国家 / 地区

10-安全配置指导

20-WEB过滤配置

本章节下载  (275.6 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Configure/Operation_Manual/H3C_SR6600_CG-R3103(V1.18)/10/201307/791212_30005_0.htm

20-WEB过滤配置


1 Web过滤

1.1  Web过滤简介

在传统的网络安全方案中,对网络攻击的防范主要针对于来自外部的各种攻击。随着网络在各行各业的普及,局域网内部用户访问非法网站,也可能给内部网络带来安全隐患。这就要求网络设备能够过滤内部用户的非法访问请求,以提高内部网络的安全性。

目前设备所支持的Web过滤功能,可以阻止内部用户访问非法的网址,以及对网页内的Java或ActiveX程序进行阻断。Web过滤功能实现了以下功能:

·              网站地址过滤

·              URL参数过滤

·              Java阻断

·              ActiveX阻断

下面将对以上四个功能分别进行介绍。

1.1.1  网站地址过滤

1. 特性介绍

网站地址过滤通过检查Web请求报文中的URL网站地址,阻止内部用户访问非法和不健康的网站,或者只允许用户访问某些特定的网站。

2. 处理过程

(1)      设备接收到Web请求报文后,从Web请求报文中获取URL网站地址。

(2)      用设备中已配置的网站地址过滤条目与Web请求报文中的网站地址进行匹配过滤。

(3)      如果存在匹配的过滤条目,且该过滤条目为允许通过,则转发该Web请求。

(4)      如果存在匹配的过滤条目,且该过滤条目为拒绝通过,则丢弃该Web请求,并向发送Web请求的客户端和服务器端发送TCP reset报文。

(5)      如果不存在匹配的过滤条目,则按照网站地址过滤的默认行为允许或拒绝该Web请求通过。

1.1.2  网站地址过滤对网站IP地址的支持

1. 特性介绍

网站地址过滤功能启动以后,系统将默认拒绝所有直接以网站IP地址访问网站的Web请求。通过配置网站地址过滤对网站IP地址的支持,可以允许内网用户直接以网站IP地址访问所有网站或部分网站。

2. 处理过程

设备接收到以IP地址访问网站的请求报文时,做如下处理:

·              如果允许直接以IP地址访问网站,则允许该报文通过。所有以网站IP地址访问网站的Web请求都可以通过。

·              如果拒绝直接以IP地址访问网站,则检查网站地址过滤的ACL规则。ACL允许通过,则转发该报文,否则丢弃该报文。

1.1.3  URL参数过滤

1. 特性介绍

目前网页一般都是动态的、与数据库相连的、通过Web请求去数据库中查询或修改所需的数据。这使得不法分子可以通过在Web请求中构造特殊的SQL语句窃取数据库中机密数据,或不断修改数据库的信息导致数据库瘫痪。这种攻击方式被称为SQL注入攻击。

设备使用SQL语句中的关键字以及其它可能产生SQL语句的字符与Web请求报文进行匹配。如果匹配成功,则认为是SQL注入攻击,禁止其通过,这种过滤方式称为URL参数过滤。

Web传输参数的方式有很多种,其中最常用的是get、post方式。参数传输的方式决定了参数所在的位置。设备根据参数的传输方式获取参数,然后进行匹配过滤。目前,设备支持对传输方式为get、post和put的Web请求进行URL参数过滤。

SQL注入攻击一般基于英文URL进行,因此该特性不支持中文URL参数过滤。

2. 处理过程

设备收到包含URL参数的Web请求报文,根据Web传输参数方式,对报文进行如下处理:

·              如果是非get、post、put方式的Web请求报文,则不做处理,直接通过。

·              如果是get、post、put方式的Web请求报文,则从报文中获取URL参数,并将其与设备上已配置的过滤参数条目进行匹配过滤。如果匹配成功,则拒绝该请求,否则允许报文通过。

1.1.4  Java阻断

1. 特性介绍

通过对不可信站点的Java阻断功能,可以保护网络不受有害的Java Applet的破坏。

Java阻断功能启动后,所有对Web页面中的Java Applet程序的请求将被过滤掉。如果用户仍然希望能够获取部分Web页面的Java Applet程序,必须配置ACL规则,如果ACL规则允许访问,则用户对该Web页面的Java Applet程序的请求可以通过。

2. 处理过程

·              使能Java Applet阻断功能后,如果没有配置ACL规则,则将所有Web请求报文中的“.class”、“.jar”等文件名后缀都替换为“.block”,然后允许该请求报文通过;

·              使能Java Applet阻断功能后,如果配置有ACL规则,则根据ACL过滤规则来决定Web请求报文中的“.class”、“.jar”是否用“.block”替代。如果Web请求的目的服务器为ACL允许访问的服务器,则不做替代,报文正常通过;否则将后缀替换为“.block”,然后允许该请求报文通过;

说明

Java阻断过滤后缀,即Web请求报文中需要替换的文件名后缀,可通过命令行配置,添加除“.class”、“.jar”之外的阻断后缀关键字。

 

1.1.5  ActiveX阻断

1. 特性介绍

通过对不可信站点的ActiveX阻断功能,可以保护网络不受有害的ActiveX插件的破坏。

ActiveX阻断功能启动后,所有对Web页面中的ActiveX插件的请求将被过滤掉。如果用户仍然希望能够获取部分Web页面的ActiveX插件,必须配置ACL规则,如果ACL规则允许访问,则用户可以获取该Web页面的ActiveX插件。

2. 处理过程

·              使能ActiveX阻断功能后,如果没有配置ACL规则,则将所有Web请求报文中的文件名后缀“.ocx”都替换为“.block”,然后允许该报文通过;

·              使能ActiveX阻断功能后,如果配置有ACL规则,则根据ACL过滤规则来决定Web请求报文中的“.ocx”是否用“.block”替代。如果Web请求的目的服务器为ACL允许访问的服务器,则不做替代,报文正常通过;否则将后缀替换为“.block”,然后允许该请求报文通过;

说明

ActiveX阻断过滤后缀,即Web请求报文中需要替换的文件名后缀,可通过命令行配置,添加除“.ocx”之外的阻断后缀关键字。

 

1.2  配置Web过滤

只有使能网站地址过滤功能后,对网站IP地址的支持功能才会生效。URL参数过滤功能、对不可信站点的Java Applet阻断功能以及ActiveX阻断功能均可以单独启用。

1.2.1  配置网站地址过滤

表1-1 配置网站地址过滤

操作

命令

说明

进入系统视图

system-view

-

使能网站地址过滤功能

firewall http url-filter host enable

必选

缺省情况下,网站地址过滤功能处于关闭状态

配置默认过滤行为

firewall http url-filter host default { deny | permit }

可选

缺省情况下,默认的过滤行为为deny

添加网站过滤地址

firewall http url-filter host url-address { deny | permit } url-address

必选

显示网站地址过滤信息

display firewall http url-filter host [ all | item keywords | verbose ] [ | { begin | exclude | include } regular-expression ]

可选

 

1.2.2  配置网站地址过滤对网站IP地址的支持

表1-2 配置网站地址过滤对网站IP地址的支持

操作

命令

说明

进入系统视图

system-view

-

使能网站地址过滤功能

firewall http url-filter host enable

必选

缺省情况下,网站地址过滤功能处于关闭状态

配置网站地址过滤对网站IP地址的支持

firewall http url-filter host ip-address { deny | permit }

必选

缺省情况下,网站地址过滤不支持网站IP地址

设置网站地址过滤的ACL规则

firewall http url-filter host acl acl-number

可选

缺省情况下,未设置网站地址过滤的ACL规则

显示网站地址过滤信息

display firewall http url-filter host [ all | item keywords | verbose ] [ | { begin | exclude | include } regular-expression ]

可选

 

说明

网站地址过滤的ACL规则所定义的源地址必须配置为允许以IP地址形式访问的网站的IP地址。

 

1.2.3  配置URL参数过滤

表1-3 配置URL参数过滤

操作

命令

说明

进入系统视图

system-view

-

使能URL参数过滤功能

firewall http url-filter parameter enable

必选

缺省情况下,URL参数过滤功能处于关闭状态

添加URL参数过滤条目

firewall http url-filter parameter { default | keywords keywords }

必选

显示URL参数过滤信息

display firewall http url-filter parameter [ all | item keywords | verbose ] [ | { begin | exclude | include } regular-expression ]

可选

 

1.2.4  配置Java阻断

表1-4 配置Java阻断

操作

命令

说明

进入系统视图

system-view

-

使能Java阻断功能

firewall http java-blocking enable

必选

缺省情况下,Java阻断功能处于关闭状态

添加Java阻断后缀关键字

firewall http java-blocking suffix keywords

可选

设置Java阻断的ACL规则

firewall http java-blocking acl acl-number

可选

缺省情况下,未设置Java阻断的ACL规则

显示Java阻断信息

display firewall http java-blocking [ all | item keywords | verbose ] [ | { begin | exclude | include } regular-expression ]

可选

 

说明

Java阻断的ACL规则中需要将允许访问的HTTP服务器地址配置为允许通过(permit)的源地址(source)。

 

1.2.5  配置ActiveX阻断

表1-5 配置ActiveX阻断

操作

命令

说明

进入系统视图

system-view

-

使能ActiveX阻断功能

firewall http activex-blocking enable

必选

缺省情况下,ActiveX阻断功能处于关闭状态

添加ActiveX阻断后缀关键字

firewall http activex-blocking suffix keywords

可选

设置ActiveX阻断的ACL规则

firewall http activex-blocking acl acl-number

可选

缺省情况下,未设置ActiveX阻断的ACL规则

显示ActiveX阻断信息

display firewall http activex-blocking [ all | item keywords | verbose ] [ | { begin | exclude | include } regular-expression ]

可选

 

说明

ActiveX阻断的ACL规则中需要将允许访问的HTTP服务器地址配置为允许通过(permit)的源地址(source)。

 

1.3  Web过滤显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后Web过滤的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除Web过滤统计信息。

表1-6 Web过滤显示和维护

操作

命令

显示网站地址过滤信息

display firewall http url-filter host [ all | item keywords | verbose ] [ | { begin | exclude | include } regular-expression ]

显示URL参数过滤信息

display firewall http url-filter parameter [ all | item keywords | verbose ] [ | { begin | exclude | include } regular-expression ]

显示Java阻断信息

display firewall http java-blocking [ all | item keywords | verbose ] [ | { begin | exclude | include } regular-expression ]

显示ActiveX阻断信息

display firewall http activex-blocking [ all | item keywords | verbose ] [ | { begin | exclude | include } regular-expression ]

清除Web过滤统计信息

reset firewall http { activex-blocking | java-blocking | url-filter host | url-filter parameter } counter

 

1.4  Web过滤典型配置举例

1.4.1  网站地址过滤典型配置举例

1. 组网需求

局域网192.168.1.0/24网段内的主机通过设备访问Internet。启用网站地址过滤功能,只允许该网段内的用户访问地址为www.webflt.com的网站,同时允许用户可以使用IP地址的方式访问该网站。

2. 组网图

图1-1 网站地址过滤典型组网图

 

3. 配置步骤

(1)      具体的配置步骤

# 配置设备各接口的IP地址(略)。

# 配置设备出接口的NAT策略。

<Router> system-view

[Router] acl number 2200

[Router-acl-basic-2200] rule 0 permit source 192.168.1.0 0.0.0.255

[Router-acl-basic-2200] rule 1 deny source any

[Router-acl-basic-2200] quit

[Router] nat address-group 1 2.2.2.10 2.2.2.11

[Router] interface gigabitethernet 3/0/1

[Router-GigabitEthernet3/0/1] nat outbound 2200 address-group 1

[Router-GigabitEthernet3/0/1] quit

# 使能网站地址过滤功能。

[Router] firewall http url-filter host enable

# 配置仅允许用户访问www.webflt.com,并设置默认过滤行为为禁止。

[Router] firewall http url-filter host url-address permit www.webflt.com

[Router] firewall http url-filter host default deny

# 配置网站地址过滤的ACL规则。

[Router] acl number 2000

[Router-acl-basic-2000] rule 0 permit source 3.3.3.3 0.0.0.0

[Router-acl-basic-2000] rule 1 deny source any

[Router-acl-basic-2000] quit

# 配置允许用户以IP地址的方式访问该网站。

[Router] firewall http url-filter host ip-address deny

[Router] firewall http url-filter host acl 2000

(2)      验证配置结果

局域网内的用户在主机上打开IE浏览器,输入网址http://www.webflt.com或http://3.3.3.3,可以访问该网站。输入其他网址,无法访问对应的网站。

通过display firewall http url-filter host verbose命令查看网站地址过滤的详细信息。

[Router] display firewall http url-filter host verbose

 URL-filter host is enabled.

 Default method: deny.

 The support for IP address: deny.

 The configured ACL group is 2000.

 There are 1 packet(s) being filtered.

 There are 1 packet(s) being passed.

通过display firewall http url-filter host all命令查看网站地址过滤的所有条目信息。

[Router] display firewall http url-filter host all

 SN  Match-Times          Keywords

 ------------------------------------

 1   1                    www.webflt.com

1.4.2  URL参数过滤典型配置举例

1. 组网需求

局域网192.168.1.0/24网段内的主机通过设备访问Internet。启用URL参数过滤功能,使用用户自定义的参数group过滤Web请求报文。

2. 组网图

图1-2 URL参数过滤典型组网图

 

3. 配置步骤

(1)      具体的配置步骤

# 配置设备各接口的IP地址(略)。

# 配置设备出接口的NAT策略。

<Router> system-view

[Router] acl number 2200

[Router-acl-basic-2200] rule 0 permit source 192.168.1.0 0.0.0.255

[Router-acl-basic-2200] rule 1 deny source any

[Router-acl-basic-2200] quit

[Router] nat address-group 1 2.2.2.10 2.2.2.11

[Router] interface gigabitethernet 3/0/1

[Router-GigabitEthernet3/0/1] nat outbound 2200 address-group 1

[Router-GigabitEthernet3/0/1] quit

# 使能URL参数过滤功能,并添加过滤参数group。

[Router] firewall http url-filter parameter enable

[Router] firewall http url-filter parameter keywords group

(2)      验证配置结果

通过display firewall http url-filter parameter verbose命令查看URL参数过滤的详细信息。

[Router] display firewall http url-filter parameter verbose

 URL-filter parameter is enabled.

 There are 1 packet(s) being filtered.

 There are 2 packet(s) being passed.

通过display firewall http url-filter parameter all命令查看URL参数过滤的所有条目信息。

[Router] display firewall http url-filter parameter all

 SN  Match-Times          Keywords

 ------------------------------------

 1   1                    group

1.4.3  Java阻断典型配置举例

1. 组网需求

局域网192.168.1.0/24网段内的主机通过设备访问Internet。启用Java阻断功能,添加后缀名为“.js”的过滤项,同时只允许网站IP地址为5.5.5.5的Java Applet请求通过。

2. 组网图

图1-3 Java阻断典型组网图

 

3. 配置步骤

(1)      具体的配置步骤

# 配置设备各接口的IP地址(略)。

# 配置设备出接口的NAT策略。

<Router> system-view

[Router] acl number 2200

[Router-acl-basic-2200] rule 0 permit source 192.168.1.0 0.0.0.255

[Router-acl-basic-2200] rule 1 deny source any

[Router-acl-basic-2200] quit

[Router] nat address-group 1 2.2.2.10 2.2.2.11

[Router] interface gigabitethernet 3/0/1

[Router-GigabitEthernet3/0/1] nat outbound 2200 address-group 1

[Router-GigabitEthernet3/0/1] quit

# 配置Java阻断的ACL规则。

[Router] acl number 2100

[Router-acl-basic-2100] rule 0 permit source 5.5.5.5 0.0.0.0

[Router-acl-basic-2100] rule 1 deny source any

[Router-acl-basic-2100] quit

# 使能Java 阻断功能,添加后缀名为.js的过滤项,并配置根据ACL规则进行阻断。

[Router] firewall http java-blocking enable

[Router] firewall http java-blocking suffix .js

[Router] firewall http java-blocking acl 2100

(2)      验证配置结果

通过display firewall http java-blocking verbose命令查看Java阻断的详细信息。

[Router] display firewall http java-blocking verbose

 Java blocking is enabled.

 The configured ACL group is 2100.

 There are 0 packet(s) being filtered.

 There are 1 packet(s) being passed.

通过display firewall http java-blocking all命令查看Java阻断的所有条目信息。

[Router] display firewall http java-blocking all

 SN  Match-Times          Keywords

 ------------------------------------

 1   0                    .CLASS

 2   0                    .JAR

 3   1                    .js

以上信息显示,Java阻断配置有3个过滤条目,“.CLASS”和“.JAR”是缺省条目,“.js”是用户配置的条目,且仅该条目匹配了一次。

1.5  常见配置错误举例

1.5.1  当前关键字或配置条目达到上限,添加失败

1. 故障现象

·              添加网站地址过滤或URL参数过滤条目时,系统提示不能继续添加新条目。

·              添加Java阻断或ActiveX阻断后缀关键字时,系统提示不能继续添加新后缀关键字。

1. 故障分析

网站地址过滤条目/URL参数过滤条目/Java阻断后缀关键字/ActiveX阻断后缀关键字数目已经达到系统所允许的最大值。

2. 处理过程

如果确实需要添加,请先删除部分已配置的条目或关键字,然后再继续配置。

1.5.2  当前配置的参数中出现不允许的字符

1. 故障现象

配置网站地址过滤或URL参数过滤条目时,系统提示输入字符错误。

1. 故障分析

网站地址过滤只允许输入数字、英文字母、“.”、“-”、“_”以及通配符(“^”、“$”、“&”和“*”);URL参数的过滤条目只允许输入数字、英文字母、通配符(“^”、“$”、“&”和“*”)以及其它ASCII字符(31<ASCII值<127)。

2. 处理过程

检查输入的命令,保证输入字符合法。

1.5.3  关键字通配符非法使用

1. 故障现象

配置网站地址过滤或URL参数过滤条目时,系统提示通配符使用错误。

1. 故障分析

网站地址过滤或URL参数过滤条目通配符的使用上分别有如下限制:

表1-7 网站地址过滤条目通配符含义

通配符

含义

使用说明

^

表明是开头匹配

只能出现在过滤关键字的开头,且只能出现一次

$

表明是结尾匹配

只能出现在过滤关键字的结尾,且只能出现一次

&

代替一个字符,不能代替“.”

可出现任意多个,也可连续出现,可位于过滤关键字的任意位置,不能与“*”一起使用

*

可代替任意多个字符,也可代替空格,不能代替“.”

在过滤关键字中只能出现一次,可以位于过滤关键字的开头和中间,不能位于结尾,并且不能和“^”、“$”相邻

 

表1-8 URL参数过滤条目通配符含义

通配符

含义

使用说明

^

表明是开头匹配

只能位于过滤关键字的开头,且只能出现一次

$

表明是结尾匹配

只能位于过滤关键字的结尾,且只能出现一次

&

代替一个字符

可出现任意多个,也可连续出现,可位于过滤关键字的任意位置,但不能与“*”相邻,如果出现在开始和结尾的位置,则一定要和“^”或“$”相邻

*

代替长度不超过4个字符的任意字符串,可代替空格

只能位于过滤关键字的中间,且只能出现一次

 

2. 处理过程

根据以上关键字通配符的使用规则正确使用通配符。

1.5.4  阻断后缀配置非法

1. 故障现象

在配置Java Applet阻断和ActiveX阻断后缀关键字时,系统提示后缀关键字配置错误。

1. 故障分析

阻断后缀要求将“.”作为关键字的一部分进行配置,如果未配置“.”或配置时出现多个“.”将发生此错误。

2. 处理过程

根据阻断后缀的配置要求重新进行配置。

1.5.5  ACL配置错误

2. 故障现象

ACL规则配置为允许源地址为指定内网地址,在网站地址过滤、Java Applet阻断或者ActiveX阻断中引用这个ACL,希望指定内网主机发出的报文能够正常通过,发现配置的ACL不起作用。

1. 故障分析

无论是网站地址过滤,还是Java Applet阻断和ActiveX阻断,都是允许访问某一指定IP地址的外网服务器,而不是内网主机。因为内部网络属于信任区域,不需要对内网的IP地址进行特殊处理。

2. 处理过程

将外网服务器的IP地址作为ACL规则中的源地址进行配置。

1.5.6  无法使用IP地址访问HTTP服务器

1. 故障现象

在使能网站地址过滤以后,无法使用IP地址访问HTTP服务器。

1. 故障分析

网站地址过滤使能以后,缺省情况下不允许通过IP地址访问HTTP服务器。使用IP地址访问HTTP服务器的请求将被过滤掉。

2. 处理过程

配置ACL,允许访问该HTTP服务器地址的Web请求通过。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!