选择区域语言: EN CN HK

H3C SecPath U系列统一威胁管理产品 UTM深度检测功能Web配置手册-5PW103

09-URL过滤

本章节下载  (424.88 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/TYWX/SecPath_U200/Configure/User_Manual/H3C_SecPath_U_UTM_SDJC_Web-5PW103/201207/749516_30005_0.htm

09-URL过滤


1 URL过滤

1.1  概述

URL(Uniform Resource Locator,统一资源定位符)过滤是一种网页过滤功能,支持自定义URL过滤和基于分类的URL过滤。

l              自定义URL过滤是指,用户可以根据需要,在设备上手动指定域名和URI(Uniform Resource Identifier,统一资源标识符)路径的匹配规则,以及相应的执行动作,以对收到的HTTP请求报文进行过滤。

l              基于分类的URL过滤是指,设备收到HTTP请求报文后,向专门的URL分类服务器发送URL分类请求,由URL分类服务器进行URL分类查询并将分类结果返回给设备。设备根据预先设置的分类URL过滤的规则,对HTTP请求执行相应的动作。

1.2  配置URL过滤

1.2.1  配置概述

URL过滤配置的推荐步骤如表1-1所示。

表1-1 URL过滤配置步骤

步骤

配置任务

说明

1

1.2.2  配置URL过滤全局参数

必选

使能基于分类的URL过滤(并指定URL分类服务器的信息)或自定义的URL过滤,配置HTTP请求的处理方式及日志的输出方向

缺省情况下,使能基于分类的URL过滤和自定义的URL过滤

2

1.2.3  创建并应用URL过滤策略

必选

创建URL过滤策略及过滤规则,并对指定段或段内的特定IP地址应用URL过滤策略

缺省情况下,存在名为“URL Filter Policy”的URL过滤策略

URL过滤策略应用到段上时,方向均为由内向外,IP地址和例外IP地址的设置均为对内部域的设置

3

配置激活

必选

将策略、规则、策略应用等的配置激活,使配置生效

(1)      系统中有两类配置,配置完成后直接生效的为A类配置,配置完成后需要进行激活操作才能生效的为B类配置

(2)      所有B类配置的相关页面都有<激活>按钮,单击任何一个<激活>按钮,都会将所有的B类配置激活。建议用户完成所需的B类配置后,再单击<激活>按钮统一激活

 

1.2.2  配置URL过滤全局参数

在导航栏中选择“URL过滤 > 全局配置”,进入URL过滤全局参数的配置页面。单击“高级设置”前的扩展按钮,页面如图1-1所示。

图1-1 全局配置

 

URL过滤全局参数的详细配置如表1-2所示。

表1-2 URL过滤全局参数的详细配置

配置项

说明

使能基于分类的URL过滤

设置是否使能基于分类的URL过滤功能

要使用基于分类的URL过滤功能,设备必须有有效的License文件

使能自定义的URL过滤

设置是否使能自定义的URL过滤功能

URL分类服务器

设置URL分类服务器的IP地址和端口号

当使能基于分类的URL过滤功能时,必须设置URL分类服务器的IP地址和端口号

HTTP响应

设置对HTTP请求的处理方式,包括:

l      重定向到URL:表示将HTTP请求重定向到指定的URL。选中此项后,需要设置URL地址

l      返回应答页面:表示向HTTP请求的发出方返回应答页面。选中此项后,需要设置返回的应答页面的内容。可以直接在文本框中输入;也可以从本地主机导入事先准备好的文件,单击<浏览>按钮设置文件在本地主机的保存路径,单击<导入>按钮即可

日志设置

输出到本地数据库

设置将日志输出到本地数据库

输出到syslog主机

设置将日志出到日志主机,此时需要从日志主机列表框中选择要输出到的日志主机,可以选择多个

日志主机列表框中可选的日志主机由用户手工设置。每条日志主机信息包括日志主机的名称、描述、IP地址和监听端口号(一般为514),设置好这些参数后,单击“<<增加”按钮即可向日志主机列表框中添加该日志主机。可选的日志主机是全局有效的,最多可以配置10个

 

可点击返回“表1-1 URL过滤配置步骤”。

1.2.3  创建并应用URL过滤策略

在导航栏中选择“URL过滤 > 策略管理”,进入如图1-2所示的页面。单击<创建策略应用>按钮,进入创建策略应用的配置页面,如图1-3所示。

图1-2 策略管理

 

图1-3 创建策略应用

 

创建策略应用的详细配置如表1-3所示。

表1-3 创建策略应用的详细配置

配置项

说明

名称

设置要创建的URL过滤策略的名称

描述

描述策略的详细信息,如策略的用途等

分类URL规则

设置基于分类的URL规则

单击“分类URL规则”前的扩展按钮,可以展开分类URL规则的配置内容,如图1-4所示,详细配置如表1-4所示

自定义URL规则

设置自定义的URL规则

单击“自定义URL规则”前的扩展按钮,可以展开自定义URL规则的配置内容,如图1-6所示,详细配置如表1-5所示

其它URL规则

设置对既不匹配分类URL规则,也不匹配自定义URL规则的HTTP请求所执行的动作

单击“其它URL规则”前的扩展按钮,可以展开其它URL规则的配置内容,如图1-7所示,详细配置请参见“表1-5

策略应用范围

设置该URL过滤策略所应用的范围

在“策略应用范围”中显示的是该策略应用的段及内部域IP/例外IP地址信息。单击<添加>按钮,进入添加策略应用的配置页面,如图1-8所示,详细配置如表1-7所示

 

1. 配置分类URL规则

分类URL规则的配置内容如图1-4所示。左边显示URL分类服务器可以识别的所有URL分类组,选中某个分类组,右边显示该分类组的所有分类,及每个分类对应的动作参数。

图1-4 分类URL规则

 

表1-4 分类URL规则的详细配置

配置项

说明

分类

显示分类的名称

阻断时间

设置对匹配该分类的HTTP请求进行阻断的时间

记录日志时间

设置当HTTP请求匹配该分类时记录日志的时间

对当前分类组所有分类使用相同配置

设置是否对当前分类组中的所有分类都应用第一个分类的配置

选中此项时,当前分类组中的所有分类都不可以再进行配置

使用默认配置

设置是否对当前分类组中所有分类都应用缺省的配置

选中此项时,当前分类组中的所有分类都不可以再进行配置

 

2. 配置自定义URL规则

自定义URL规则的配置内容如图1-5所示。页面显示所有自定义URL规则的信息。设备提供了将自定义URL规则(只包括匹配条件,不包括动作)以文件的形式导入、导出设备的功能。

l              单击<浏览>按钮设置自定义URL规则文件在本地主机的路径,设置要导入的规则所对应的动作,单击<导入>按钮,即可将规则导入到设备。需要注意的是:导入的自定义URL规则文件的编码格式必须为ASCII或GBK;文件中每行代表一条自定义URL规则,格式为“名称<Tab>域名类型<Tab>域名<Tab>URI类型<Tab>URI”,其中“URI类型”和“URI”为可选参数,且一行中每个参数之间以<Tab>键分隔。

l              设置要导出的规则所对应的动作,单击<导出>按钮,可以将所有执行相应动作的自定义URL规则导出到本地主机上保存。

图1-5 自定义URL规则

 

单击<添加>按钮,进入添加自定义URL规则的配置页面,如图1-6所示。

图1-6 添加自定义URL规则

 

自定义URL规则的详细配置如表1-5所示。

表1-5 自定义URL规则的详细配置

配置项

说明

名称

设置要创建的规则的名称

域名过滤

设置根据域名和URI路径进行过滤,可以选择配置固定字符串或者正则表达式

在一条规则中,域名过滤是必须配置的,URI路径过滤可以不配置。在一个规则中配置了域名过滤和URI过滤后的过滤效果说明如表1-6所示

单击域名正则表达式后面的“帮助”链接,会弹出“正则表达式使用说明”页面,指导用户如何配置正则表达式

URI

阻断时间

设置对匹配该规则的HTTP请求进行阻断的时间

记录日志时间

设置当HTTP请求匹配该规则时记录日志的时间

 

表1-6 配置效果说明

域名字符串

域名正则表达式

URI字符串

URI正则表达式

配置效果

www.abc.com

-

-

-

过滤www.abc.com下的所有网页

www.abc.com

-

/index.html

-

过滤www.abc.com下的/index.html网页

www.abc.com

-

-

/index.html?

过滤www.abc.com下的/index.html和/index.htm网页

-

(news|tech)\.abc\.com

-

-

过滤news.abc.com和tech.abc.com下的所有网页

-

(news|tech)\.abc\.com

/index.html

-

过滤news.abc.com和tech.abc.com下的/index.html网页

-

(news|tech)\.abc\.com

-

/index.html?

过滤news.abc.com和tech.abc.com下的/index.html和/index.htm网页

 

3. 配置其它URL规则

其它URL规则的配置内容如图1-7所示。详细配置请参见“表1-5”。

图1-7 其它URL规则

 

4. 配置策略应用范围

添加策略应用的配置页面如图1-8所示。

图1-8 添加策略应用

 

策略应用的详细配置如表1-7所示。

表1-7 过滤策略应用的详细配置

配置项

说明

设置要应用策略的段ID

方向

显示应用URL过滤策略的数据流的方向为内部到外部,即由内部域到外部域

IP地址列表

设置策略只对内部域中属于IP地址列表,且不属于例外IP地址列表的IP地址有效

例外IP地址必须包含在IP地址列表中

如果不配置此项,则策略对整个内部域都有效

例外IP地址列表

 

可点击返回“表1-1 URL过滤配置步骤”。

1.3  URL过滤典型配置举例

1.3.1  URL过滤典型配置举例(支持基于分类的URL过滤)

1. 组网需求

图1-9所示,在Device的段0上配置URL过滤。

l              禁止公司研发部门的用户(IP网段为10.0.0.0/8,IP地址10.0.0.1除外)在任意时间访问股票网站,且记录日志。

l              禁止上述用户在上班时间(8:30~18:00)访问公司内部的娱乐论坛www.abc.com/forum.index,且不记录日志。

图1-9 URL过滤配置组网图

 

2. 配置步骤

# 创建一个公司A工作时间的时间表“worktime”。

l              在导航栏中选择“系统管理 > 时间表管理”,单击<创建时间表>按钮,在创建时间表的页面进行如下配置,如图1-10所示。

图1-10 创建时间表

 

l              输入名称为“worktime”。

l              输入描述为“worktime for A”。

l              在时间表格中选中“周一~周五”的“8:30~18:00”的时间段。

l              单击<确定>按钮完成操作。

# 配置URL过滤全局参数。

l              在导航栏中选择“URL过滤 > 全局配置”,进行如下配置,如图1-11所示。

图1-11 规则管理

 

l              选中“使能基于分类的URL过滤”前的复选框。

l              选中“使能自定义的URL过滤”前的复选框。

l              输入URL分类服务器IP地址为“192.168.1.169”。

l              输入URL分类服务器端口号为“3100”。

l              单击<确定>按钮完成操作。

# 创建并应用URL过滤策略。

l              在导航栏中选择“URL过滤 > 策略管理”,单击<创建策略应用>按钮,在创建策略应用的页面进行如下配置。

l              输入名称为“URL policy for company”。

l              单击“分类URL规则”前的扩展按钮。

l              在“分类URL规则”中单击“商业服务”分类组。

l              设置“股票交易”分类的阻断时间为“所有时间”,记录日志时间为“所有时间”。

l              单击“自定义URL规则”前的扩展按钮。

l              在“自定义URL规则”中单击<添加>按钮,在弹出的添加自定义URL规则页面进行如下配置,如图1-12所示。

图1-12 添加自定义URL规则

 

l              输入名称为“forum”。

l              输入域名固定字符串为“www.abc.com”。

l              输入URI固定字符串为“/forum.index”。

l              选择阻断时间为“worktime”。

l              选择记录日志时间为“从不”。

l              单击<确定>按钮完成设置。

l              单击<取消>按钮关闭添加自定义URL规则页面。

l              在“策略应用范围”中单击<添加>按钮,在弹出的添加策略应用页面中进行如下配置,如图1-13所示。

图1-13 添加策略应用

 

l              选择段为“0”。

l              在IP地址列表中添加IP地址“10.0.0.0/8”。

l              在例外IP地址列表中添加IP地址“10.0.0.1/32”。

l              单击<确定>按钮完成设置。

l              单击<取消>按钮关闭添加策略应用页面。

l              上述配置内容设置后的页面如图1-14所示,单击<确定>按钮完成操作。

图1-14 创建策略应用

 

# 将配置激活。

l              完成上述的配置后,页面跳转到如图1-15所示的页面。单击<激活>按钮,弹出确认对话框。

l              在确认对话框中单击<确定>按钮后,将配置激活。

图1-15 配置激活

 

1.3.2  URL过滤典型配置举例(不支持基于分类的URL过滤)

1. 组网需求

图1-16所示,在Device的段0上配置URL过滤。禁止公司研发部门的用户(IP网段为10.0.0.0/8,IP地址10.0.0.1除外)在上班时间(8:30~18:00)访问公司内部的娱乐论坛www.abc.com/forum.index,且不记录日志。

图1-16 URL过滤配置组网图

 

2. 配置步骤

# 创建一个公司A工作时间的时间表“worktime”。

l              在导航栏中选择“系统管理 > 时间表管理”,单击<创建时间表>按钮,在创建时间表的页面进行如下配置,如图1-17所示。

图1-17 创建时间表

 

l              输入名称为“worktime”。

l              输入描述为“worktime for A”。

l              在时间表格中选中“周一~周五”的“8:30~18:00”的时间段。

l              单击<确定>按钮完成操作。

# 配置URL过滤全局参数。

l              在导航栏中选择“URL过滤 > 全局配置”,进行如下配置,如图1-18所示。

图1-18 规则管理

 

l              选中“使能自定义的URL过滤”前的复选框。

l              单击<确定>按钮完成操作。

# 创建并应用URL过滤策略。

l              在导航栏中选择“URL过滤 > 策略管理”,单击<创建策略应用>按钮,进行如下配置。

l              输入名称为“URL policy for company”。

l              单击“自定义URL规则”前的扩展按钮。

l              在“自定义URL规则”中单击<添加>按钮,在弹出的添加自定义URL规则页面进行如下配置,如图1-19所示。

图1-19 添加自定义URL规则

 

l              输入名称为“forum”。

l              输入域名固定字符串为“www.abc.com”。

l              输入URI固定字符串为“/forum.index”。

l              选择阻断时间为“worktime”。

l              选择记录日志时间为“从不”。

l              单击<确定>按钮完成操作。

l              单击<取消>按钮关闭添加自定义URL规则页面。

l              在“策略应用范围”中单击<添加>按钮,在弹出的添加策略应用页面中进行如下配置,如图1-20所示。

图1-20 添加策略应用

 

l              选择段为“0”。

l              在IP地址列表中添加IP地址“10.0.0.0/8”。

l              在例外IP地址列表中添加IP地址“10.0.0.1/32”。

l              单击<确定>按钮完成操作。

l              单击<取消>按钮关闭添加策略应用页面。

l              上述配置内容设置后的页面如图1-21所示,单击<确定>按钮完成操作。

图1-21 创建策略应用

 

# 将配置激活。

l              完成上述的配置后,页面跳转到如图1-22所示的页面。单击<激活>按钮,弹出确认对话框。

l              在确认对话框中单击<确定>按钮后,将配置激活。

图1-22 配置激活

 

1.4  注意事项

配置URL过滤时需要注意如下事项:

(1)        已经应用到段上的URL过滤策略不能删除,需要先将策略应用列表中该策略的应用全部删除后,才能删除策略。

(2)        系统预定义的URL过滤策略和规则不能删除。

(3)        一个报文在一个段上只能匹配一条URL过滤段策略。当一个段上应用了多个URL过滤策略,则系统在对报文进行匹配时,会根据段策略中指定的IP地址范围的精确程度,越精确的(即IP地址范围越小的)段策略越优先匹配;当有多个段策略的IP地址范围精确程度相同时,则先配置的段策略优先匹配。

(4)        如果创建策略的过程中某一步骤执行失败,则已经执行过的步骤都将进行回退;而对修改策略的过程,则不会进行回退。

(5)        要实现基于分类的URL过滤,需要保证设备与URL分类服务器的正常通信。设备上正确配置URL分类服务器参数,并激活配置后,可以通过系统日志查看设备与URL分类服务器的连接状态。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!