Tutorial: Configuración del filtrado de direcciones URL y páginas de bloqueo personalizadas

El filtrado de direcciones URL es un tipo avanzado de filtrado de contenido web basado en una dirección URL completa o parcial. A diferencia del filtrado basado en nombres de dominio completos (FQDN) que están visibles en el encabezado de tráfico, el filtrado de direcciones URL requiere la inspección de Seguridad de la capa de transporte (TLS) para ver el destino específico al que un usuario intenta acceder. Por ejemplo, www.bing.com es visible sin inspección tls, pero www.bing.com/images no lo es. El filtrado de direcciones URL proporciona filtrado de contenido web específico y mejora la precisión del filtrado de contenido web por categoría.

En este tutorial aprenderá a:

  • Configure directivas de filtrado de contenido web para permitir o bloquear direcciones URL específicas.
  • Vincule directivas de filtrado de contenido web a un perfil de seguridad.
  • Configure un mensaje de error personalizado para sitios bloqueados.
  • Valide que los sitios web están permitidos o bloqueados según lo previsto.

Prerrequisitos

Complete el tutorial Configurar la inspección de TLS. La inspección de TLS es un requisito previo para el filtrado de direcciones URL.

Conceptos clave

Comprender la diferencia entre FQDN y el filtrado de direcciones URL es fundamental para un diseño de directiva eficaz.

Aspecto Filtrado de FQDN Filtrado para direcciones URL
Requiere la inspección de TLS No
Visibilidad Solo dominio Ruta de acceso completa
Ejemplo de coincidencia www.youtube.com www.youtube.com/shorts
Caso de uso Bloquear o permitir sitios completos Bloquear o permitir sitios específicos
Granularidad Áspero Específica

Objetivo

Este tutorial se basa en los tutoriales anteriores. En el tutorial sobre filtrado de FQDN, bloqueó el acceso a Bing y recibió un error que no es fácil de entender para el usuario. En el tutorial de inspección de TLS, ha habilitado la inspección de TLS, que es un requisito previo para el filtrado de direcciones URL. En este tutorial, usted hará lo siguiente:

  • Permita de forma granular direcciones URL de Bing específicas mientras se deja a otros bloqueados para mostrar el filtrado de contenido web específico (lista de permitidos pormenorizado).
  • Cree una política para bloquear una dirección URL específica, www.youtube.com/shorts, mientras deja el resto del espacio de dominio permitido (lista de bloqueos pormenorizada).
  • Configure un mensaje de error personalizado que los usuarios vean cuando están bloqueados.

Vídeos de tutorial de ejemplo

En el vídeo siguiente se muestra cómo configurar el filtrado de direcciones URL.

En el vídeo siguiente se muestra cómo configurar páginas de error personalizadas.

En el vídeo siguiente se muestra la experiencia del usuario del filtrado de direcciones URL.

Paso 1: Crear directivas de filtrado de contenido web

Crear una directiva para bloquear los shorts de YouTube

  1. En el centro de administración de Microsoft Entra, vaya a Global Secure Access>Seguro>Directivas de filtrado de contenido web.
  2. Seleccione Crear una directiva.
    • Nombre: seleccione Bloquear Shorts de YouTube.
    • Acción: seleccione Bloquear.
  3. Seleccione Siguiente.
  4. Seleccione Agregar regla.
    • Nombre: seleccione YouTube Shorts.
    • Tipo de destino: seleccione fqdn.
    • Destino: seleccione www.youtube.com/shorts,youtube.com/shorts.
  5. Selecciona Agregar.
  6. Seleccione Siguiente y, a continuación, seleccione Crear directiva.

Creación de una directiva para permitir Mapas de Bing

  1. Seleccione Crear una directiva.
    • Name: seleccione Allow Mapas de Bing.
    • Acción: seleccione Permitir.
  2. Seleccione Siguiente.
  3. Seleccione Agregar regla.
    • Name: seleccione Mapas de Bing.
    • Tipo de destino: seleccione url.
    • Destino: seleccione *.bing.com/maps,bing.com/maps.
  4. Selecciona Agregar.
  5. Seleccione Siguiente y, a continuación, seleccione Crear directiva.

Paso 2: Vincular directivas de filtrado de contenido web a un perfil de seguridad

  1. Vaya al panel Perfiles de seguridad .
  2. Seleccione el perfil de seguridad del tutorial de inspección de TLS (no el perfil de seguridad de línea base) y, a continuación, seleccione el panel Vincular directivas.
  3. Seleccione Vincular una directiva y, a continuación, seleccione Directiva de filtrado web existente.
  4. En Nombre de directiva, seleccione Bloquear shorts de YouTube y asígnele una prioridad de 200. El estado debe ser Habilitado. Selecciona Agregar.
  5. Seleccione Vincular una directiva y, a continuación, vuelva a seleccionar Directiva de filtrado web existente .
  6. En Policy name, seleccione Allow Mapas de Bing y asígnele una prioridad de 150. El estado debe ser Habilitado. Selecciona Agregar.
  7. Seleccione Siguiente.
  8. Seleccione Crear un perfil.

Nota:

Compruebe que el perfil de seguridad está asignado a una directiva de Acceso condicional de Microsoft Entra.

Paso 3: Configurar un mensaje de error personalizado

  1. Navegue a Acceso Seguro Global>Configuración>Administración de sesiones.
  2. Seleccione la pestaña Custom Block Page (Página de bloqueo personalizado ).
  3. Establezca Mensaje de cuerpo personalizado en Activado.
  4. Escriba un mensaje de cuerpo personalizado y seleccione Guardar.

Puede usar Markdown limitado en el mensaje de cuerpo personalizado. Por ejemplo, puede incluir un vínculo de soporte técnico, como Need access? [Contact support](https://support.contoso.com) to request an exception.

Paso 4: Comprobar el filtrado de direcciones URL y el error personalizado

Nota:

Los perfiles de seguridad recién creados pueden tardar hasta una hora en surtir efecto. Si ha vinculado las nuevas reglas a un perfil de seguridad existente que ya se asignó al usuario a través del acceso condicional, debería surtir efecto en unos minutos.

  1. En el dispositivo de prueba, abra un explorador y vaya a www.bing.com. Compruebe que está bloqueado y que se muestra el mensaje de error personalizado.

    Captura de pantalla que muestra una página de error personalizada que muestra el mensaje de bloque personalizado para un sitio bloqueado.

  2. Ir a www.bing.com. Compruebe que el acceso todavía está bloqueado desde el tutorial sobre filtrado de FQDN.

  3. Ir a www.bing.com/maps. Compruebe que se permite el acceso.

  4. Ir a www.youtube.com. Compruebe que se permite el acceso.

  5. Ir a www.youtube.com/shorts. Compruebe que el acceso está bloqueado.

Orden de evaluación de directivas

En el ejemplo de este tutorial, la evaluación de directivas funciona de la siguiente manera:

User navigates to bing.com:

1. Custom Security Profile (assigned via Conditional Access)
   └─ Allow Bing Maps (priority 100) → Does NOT match bing.com → Continue...
2. Baseline Profile (priority 65000)
   └─ Block Bing → Matches bing.com → BLOCK ✗

User navigates to bing.com/maps

1. Custom Security Profile (assigned via Conditional Access)
   └─ Allow Bing Maps (priority 100) → Matches bing.com/maps → ALLOW ✓

User navigates to youtube.com (homepage):

1. Custom Security Profile (assigned via Conditional Access)
   └─ Block YouTube Shorts (priority 100) → Does NOT match youtube.com/shorts → Continue...
2. Baseline Profile (priority 65000)
   └─ No YouTube rules → ALLOW ✓

User navigates to youtube.com/shorts:

1. Custom Security Profile (assigned via Conditional Access)
   └─ Block YouTube Shorts (priority 100) → Matches youtube.com/shorts → BLOCK ✗

En este ejemplo se muestra cómo el filtrado de direcciones URL habilita el bloqueo selectivo o la habilitación.

Lo que ha aprendido

En este tutorial, ha realizado las siguientes tareas:

  • Se implementó un filtrado granular de URL: Bloqueaste YouTube Shorts mientras permitías el acceso al resto de YouTube. Esta acción muestra cómo el filtrado de direcciones URL permite un control preciso sobre los destinos web.
  • Reglas de excepción creadas: usted permitió Mapas de Bing mientras que Bing en sí mismo sigue bloqueado por el perfil base. Esta acción muestra cómo superponer directivas para el control de acceso matizado.
  • Mensajes de bloque personalizados configurados: Los usuarios ahora ven una página de error útil en lugar de un mensaje genérico de "restablecimiento de conexión". Esta acción mejora la experiencia del usuario y reduce los tickets de soporte técnico.
  • Comprensión de la precedencia de las directivas: Los números de menor prioridad se evalúan primero, lo que permite a los perfiles personalizados crear excepciones a las reglas base.

¿Por qué el filtrado de direcciones URL requiere la inspección de TLS?

Without TLS inspection:              With TLS inspection:
┌───────────────────┐             ┌───────────────────┐
│ TLS handshake     │             │ Decrypted traffic │
│                   │             │                   │
│ SNI: youtube.com  │  ← Visible  │ GET /shorts/abc   │  ← Now visible!
│                   │             │ Host: youtube.com │
│ [Encrypted data]  │  ← Hidden   │ Cookie: ...       │
│                   │             │ User-Agent: ...   │
└───────────────────┘             └───────────────────┘

La ruta de acceso (/shorts) forma parte de la solicitud HTTP, que está dentro del túnel TLS cifrado. Solo al terminar TLS, el proxy puede ver y filtrar en función de la dirección URL completa.

Paso siguiente

Configuración de directivas de inteligencia sobre amenazas

  • Last updated on