URL过滤配置分解.docx
- 文档编号:23671858
- 上传时间:2023-05-19
- 格式:DOCX
- 页数:19
- 大小:86.39KB
URL过滤配置分解.docx
《URL过滤配置分解.docx》由会员分享,可在线阅读,更多相关《URL过滤配置分解.docx(19页珍藏版)》请在冰豆网上搜索。
URL过滤配置分解
1URL过滤配置
URL过滤功能的使用受License控制,请在使用URL过滤功能前,安装有效的License。
License过期后,URL过滤功能可以用,但无法升级特征库,只能使用设备中已存在的特征库。
关于License的详细介绍请参见“基础配置指导”中的“License管理”。
1.1URL过滤简介
URL过滤功能是指对用户访问的URL进行控制,即允许或禁止用户访问的Web资源,达到规范用户上网行为的目的。
目前,仅支持对基于HTTP协议的URL进行过滤。
1.1.1URL过滤原理
1.URL简介
URL(UniformResourceLocator,统一资源定位符)是互联网上标准资源的地址。
URL用来完整、精确的描述互联网上的网页或者其他共享资源的地址,URL格式为:
“protocol:
//hostname[:
port]/path/[;parameters][?
query]#fragment”,格式示意如图1-1所示:
图1-1URL格式示意图
URL各字段含义如表1-1所示:
表1-1URL各字段含义表
字段
描述
protocol
表示使用的传输协议,例如HTTP
host
表示存放资源的服务器的主机名或IP地址
[:
port]
(可选)传输协议的端口号,各种传输协议都有默认的端口号
/path/
是路径,由零或多个“/”符号隔开的字符串,一般用来表示主机上的一个目录或文件地址
[parameters]
(可选)用于指定特殊参数
[?
query]
(可选)表示查询用于给动态网页传递参数,可有多个参数,用“&”符号隔开,每个参数的名和值用“=”符号隔开
URI
URI(UniformResourceIdentifier,统一资源标识符)是一个用于标示某一互联网资源名称的字符
2.URL过滤规则
URL过滤功能实现的前提条件是对URL的识别。
可通过使用URL过滤规则匹配URL中host字段和URI字段的方法来识别URL。
URL过滤规则是指对用户HTTP报文中的URL进行匹配的原则,且其分为两种规则:
∙预定义规则:
根据设备中的URL过滤特征库自动生成,包括百万级的host或URI。
预定义规则能满足多数情况下的URL过滤需求。
∙自定义规则:
由管理员手动配置生成,可以通过使用正则表达式或者文本的方式来配置规则中host或URI的内容。
URL过滤规则支持两种匹配方式:
∙文本匹配:
使用指定的字符串对host和URI字段进行精确匹配。
匹配host字段时,URL中的host字段与规则中指定的host字符串必须完全一致,才能匹配成功。
例如,规则中配置host字符串为,则host为的URL会匹配成功,而host为的URL将与该规则匹配失败。
匹配URI字段时,从URL中URI字段的首字符开始,只要URI字段中连续若干个字符与规则中指定的URI字符串完全一致,就算匹配成功。
例如,规则中配置URI字符串为/sina/news,则URI为/sina/news、/sina/news/sports或/sina/news_sports的URL会匹配成功,而URI为/sina的URL将与该规则匹配失败。
∙正则表达式匹配:
使用正则表达式对host和URI字段进行模糊匹配。
例如,规则中配置host的正则表达式为sina.*cn,则host为的URL会匹配成功。
3.URL过滤分类
为便于管理员对数目众多的URL过滤规则进行统一部署,URL过滤模块提供了URL过滤分类功能,以便对具有相似特征的URL过滤规则进行归纳以及为匹配这些规则的URL统一指定处理动作。
每个URL过滤分类具有一个严重级别属性,该属性值表示对属于此过滤分类URL的处理优先级。
URL过滤分类包括两种类型:
∙预定义分类:
根据设备中的URL过滤特征库自动生成,仅可以修改其严重级别。
∙自定义分类:
由管理员手动配置,可修改其严重级别,可添加URL过滤规则。
4.URL过滤策略
URL过滤策略是用于关联所有URL过滤配置的一个实体。
一个URL过滤策略中可以配置URL过滤分类和处理动作的绑定关系,以及缺省动作(即对未匹配上任何URL过滤规则的报文采取的动作)。
URL过滤支持的处理动作包括,丢弃、放行、阻断、重置和生成日志。
1.1.2URL过滤实现流程
在开启URL过滤功能的情况下,当用户通过设备使用HTTP访问某个网络资源时,设备将进行URL过滤。
URL过滤处理流程如图1-2所示:
图1-1URL过滤实现流程图
URL过滤实现流程如下:
(2)如果报文匹配了某对象策略规则,且此对象策略规则的动作是inspect,则设备提取报文中的URL字段进行URL过滤规则匹配。
有关对象策略规则的详细介绍请参见“安全配置指导”中的“对象策略”。
(3)报文成功匹配URL过滤规则后,设备将进一步判断该规则是否同时属于多个URL过滤分类。
∙如果此URL过滤规则同时属于多个URL过滤分类,则根据严重级别最高的URL过滤分类的动作对此报文进行处理。
∙如果此URL过滤规则只属于一个URL过滤分类,则根据该规则所属的URL过滤分类的动作对此报文进行处理。
(4)如果报文未匹配上任何一条URL过滤规则。
设备将进一步判断URL过滤策略中是否存在URL过滤缺省动作,如果存在,则根据配置的缺省动作对此报文进行处理;否则直接允许报文通过。
1.1.3URL过滤特征库升级与回滚
URL过滤特征库是设备对用户访问Web请求中的URL进行识别的资源库。
随着互联网业务的不断变化和发展,需要及时升级设备中的URL过滤特征库或者在特定情况下回退URL过滤特征库版本。
目前,设备支持特征库版本升级和回滚两种操作。
1.URL过滤特征库升级
URL过滤特征库升级包括如下几种方式:
∙定期自动在线升级:
设备根据管理员设置的时间定期从H3C官方网站上的特征库服务专区下载并更新本地的URL过滤特征库。
∙立即自动在线升级:
管理员手工触发设备立即从H3C官方网站上的特征库服务专区下载并更新本地的URL过滤特征库。
∙手动离线升级:
当设备无法访问H3C官方网站上的特征库服务专区时,管理员手工触发设备立即从指定的路径上下载并更新本地的URL过滤特征库。
2.URL过滤特征库回滚
URL过滤特征库回滚是指将当前的URL过滤特征库版本回滚到指定的URL过滤特征库版本。
如果管理员发现设备对用户访问Web的URL过滤的误报率较高或出现异常情况,则可以对当前URL过滤特征库版本进行回滚。
目前支持将设备中的URL过滤特征库版本回滚到出厂版本和上一版本。
1.2URL过滤配置任务简介
URL过滤的关键配置步骤如下:
(1)配置URL过滤分类,并定义用于过滤各种URL的URL过滤规则。
(2)配置URL过滤策略,指定URL过滤分类的动作。
(3)在DPI应用profile中应用URL过滤策略。
有关DPI应用profile的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
(4)执行inspectactivate命令使得以上与URL过滤策略相关的所有配置生效。
有关inspectactivate命令的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
(5)在对象策略规则中应用DPI应用profile。
有关对象策略规则的详细介绍请参见“安全配置指导”中的“对象策略”。
表1-1URL过滤配置任务简介
配置任务
说明
详细配置
配置URL过滤分类
必选
1.3.1
配置URL过滤策略
必选
1.3.2
在DPI应用profile中应用URL过滤策略
必选
1.3.3
配置URL过滤特征库升级和回滚
可选
1.3.4
1.3配置URL过滤
1.3.1配置URL过滤分类
当URL过滤特征库中预定义的URL过滤分类和URL过滤规则不能满足对URL的控制需求时,可以配置URL过滤分类,并在分类中创建URL过滤规则。
每个URL过滤规则可以同时属于多个URL过滤分类。
需要注意的是:
∙不同URL过滤分类的严重级别不能相同,数值越大表示严重级别越高。
∙系统为预定义URL过滤分类保留的严重级别为最低,取值范围为1~999。
管理员仅可修改预定义URL过滤分类的严重级别。
表1-1配置URL过滤分类
操作
命令
说明
进入系统视图
system-view
-
创建URL过滤分类,并进入URL过滤分类视图
url-filtercategorycategory-name[severityseverity-level]
缺省情况下,只存在预定义的URL过滤分类,且分类名称以字符串Pre-开头
自定义的URL过滤分类不能以字符串Pre-开头
配置自定义URL过滤规则
rulerule-idhost{regexregex|textstring}[uri{regexregex|textstring}]
缺省情况下,URL过滤分类中不存在任何自定义URL过滤规则
1.3.2配置URL过滤策略
在一个URL过滤策略中可以配置多个URL过滤分类动作,也可以在URL过滤策略中为其定义缺省动作。
若报文成功匹配的URL过滤规则同属于多个URL过滤分类,则根据严重级别最高的URL过滤分类中指定的动作对此报文进行处理。
表1-1配置URL过滤策略
操作
命令
说明
进入系统视图
system-view
-
创建URL过滤策略,并进入URL过滤策略视图
url-filterpolicypolicy-name
缺省情况下,不存在任何URL过滤策略
URL过滤策略名称必须是全局唯一
配置URL过滤分类动作
categorycategory-nameaction{block-source[parameter-profileparameter-name]|drop|permit|reset}[logging]
缺省情况下,不存在任何URL过滤分类动作
配置URL过滤策略的缺省动作
default-action{block-source[parameter-profileparameter-name]|drop|permit|reset|}[logging]
缺省情况下,不存在缺省动作
1.3.3在DPI应用profile中应用URL过滤策略
DPI应用porfile是一个安全业务的配置模板,为实现URL过滤功能,必须在DPI应用porfile中应用指定的URL过滤策略。
一个DPI应用profile中只能应用一个URL过滤策略,如果重复配置,则后配置的覆盖已有的。
表1-1在DPI应用profile下应用URL过滤策略
操作
命令
说明
进入系统视图
system-view
-
进入DPI应用profile视图
app-profileapp-profile-name
-
在DPI应用profile中应用URL过滤策略
url-filterapplypolicypolicy-name
缺省情况下,DPI应用profile中没有应用任何URL过滤策略
1.3.4配置URL过滤特征库升级和回滚
随着互联网业务的不断变化和发展,管理员需要及时升级设备中的URL过滤特征库或者在特定情况下回退URL过滤特征库版本。
1.配置定期自动在线升级URL过滤特征库
当部署URL过滤功能时,如果设备可以访问H3C官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的URL过滤特征库进行升级。
表1-1配置定期自动在线升级URL过滤特征库
操作
命令
说明
进入系统视图
system-view
-
开启定期自动在线升级URL过滤特征库功能,并进入自动在线升级配置视图
url-filtersignatureauto-update
缺省情况下,定期自动在线升级URL过滤特征库功能处于关闭状态
配置定期自动在线升级URL过滤特征库的时间
updateschedule{daily|weekly{mon|tue|wed|thu|fri|sat|sun}}start-timetimetingleminutes
缺省情况下,设备在每天00:
00至04:
00之间自动升级URL过滤特征库
2.立即自动在线升级URL过滤特征库
当管理员发现H3C官方网站上的特征库服务专区中的URL过滤特征库有更新时,可以选择立即自动在线升级方式来及时升级URL过滤特征库版本。
表1-1立即自动在线升级URL过滤特征库
操作
命令
说明
进入系统视图
system-view
-
立即自动在线升级URL过滤特征库
url-filtersignatureauto-update-now
-
3.手动离线升级URL过滤特征库
当部署URL过滤功能时,如果设备不能访问H3C官方网站上的特征库服务专区,则管理员必须首先登录到H3C官方网站上的特征库服务专区下载最新的URL过滤特征库文件到本地PC,然后在设备上通过FTP、TFTP或HTTP方式远程获取PC上的URL过滤特征库文件进行手动离线升级,也可以先将下载到PC上的URL过滤特征库文件上传到设备中,再使用本地方式手动离线升级URL过滤特征库。
表1-1手动离线升级URL过滤特征库
操作
命令
说明
进入系统视图
system-view
-
手动离线升级URL过滤特征库
url-filtersignatureupdatefile-url
-
4.回滚URL过滤特征库
URL过滤特征库版本每次回滚前,设备都会备份当前版本。
多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。
例如URL过滤特征库的上一版本是V1,当前特征库版本是V2,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
表1-1回滚URL过滤特征库
操作
命令
说明
进入系统视图
system-view
-
回滚URL过滤特征库
url-filtersignaturerollback{factory|last}
-
1.4URL过滤显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示URL过滤的配置信息和分类信息等。
表1-1URL过滤显示和维护
操作
命令
显示URL过滤分类信息
displayurl-filtercategory[verbose]
显示URL过滤特征库信息
displayurl-filtersignatureinformation
1.5URL典型配置举例
1.5.1URL过滤分类典型配置举例
1.组网需求
如图1-3所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。
现有组网需求如下:
∙配置URL过滤功能,允许Trust安全域的主机访问Untrust安全域的WebServer上的。
∙配置预定义URL过滤分类Pre-Games的动作为丢弃并生成日志。
∙配置URL过滤策略的缺省动作为丢弃和生成日志。
2.组网图
图1-1配置URL过滤分类典型配置组网图
3.配置步骤
(1)配置各接口的IP地址(略)
(2)配置URL过滤功能
#创建名news的URL过滤分类,并进入该URL过滤分类视图,设置该分类的严重级别为2000。
[Device]url-filtercategorynewsseverity2000
#在URL过滤分类news中添加一条URL过滤规则,并使用字符串对host字段进行精确匹配。
[Device-url-filter-category-news]rule1hosttext
[Device-url-filter-category-news]quit
#创建名为urlnews的URL过滤策略,并进入该URL过滤策略视图。
[Device]url-filterpolicyurlnews
#在URL过滤策略urlnews中,配置URL过滤分类news绑定的动作为允许。
[Device-url-filter-policy-urlnews]categorynewsactionpermit
#在URL过滤策略urlnews中,配置预定义URL过滤分类Pre-Games绑定的动作为丢弃并生成日志。
[Device-url-filter-policy-urlnews]categoryPre-Gamesactiondroplogging
#在URL过滤策略urlnews中,配置策略的缺省动作为丢弃和告警
[Device-url-filter-policy-urlnews]default-actionactiondroplogging
[Device-url-filter-policy-urlnews]quit
#创建名为sec的DPI应用profile,并进入该DPI应用profile视图。
[Device]app-profilesec
#在DPI应用profilesec中应用URL过滤策略urlnews。
[Device-app-profile-sec]url-filterapplyurlnews
[Device-app-profile-sec]quit
#执行inspectactivate命令使得以上与URL过滤策略相关的配置生效。
[Device]inspectactivate
(3)配置对象策略
∙配置安全域
#向安全域Trust中添加接口GigabitEthernet1/0/1。
[Device]security-zonenametrust
[Device-security-zone-Trust]importinterfacegigabitethernet1/0/1
[Device-security-zone-Trust]quit
#向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device]security-zonenameuntrust
[Device-security-zone-Untrust]importinterfacegigabitethernet1/0/2
[Device-security-zone-Untrust]quit
∙配置对象
#创建名为urlfilter的IP地址对象组,并定义其子网地址为192.168.1.0/24。
[Device]object-groupipaddressurlfilter
[Device-obj-grp-ip-urlfilter]networksubnet192.168.1.024
[Device-obj-grp-ip-urlfilter]quit
∙配置对象策略及规则
#创建名为urlfilter的IPv4对象策略,并进入该对象策略视图。
[Device]object-policyipurlfilter
#对源IP地址对象组urlfilter对应的报文进行深度检测,引用的DPI应用profile为sec。
[Device-object-policy-ip-urlfilter]ruleinspectsecsource-ipurlfilterdestination-ipany
[Device-object-policy-ip-urlfilter]quit
∙配置安全域间实例并应用对象策略
#创建源安全域Trust到目的安全域Untrust的安全域间实例,并应用对源IP地址对象组urlfilter对应的报文进行深度检测的对象策略urlfilter。
[Device]zone-pairsecuritysourcetrustdestinationuntrust
[Device-zone-pair-security-Trust-Untrust]object-policyapplyipurlfilter
[Device-zone-pair-security-Trust-Untrust]quit
4.验证配置
以上配置生效后,Trust安全域的主机A、主机B和主机C都可以访问Untrust安全域的WebServer上的,但是都不能访问游戏类的网页。
Trust安全域的主机尝试访问游戏类的URL请求将会被Device阻断并且打印日志。
1.5.2配置手动离线升级URL过滤特征库典型配置举例
1.组网需求
如图1-4所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源,以及DMZ安全域的FTP服务器。
FTP服务器根目录下保存了最新的URL过滤特征库文件url-1.0.2-encrypt.dat,FTP服务器的登录用户名和密码分别为url和123。
现有组网需求如下:
∙手动离线升级URL过滤特征库,加载最新的URL过滤分类。
∙采用预定义的URL过滤分类Pre-Games,禁止Trust安全域的主机访问Untrust安全域内关于游戏类的互联网Web资源。
2.组网图
图1-1配置手动离线升级URL过滤特征库典型配置组网图
3.配置步骤
(1)配置各接口的IP地址(略)
(2)配置Device与FTP互通
#配置ACL2001,定义规则:
允许所以报文通过。
[Device]aclbasic2001
[Device-acl-ipv4-basic-2001]rulepermit
[Device-acl-ipv4-basic-2001]quit
#向安全域DMZ中添加接口GigabitEthernet1/0/3。
[Device]security-zonenamedmz
[Device-security-zone-Untrust]importinterfacegigabitethernet1/0/3
[Device-security-zone-Untrust]quit
#创建源安全域Local到目的安全域DMZ的安全域间实例,允许Local域用户访问DMZ域以及返回的报文可以通过。
[Device]zone-pairsecuritysourcelocaldestinationdmz
[Device-zone-pair-security-Local-DMZ]packet-filter2001
[Device-zone-pair-security-Local-DMZ]quit
(3)配置URL过滤功能
#采用FTP方式手动离线升级设备上的URL过滤特征库,且被加载的URL特征库文件名为url-1
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- URL 过滤 配置 分解