您可以通过使用互联网内容适配协议 （ICAP） 重定向服务来防止网络数据丢失。ICAP 是一种基于 HTTP 的轻量级远程过程调用协议。ICAP 允许其客户端将基于 HTTP 的内容 （HTML） 传递到 ICAP 服务器，以便为关联的客户端请求执行病毒扫描、内容转换或内容过滤等服务。

SRX 系列设备支持 ICAP 重定向功能，可将 HTTP 或 HTTPS 流量重定向到任何第三方服务器。SRX 系列设备充当 SSL 代理服务器，并在安全策略下使用适当的 SSL 配置文件解密直通流量。SRX 系列设备对 HTTPS 流量进行解密，并使用 ICAP 通道将 HTTP 消息重定向到第三方本地服务器。DLP 处理后，流量将被重定向回 SRX 系列设备，并根据 ICAP 服务器的结果采取措施。如果根据策略检测到任何敏感数据，SRX 系列设备将按配置文件配置，记录、重定向或阻止数据流量。

典型的 ICAP 重定向场景中涉及以下序列：

用户通过互联网打开与网站的连接。

请求通过充当代理服务器的 SRX 系列设备。

SRX 系列设备从终端主机接收信息，封装消息并将封装的 ICAP 消息转发到第三方本地 ICAP 服务器。

ICAP 服务器接收 ICAP 请求并进行分析。

如果请求不包含任何机密信息，ICAP 服务器将其发送回代理服务器，并指示虚拟服务器将 HTTP 发送到互联网。

如果请求中包含机密信息，则可以选择根据您的要求采取措施（阻止、允许、登录）。

HTTP 吞吐量取决于 SRX 系列设备和 ICAP 通道之间的连接。

从 Junos OS 19.3R1 版开始，ICAP 重定向X-Client-IPX-Server-IP在 ICAP 消息中添加 、 X-Authenticated-User和X-Authenticated-Groups标头扩展，以提供有关封装 HTTP 消息源的信息。

在 SRX 系列设备上配置 ICAP 重定向服务时，必须配置 ICAP 服务器信息。此配置文件作为允许流量的应用程序服务应用于安全策略。ICAP 配置文件定义了允许 ICAP 服务器处理请求消息、响应消息、回退选项（如果超时）、连接问题、请求过多或任何其他条件的设置。

从 Junos OS 18.2R1 版开始，当设备配置统一策略时，SRX 系列设备支持 ICAP 服务重定向功能。

统一策略是使您能够将动态应用程序用作匹配条件的一部分的安全策略，作为现有 5 元或 6 元（5 元与用户防火墙）匹配条件的一部分，以检测应用程序随时间的更改。

在将动态应用程序作为匹配条件的统一策略中，您可以配置 ICAP 重定向配置文件和 SSL 代理配置文件，并在安全策略中为允许的流量应用这些配置文件作为应用程序服务。当流量与策略匹配时，将应用配置为应用程序服务的 ICAP 重定向服务配置文件。ICAP 服务器配置文件定义了重定向的行为和服务器规格。ICAP 服务器执行策略扫描，并将流量重定向到 SRX 系列设备，并会根据 ICAP 重定向配置文件执行指定的操作。

请注意，使用统一策略的 ICAP 重定向服务时，请注意以下行为：

在统一策略中配置 ICAP 重定向并且需要重定向的数据已到达且未确定最终策略时，ICAP 重定向服务会忽略请求。

由于 ICAP 重定向是服务链中的一项服务，因此 ICAP 重定向服务接收的数据可能与原始数据不同。ICAP 重定向发送的数据可能会影响下游服务。

防止敏感数据离开网络。

支持用于重定向的通用本地服务器池，从而改进内容的管理、安全性和控制。

HTTP 吞吐量取决于 SRX 系列设备和 SRX ICAP 之间的连接。