SRX240 AppFw块消息

Question

我正在SRX240底盘上配置SRX240，这可以很好地阻止Facebook或Twitter或其他应用程序。我还配置了自定义块消息，以便在满足策略时将用户重定向到特定的网页。

问题是，这个块消息不适用于Facebook或Twitter，内容被阻塞(因此必须满足策略？)但是连接超时，而不是将用户重定向到已配置的块消息。

当我配置另一个应用程序，如路透社，这一切都是完美无瑕的。我主要感到困惑的是，为什么会发生这种情况，当然，如果有人知道如何显示块消息或重定向，那就太好了！

根据请求，我的AppFw测试配置：

application-firewall {
    profile test_block_msg {
        block-message {
            type {
                custom-redirect-url {
                    content http://www.justasite.nl;
                }
            }
        }
    }
    rule-sets test-apfw {
        rule 1 {
            match {
                dynamic-application-group junos:web:social-networking:facebook;
            }
            then {
                deny;
            }
        }
        rule 2 {
            match {
                dynamic-application [ junos:TWITTER junos:TWITTER-UPDATE junos:TWITVID junos:TWITTER-SSL ];
            }
            then {
                deny;
            }
        }
        default-rule {
            permit;
        }
        profile test_block_msg;
    }
}

我的政策是：

policies {
    from-zone Inside to-zone Outside {
        policy test-apfw-pol {
            match {
                source-address any;
                destination-address any;
                application any;
            }
            then {
                permit {
                    application-services {
                        application-firewall {
                            rule-set test-apfw;
                        }
                    }
                }
            }
        }
        policy in-to-out {
            match {
                source-address any;
                destination-address any;
                application any;
            }
            then {
                permit;
            }
        }
    }
    from-zone Outside to-zone Inside {
        policy Outside-to-IIS {
            match {
                source-address IIS_Ext_permitted;
                destination-address IIS_Test;
                application HTTP;
            }
            then {
                permit;
                log {
                    session-init;
                    session-close;
                }
            }
        }
        policy my-ssh {
            match {
                source-address any;
                destination-address any;
                application my-ssh;
            }
            then {
                permit;
            }
        }
        policy dyn-vpn-SECPOL {
            match {
                source-address any;
                destination-address any;
                application any;
            }
            then {
                permit {
                    tunnel {
                        ipsec-vpn SRX100;
                    }
                }
            }
        }
    }
}

希望这能有所帮助。

Answer 1

这看起来像是HTTP重定向的常见问题(路透社)，但HTTPS不起作用(Facebook和Twitter)。

要在HTTPS连接时显示“此页面被阻塞”消息，您将需要一个MITM，因为您不需要中断TLS握手(现在正在进行)。

运行测试--尝试连接到您阻止的HTTP站点，然后尝试相同站点的HTTPS版本(只需确保它不是像Facebook和Twitter那样从HTTP重定向到HTTPS的站点)。