赞
踩
定义
URL过滤功能可以对用户访问的URL进行控制,允许或禁止用户访问某些网页资源,达到规范上网行为的目的。另外,对于指定URL分类的HTTP报文,FW可以修改报文中的DSCP字段,即DSCP优先级,从而便于其他网络设备根据修改后的DSCP优先级区分流量,对不同分类的URL流量采取差异化处理
目的
随着互联网应用的迅速发展,计算机网络在经济和生活的各个领域迅速普及,使得信息的获取、共享和传播更加方便,但同时也给企业带来了前所未有的威胁:
URL过滤技术可以根据不同的用户/组、时间段和安全区域等信息,对用户/组进行URL访问控制,达到精确管理用户上网行为的目的。同时,URL过滤技术还可以对不同URL分类的HTTP报文修改其DSCP优先级,以便于其他网络设备对不同分类的URL流量采取差异化处理
URL过滤功能通常用于企业网关,精确管理用户使用HTTP或HTTPS访问网络资源的行为
FW作为企业网关部署在网络边界,当企业用户发起HTTP或HTTPS的URL请求时,通过URL过滤功能可以实现对用户的请求进行放行、告警或者阻断。如图1所示,使用URL过滤后:
URL过滤还可以通过引用时间段或用户/组等配置项,实现针对不同时间段或不同用户/组的请求进行放行或者阻断,达到更加精细化和准确化控制员工上网权限的需求
URL格式
URL地址用来完整地描述Internet上的网页或者其他资源的地址
URL的一般格式为:“protocol://hostname[:port]/path[?query]”。各参数含义如表1所示
字段 | 含义 |
protocol | 使用的应用协议,最常用的是HTTP或HTTPS协议 |
hostname | Web服务器的域名或者IP地址 |
:port | 可选,通信端口。各种应用协议都有默认的端口号,如HTTP协议的默认端口为80、HTTPS协议的默认端口号为443。当Web服务器采用非默认端口时,URL中不能省略端口号 |
path | 由零个或多个“/”符号隔开的字符串,一般用来表示主机上的一个目录或文件地址 |
?query | 可选,用于给动态网页传递参数 |
例如,如图1所示,对于“http://www.example.com:8088/news/edu.aspx?name=tom&age=20”:
图1 URL格式介绍
URL匹配方式
URL匹配方式包括前缀匹配、后缀匹配、关键字匹配、精确匹配。
管理员可以在白名单、黑名单、自定义分类和预定义分类中配置URL规则和域名规则,其中URL规则的匹配范围是全部URL,域名规则的匹配范围只是域名(或者IP地址)部分。URL规则和域名规则支持相同的匹配方式,表1对几种匹配方式做了简单比较
匹配方式 | 定义 | 条目 | 匹配结果 |
前缀匹配 | 匹配所有以指定字符串开头的URL | www.example* | 匹配所有以www.example开头的URL,如:
|
后缀匹配 | 匹配所有以指定字符串结尾的URL | *aspx | 匹配所有以aspx结尾的URL,如:
|
关键字匹配 | 匹配所有包含指定字符串的URL | *sport* | 匹配所有包含sport的URL,如:
|
精确匹配 | 首先判断URL和指定字符串是否匹配,如果未匹配,则去除URL的最后一个目录,再和指定字符串进行匹配;如果还未匹配,则继续去除URL的最后一个目录,再和指定字符串进行匹配。以此类推,直到用域名去匹配指定的字符串为止 | www.example.com | 根据匹配规则,以下URL可以匹配 www.example.com
以下URL不会匹配该条目:
|
URL进行匹配时,不同的匹配方式存在如下优先级顺序,由高至低如下所示:
精确匹配 > 后缀匹配 > 前缀匹配 > 关键字匹配
例如,URL“www.example.com/news”同时符合以下条目,则查询结果以精确匹配条件“www.example.com/news”对应的URL分类为准
在同一种匹配方式下,匹配规则越长优先级越高。例如以下条目均属于前缀匹配方式,则URL“www.example.com/news/index.html”会优先匹配“www.example.com/news/*”条目。
在同一种匹配方式下,如果匹配规则长度也相同,则最终以配置的动作模式为准。如表2所示,两个条目均属于“关键字匹配”方式,且匹配规则长度相同均为4。对于URL“www.example.com/welcome.html”来说:
表2 动作模式
条目 | URL分类 | 控制动作 |
*.com* | URL分类A | 允许 |
*html* | URL分类B | 阻断 |
URL过滤方式
当用户的URL访问请求匹配到某条URL规则或域名规则后,FW会根据URL过滤方式对此URL访问请求作出相应的处理
FW提供基于黑白名单、URL分类查询、URL信誉和恶意URL的过滤方式,达到精确管理用户上网行为的目的
URL预定义分类查询分为两种方式:
本地查询:设备初次上电时,已经将URL分类预置库加载到缓存里。当设备提取了URL信息后,首先会在缓存中查询该URL对应的分类。如果查询到URL分类,则按照URL过滤配置文件中配置的响应动作进行处理。当控制动作为阻断时,FW将阻断该URL请求,同时访问者的浏览器上会显示一个Web推送页面。如果查询不到,则到远程查询服务器上继续查询。如果远程查询服务器不可用,则按照缺省响应动作进行处理
远程查询:远程查询服务器可以部署在广域网或本地网络中,提供更庞大的URL分类信息。当本地缓存中查询不到URL对应的分类时,设备将该URL送入远程查询服务器继续查询。如果查询到URL对应的分类,则按照URL过滤配置文件中配置的响应动作进行处理,并将该URL和其对应的分类信息保存到本地缓存中,以便下次快速查询。当控制动作为阻断时,FW将阻断该URL请求,同时访问者的浏览器上会显示一个Web推送页面。如果查询不到,则按照分类为“其他”的响应动作进行处理。如果在指定时间内没有返回任何分类信息,则按照超时动作进行处理。设备运行一段时间后,缓存的内容会不断更新,并以文件的形式保存到存储介质中。当设备重启后,系统会自动加载保存的缓存信息,减少远程分类服务器查询的过程
URL过滤的控制动作包括允许、告警和阻断,其严格程度依次增高
当URL属于多个分类时,响应动作将按照动作模式执行
URL信誉
URL信誉反映了用户访问的URL是否值得信赖。FW可以利用远程查询服务获取URL的信誉值,并对低信誉的URL实施阻断。
FW可以利用URL信誉热点库和远程查询服务获取URL的信誉值
恶意URL
恶意URL的来源有2个:
反病毒功能反馈的恶意URL。
在FW与沙箱联动场景下,沙箱反馈的恶意URL。
开启恶意URL检测功能后,URL过滤功能利用这些恶意URL信息即可对后续流量进行检测,提升设备的检测能力。如果解析出的URL地址匹配恶意URL,FW将阻断该URL请求,同时访问者的浏览器上会显示一个Web推送页面,推送信息可在FW上编辑
从实现效果上看,恶意URL和黑名单类似,二者的区别如下:
在线查询URL分类
如果在FW上查询不到某个URL的分类,可以通过在线查询的方式获取该URL的分类信息。当FW针对该URL进行远程查询时,相应的分类信息将被更新到本地URL分类库。这样可确保访问控制和行为审计等配置的准确性,防止错误地阻断或放行用户访问网站。
在线查询URL分类的服务由华为安全中心(sec.huawei.com)提供。登录网站后,选择“客户支持 > URL分类查询”。在页面显示的文本框中输入要查询的URL地址,即可查询出其所属的URL分类。如果您认为URL分类信息不准确,或者华为安全中心平台无法识别该URL地址所属的分类,您可以填写反馈信息,帮助我们更好地完善URL分类信息
介绍FW进行URL过滤的处理流程
在FW启用URL过滤功能的情况下,当用户通过FW使用HTTP或HTTPS访问某个网络资源时,FW将进行URL过滤。处理流程如图1所示:
图1 URL过滤处理流程图
1. 用户发起URL访问请求,如果数据流匹配了安全策略,且安全策略的动作为允许,则进行URL过滤处理流程
2. FW检测HTTP报文是否异常
3. FW将URL信息与白名单进行匹配
4. FW将URL信息与黑名单进行匹配
5. FW将URL信息与自定义分类进行匹配
6. FW将URL信息与恶意URL、低信誉URL进行匹配
7. FW将URL信息与本地缓存中的预定义分类进行匹配
8. 启动远程查询
介绍FW进行URL远程查询的过程:
当FW支持URL远程查询功能时,可以通过远程查询扩充本地的预定义URL分类库,便于下一次的快速查询
一般来说,URL远程查询由安全中心、调度服务器和查询服务器共同完成。各设备的作用如下:
安全中心:安全中心的域名为sec.huawei.com,作用是对FW进行设备认证。如果认证通过,安全中心将根据FW所在的国家/地区信息,向FW提供该区域内的调度服务器地址和端口。和安全中心进行交互时,FW上需要配置安全策略放行相关流量,协议为TCP,目的端口为80
调度服务器:调度服务器的作用是向FW提供区域内的查询服务器地址和端口。由于调度服务器是分区域部署的,所以FW上必须配置正确的国家/地区信息,否则无法成功获取到调度服务器的地址和端口,和调度服务器进行交互时,FW上需要配置安全策略放行相关流量,协议为TCP,目的端口为12612。
查询服务器:查询服务器的作用是处理查询请求,并将查询结果返回给FW。查询服务器也是分区域部署的,且和调度服务器存在配套关系,即调度服务器只能向FW提供同一区域内的查询服务器地址和端口。和查询服务器进行交互时,FW上需要配置安全策略放行相关流量,协议为UDP,目的端口为12600
由以上内容可知,FW需要和Internet连接,才能与安全中心通信。而部分用户的FW不能与Internet连接,如果这部分用户需要获取URL远程查询功能,可以购买华为公司的产品SecoCenter,并部署在本地网络中。SecoCenter同时集成了调度服务器和查询服务器,相关介绍请参考对应的产品手册
按照服务器部署位置来划分,FW相应支持两种远程查询方式,分别为远程模式和本地模式
远程模式下的大致交互过程如图1所示。如果是本地模式,将省略图1中和安全中心的交互过程
交互过程如下:
URL过滤功能只支持过滤HTTP或HTTPS协议的URL请求。当过滤HTTPS协议的URL请求时,还需要配置SSL加密流量检测功能或加密流量过滤功能。如果用户希望HTTPS URL过滤更精确,建议配置SSL加密流量检测功能,而加密流量过滤功能实现的URL过滤是基于域名级别,不够精确,即通过从客户端Client Hello报文的SNI(Server Name Indication)字段、服务器Certificate报文的CN(Common Name)和SAN(Subject Alternative Name)字段中获取用户访问的网站域名。如果用户使用加密流量过滤功能实现HTTPS URL过滤,请先阅读以下使用限制:
介绍域名组的基本概念和使用场景
域名组是域名的集合,可以被多种类型的策略引用,策略包括安全策略、认证策略、带宽策略、策略路由、NAT策略和审计策略。域名组的工作原理如图1所示
假设FW已配置域名组“domain_group”,并包含域名成员“example.com”。并同时配置了带宽策略,在目的地址中使用域名组“domain_group”作为匹配条件
介绍域名的匹配方式和匹配过程
域名匹配方式分为精确匹配和后缀匹配,表1对两种匹配方式做了简单比较。
匹配方式 | 定义 | 条目 | 匹配结果 |
精确匹配 | 和指定的字符串完全匹配的域名 | www.example.com | 根据匹配规则,以下域名可以匹配该条目:
以下域名不会匹配该条目:
|
后缀匹配 | 匹配所有以指定字符串结尾的域名 | *.example.com | 匹配所有以example.com结尾的域名,如:
以下域名不会匹配该条目:
|
FW收到DNS报文后,会对其进行域名解析。在通过域名进行安全策略匹配时,会根据策略所引用的域名不同而匹配规则不同,具体如下:
例如,某DNS报文解析后域名为www.example.test.com,若配置的某条安全策略policy1引用域名时分别存在三种情况及对应的策略匹配结果如下表所示
DNS报文域名 | policy1引用的域名 | 域名匹配结果 |
www.example.test.com | 精确域名: www.example.com | 匹配失败 |
后缀域名: *.test.com | 匹配成功 | |
精确域名和后缀域名:
| 匹配成功 |
对于后缀匹配,存在以下几点要求:
配置域名组之前请先阅读使用限制
虚拟系统下仅支持DNS请求报文经过FW来学习域名和IP地址的对应关系,不支持配置DNS服务器,因此FW在虚拟系统下不会主动发起DNS请求刷新域名和IP地址的对应关系
对于以上两种情况,虚拟系统下由于不支持配置DNS服务器,因此FW不会主动发起DNS请求刷新虚拟系统下域名和IP地址的对应关系,导致虚拟系统下引用域名组的策略失效
display domain-set { verbose domain-set-name [ domain domain-name ] | all } //可以查看域名组的具体信息 |
区别:
应用场景:
那么本篇文章就到这里结束了,谢谢各位帅哥靓女!
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。