 查询, 以及从内部主机到本地 dns 服务器的查询
- 创建允许从内部主机到本地 dns 服务器的 dns 通信的规则
- 如果服务器和内部主机位于同一区域, 则可能不需要规则
- 创建允许从本地 dns 服务器到 internet 的 dns 通信的规则
- 创建拒绝所有其他 DNS 通信的规则
- 创建允许从内部主机到本地 dns 服务器的 dns 通信的规则
- 提交配置
防火墙方法
- 导航到对象->>自定义对象->> URL 类别- > 添加
- 为 YouTube创建自定义 URL 类别
- 单击" 确定"
- 导航到对象->>安全配置文件->> URL 筛选->>编辑在组织中使用的现有配置文件->> URL 筛选设置->>启用安全搜索强制执行
- 单击" 确定"
- 导航到策略->>安全性-添加, 并创建一个阻止快下啊 应用程序的安全规则
- 导航到策略->>解密->>添加, 并创建解密规则, 解密匹配的自定义 YouTube URL 类别在步骤 2 中创建的通信量
- 导航到设备->>响应页-> URL 过滤安全搜索块页
- 可以使用预定义的或透明的响应页, 结果将相同 (需要在最终用户部件上手动更改的响应页)
- 提交配置
SSL 解密
强烈建议在部署用于解密的 SSL 证书时构建和利用 PKI。然而, 帕洛阿尔托网络使管理员能够创建自签名证书, 这可以用于初始测试。
配置示例
- 导航到设备->>证书管理->证书->>生成, 创建证书
- 输入证书名称
- 为公用名 输入防火墙的管理 IP 地址
- 选中 "证书颁发机构" 复选框
- 单击" 生成
- 从设备->>证书管理->证书页面上, 单击刚刚生成的证书
- 检查 "转发信任证书"、"转发不信任证书" 和 "受信任的根 CA"复选框
- 单击" 确定"
- 现在可以通过设备的 "导出" 选项导出证书->>证书管理->证书页, 并导入到测试设备 中