04-URL过滤配置
本章节下载: 04-URL过滤配置 (259.14 KB)
目 录
URL过滤功能是指对用户访问的URL进行控制,即允许或禁止用户访问的Web资源,达到规范用户上网行为的目的。
目前,仅支持对基于HTTP协议的URL进行过滤。
URL(Uniform Resource Locator,统一资源定位符)是互联网上标准资源的地址。URL用来完整、精确的描述互联网上的网页或者其他共享资源的地址,URL格式为:“protocol://host[:port]/path/[;parameters][?query]#fragment”,格式示意如图1-1所示:
图1-1 URL格式示意图
URL各字段含义如表1-1所示:
表1-1 URL各字段含义表
字段 |
描述 |
protocol |
表示使用的传输协议,例如HTTP |
host |
表示存放资源的服务器的主机名或IP地址 |
[:port] |
(可选)传输协议的端口号,各种传输协议都有默认的端口号 |
/path/ |
是路径,由零或多个“/”符号隔开的字符串,一般用来表示主机上的一个目录或文件地址 |
[parameters] |
(可选)用于指定特殊参数 |
[?query] |
(可选)表示查询用于给动态网页传递参数,可有多个参数,用“&”符号隔开,每个参数的名和值用“=”符号隔开 |
URI |
URI(Uniform Resource Identifier,统一资源标识符)是一个用于标示某一互联网资源名称的字符 |
URL过滤功能实现的前提条件是对URL的识别。可通过使用URL过滤规则匹配URL中主机名字段和URI字段的方法来识别URL。
URL过滤规则是指对用户HTTP报文中的URL进行匹配的原则,由管理员手动配置生成,可以通过使用正则表达式或者文本的方式配置规则中主机名或URI的内容。
URL过滤规则支持两种匹配方式:
· 文本匹配:使用指定的字符串对主机名和URI字段进行精确匹配。
¡ 匹配主机名字段时,URL中的主机名字段与规则中指定的主机名字符串必须完全一致,才能匹配成功。例如,规则中配置主机名字符串为abc.com.cn,则主机名为abc.com.cn的URL会匹配成功,而主机名为dfabc.com.cn的URL将与该规则匹配失败。
¡ 匹配URI字段时,从URL中URI字段的首字符开始,只要URI字段中连续若干个字符与规则中指定的URI字符串完全一致,就算匹配成功。例如,规则中配置URI字符串为/sina/news,则URI为/sina/news、/sina/news/sports或/sina/news_sports的URL会匹配成功,而URI为/sina的URL将与该规则匹配失败。
· 正则表达式匹配:使用正则表达式对主机名和URI字段进行模糊匹配。例如,规则中配置主机名的正则表达式为sina.*cn,则主机名为news.sina.com.cn的URL会匹配成功。
为便于管理员对数目众多的URL过滤规则进行统一部署,URL过滤模块提供了URL过滤分类功能,以便对具有相似特征的URL过滤规则进行归纳以及为匹配这些规则的URL统一指定处理动作。每个URL过滤分类具有一个严重级别属性,该属性值表示对属于此过滤分类URL的处理优先级。URL过滤分类由管理员手动配置,可修改其严重级别,可添加URL过滤规则。
URL过滤策略是用于关联所有URL过滤配置的一个实体。一个URL过滤策略中可以配置URL过滤分类和处理动作的绑定关系,以及缺省动作(即对未匹配上任何URL过滤规则的报文采取的动作)。URL过滤支持的处理动作包括:丢弃、允许、阻断、重置、重定向和生成日志。
URL过滤黑/白名单规则功能根据应用层的信息进行URL过滤。如果用户HTTP报文中的URL与URL过滤策略中的黑名单规则匹配成功,则丢弃此报文;如果与白名单规则匹配成功,则允许此报文通过。
在开启URL过滤功能的情况下,当用户通过设备使用HTTP访问某个网络资源时,设备将对此HTTP报文进行URL过滤。URL过滤处理流程如图1-2所示:
图1-2 URL过滤实现流程图
URL过滤实现流程如下:
(1) 如果策略(即安全策略或对象策略)引用了URL过滤业务,设备将对匹配了策略的报文进行URL过滤业务处理。设备将提取报文的URL字段,并与URL过滤规则进行匹配。有关安全策略的详细介绍请参见“安全配置指导”中的“安全策略”;有关对象策略的详细介绍请参见“安全配置指导”中的“对象策略”。
(2) 如果报文与设备上URL过滤策略中的过滤规则匹配成功,则将进一步做如下判断:
(3) 首先判断此URL过滤规则是否属于URL过滤的黑/白名单规则,如果属于URL过滤白名单规则则直接允许此报文通过,如果属于URL过滤的黑名单规则则直接将此报文阻断。
(4) 如果此URL过滤规则既不属于URL过滤白名单规则也不属于URL过滤黑名单规则,则设备将进一步判断该规则是否同时属于多个URL过滤分类。
· 如果此URL过滤规则同时属于多个URL过滤分类,则根据严重级别最高的URL过滤分类的动作对此报文进行处理。
· 如果此URL过滤规则只属于一个URL过滤分类,则根据该规则所属的URL过滤分类的动作对此报文进行处理。
(5) 如果报文未匹配上任何一条URL过滤策略中的过滤规则,则将进一步判断设备上是否配置了URL过滤的缺省动作。
(6) 如果配置了缺省动作,则根据配置的缺省动作对此报文进行处理;否则直接允许报文通过。
表1-2 URL过滤配置任务简介
配置任务 |
说明 |
详细配置 |
配置URL过滤分类 |
必选 |
|
配置URL过滤策略 |
必选 |
|
复制URL过滤策略或分类 |
可选 |
|
在DPI应用profile中引用URL过滤策略 |
必选 |
|
激活DPI各业务模块的策略和规则配置 |
可选 |
|
基于安全策略应用URL过滤业务 |
二者至少选其一 |
|
基于对象策略应用URL过滤业务 |
||
开启应用层检测引擎日志信息功能 |
可选 |
|
配置URL过滤日志信息筛选功能 |
可选 |
管理员可以手动配置URL过滤分类,并在分类中创建URL过滤规则。每个URL过滤规则可以同时属于多个URL过滤分类。
不同URL过滤分类的严重级别不能相同,数值越大表示严重级别越高。
表1-3 配置URL过滤分类
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建URL过滤分类,并进入URL过滤分类视图 |
url-filter category category-name [ severity severity-level ] |
缺省情况下,不存在URL过滤分类 |
(可选)配置URL过滤分类的描述信息 |
description text |
缺省情况下,自定义的URL过滤分类中不存在描述信息 |
配置自定义URL过滤规则 |
rule rule-id host { regex regex | text string } [ uri { regex regex | text string } ] |
缺省情况下,URL过滤分类中不存在自定义URL过滤规则 |
(可选)重命名URL过滤分类,并进入新的URL过滤分类视图 |
rename new-name |
- |
在一个URL过滤策略中可以配置多个URL过滤分类的动作,也可以配置策略的缺省动作。
若报文成功匹配的URL过滤规则同属于多个URL过滤分类,则根据严重级别最高的URL过滤分类中指定的动作对此报文进行处理。
表1-4 配置URL过滤策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建URL过滤策略,并进入URL过滤策略视图 |
url-filter policy policy-name |
缺省情况下,不存在URL过滤策略 |
配置URL过滤分类动作 |
category category-name action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ] |
缺省情况下,不存在URL过滤分类动作 |
(可选)配置URL过滤策略的缺省动作 |
default-action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ] |
缺省情况下,不存在缺省动作 |
(可选)向URL过滤策略中添加黑/白名单规则 |
add { blacklist | whitelist } [ id ] host { regex host-regex | text host-name } [ uri { regex uri-regex | text uri-name } ] |
缺省情况下,不存在黑/白名单规则 |
(可选)重命名URL过滤策略,并进入新的URL过滤策略视图 |
rename new-name |
- |
此功能用来复制已存在的URL过滤策略或分类,可以方便用户快速创建URL过滤策略或分类。
在复制URL过滤分类时,如果指定优先级与已经存在的分类优先级相同,则复制失败。
表1-5 复制URL过滤策略或分类
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
复制URL过滤分类 |
url-filter copy category old-name [ new-name ] severity severity-level |
- |
复制URL过滤策略 |
url-filter copy policy old-name new-name |
- |
DPI应用porfile是一个安全业务的配置模板,为实现URL过滤功能,必须在DPI应用porfile中引用指定的URL过滤策略。一个DPI应用profile中只能引用一个URL过滤策略,如果重复配置,则后配置的覆盖已有的。
表1-6 在DPI应用profile下引用URL过滤策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入DPI应用profile视图 |
app-profile app-profile-name |
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎” |
在DPI应用profile中引用URL过滤策略 |
url-filter apply policy policy-name |
缺省情况下,DPI应用profile中未引用URL过滤策略 |
当DPI各业务模块的策略和规则被创建、修改和删除后,需要配置此功能使其策略和规则配置生效。
配置此功能会暂时中断DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的策略和规则后统一配置此功能。
有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
表1-7 激活DPI各业务模块的策略和规则配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
激活DPI各业务模块的策略和规则配置 |
inspect activate |
缺省情况下,DPI各业务模块的策略和规则被创建、修改和删除时不生效 |
表1-8 基于安全策略应用URL过滤业务
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入安全策略视图 |
security-policy { ip | ipv6 } |
- |
进入安全策略规则视图 |
rule { rule-id | name name } * |
- |
配置安全策略规则的动作为允许 |
action pass |
缺省情况下,安全策略规则动作是丢弃 |
配置安全策略规则引用DPI应用profile |
profile app-profile-name |
缺省情况下,安全策略规则中未引用DPI应用profile |
表1-9 基于对象策略应用URL过滤业务
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入对象策略视图 |
object-policy { ip | ipv6 } object-policy-name |
- |
在对象策略规则中引用DPI应用profile |
rule [ rule-id ] inspect app-profile-name |
缺省情况下,在对象策略规则中未引用DPI应用profile |
退回系统视图 |
quit |
- |
创建安全域间实例,并进入安全域间实例视图 |
zone-pair security source source-zone-name destination destination-zone-name |
缺省情况下,不存在安全域间实例 有关安全域间实例的详细介绍请参见“安全配置指导”中的“安全域” |
应用对象策略 |
object-policy apply { ip | ipv6 } object-policy-name |
缺省情况下,安全域间实例内不应用对象策略 |
应用层检测引擎日志是为了满足管理员审计需求。设备生成应用层检测引擎日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
表1-10 开启应用层检测引擎日志信息功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启应用层检测引擎日志信息功能 |
url-filter log enable |
缺省情况下,生成应用层检测引擎日志信息功能处于关闭状态 |
开启URL过滤日志功能后(即执行category action logging或default-action logging命令)会产生大量的日志信息,不利于查看和分析。管理员可从以下方式中任选其一,对需要进行日志记录的资源进行筛选:
· 仅对网站根目录下资源的访问进行日志记录
· 对指定类型的网页资源的访问不进行日志记录
表1-11 配置URL过滤仅对网站根目录下资源的访问进行日志记录
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置URL过滤仅对网站根目录下资源的访问进行日志记录 |
url-filter log directory root |
缺省情况下,URL过滤对网站所有路径下资源的访问均进行日志记录 |
表1-12 配置URL过滤对指定类型网页资源的访问不进行日志记录
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置URL过滤对指定预定义类型网页资源的访问不进行日志记录 |
url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml } |
缺省情况下,URL过滤对预定义类型网页资源的访问不进行日志记录 |
配置URL过滤对指定自定义类型网页资源的访问不进行日志记录 |
url-filter log except user-defined text |
缺省情况下,未配置自定义类型网页资源 |
完成上述配置后,在任意视图下执行display命令可以显示URL过滤的配置信息和分类信息等。
在用户视图下执行reset命令可以清除URL过滤的统计信息。
表1-13 URL过滤显示和维护
操作 |
命令 |
显示URL过滤分类信息 |
display url-filter category [ verbose ] |
查看URL过滤的统计信息 |
display url-filter statistics |
清除URL过滤的统计信息 |
reset url-filter statistics |
如图1-3所示,Device作为安全网关部署在内网边界。通过配置URL过滤功能,实现如下需求:
· 为提高员工工作效率,禁止内网用户访问新闻类(www.sina.com)和购物类网站(www.taobao.com)。
· 禁止内网用户访问土豆网(www.tudou.com)。
图1-3 URL过滤分类配置组网图
(1) 配置各接口的IP地址(略)
(2) 创建安全域并将接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置对象组
# 创建名为urlfilter的IP地址对象组,并定义其子网地址为192.168.1.0/24。
[Device] object-group ip address urlfilter
[Device-obj-grp-ip-urlfilter] network subnet 192.168.1.0 24
[Device-obj-grp-ip-urlfilter] quit
(4) 新建自定义URL过滤分类
# 创建名为shopping的URL过滤分类,并进入URL过滤分类视图,设置该分类的严重级别为2000。
[Device] url-filter category shopping severity 2000
# 在URL过滤分类shopping中添加一条URL过滤规则(www.taobao.com),并使用文本方式对主机名字段进行精确匹配。
[Device-url-filter-category-shopping] rule 1 host text www。taobao。com
[Device-url-filter-category-shopping] quit
# 创建名为news的URL过滤分类,并进入URL过滤分类视图,设置该分类的严重级别为3000。
[Device] url-filter category news severity 3000
# 在URL过滤分类news中添加一条URL过滤规则(www.sina.com),并使用正则表达式方式对主机名字段进行模糊匹配。
[Device-url-filter-category-news] rule 2 host regex sina
[Device-url-filter-category-news] quit
(5) 配置URL过滤策略
# 创建名为urlfilter的URL过滤策略,并进入URL过滤策略视图。
[Device] url-filter policy urlfilter
# 在URL过滤策略urlfilter中,配置URL过滤分类shopping和news绑定的动作为丢弃并记录日志。
[Device-url-filter-policy-urlfilter] category shopping action drop logging
[Device-url-filter-policy-urlfilter] category news action drop logging
# 在URL过滤策略urlfilter中,添加黑名单www.tudou.com。
[Device-url-filter-policy-urlfilter] add blacklist host text www.tudou.com
# 在URL过滤策略urlfilter中,配置缺省动作为允许。
[Device-url-filter-policy-urlfilter] default-action permit
[Device-url-filter-policy-urlfilter] quit
(6) 配置DPI应用profile
# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。
[Device] app-profile sec
# 在DPI应用profile sec中应用URL过滤策略urlfilter。
[Device-app-profile-sec] url-filter apply policy urlfilter
[Device-app-profile-sec] quit
# 激活DPI各业务模块的策略和规则配置。
[Device] inspect activate
(7) 配置安全策略引用URL过滤业务
# 进入IPv4安全策略视图
[Device] security-policy ip
# 创建名为urlfilter的安全策略规则,过滤条件为:源安全域Trust、源IP地址对象组urlfilter、目的安全域Untrust。动作为允许,且引用的DPI应用profile为sec。
[Device-security-policy-ip] rule name urlfilter
[Device-security-policy-ip-13-urlfilter] source-zone trust
[Device-security-policy-ip-13-urlfilter] source-ip urlfilter
[Device-security-policy-ip-13-urlfilter] destination-zone untrust
[Device-security-policy-ip-13-urlfilter] action pass
[Device-security-policy-ip-13-urlfilter] profile sec
[Device-security-policy-ip-13-urlfilter] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效后,内网用户对新闻类(www.sina.com)和购物类网站(www.taobao.com)以及土豆网(www.tudou.com)的访问均被设备阻断并生成日志。
如图1-4所示,Device作为安全网关部署在内网边界。通过配置URL过滤功能,实现如下需求:
· 为提高员工工作效率,禁止内网用户访问新闻类(www.sina.com)和购物类网站(www.taobao.com)。
· 禁止内网用户访问土豆网(www.tudou.com)。
图1-4 URL过滤分类配置组网图
(1) 配置各接口的IP地址(略)
(2) 创建安全域并将接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置对象组
# 创建名为urlfilter的IP地址对象组,并定义其子网地址为192.168.1.0/24。
[Device] object-group ip address urlfilter
[Device-obj-grp-ip-urlfilter] network subnet 192.168.1.0 24
[Device-obj-grp-ip-urlfilter] quit
(4) 新建自定义URL过滤分类
# 创建名为shopping的URL过滤分类,并进入URL过滤分类视图,设置该分类的严重级别为2000。
[Device] url-filter category shopping severity 2000
# 在URL过滤分类shopping中添加一条URL过滤规则(www.taobao.com),并使用文本方式对主机名字段进行精确匹配。
[Device-url-filter-category-shopping] rule 1 host text www。taobao。com
[Device-url-filter-category-shopping] quit
# 创建名为news的URL过滤分类,并进入URL过滤分类视图,设置该分类的严重级别为3000。
[Device] url-filter category news severity 3000
# 在URL过滤分类news中添加一条URL过滤规则(www.sina.com),并使用正则表达式方式对主机名字段进行模糊匹配。
[Device-url-filter-category-news] rule 2 host regex sina
[Device-url-filter-category-news] quit
(5) 配置URL过滤策略
# 创建名为urlfilter的URL过滤策略,并进入URL过滤策略视图。
[Device] url-filter policy urlfilter
# 在URL过滤策略urlfilter中,配置URL过滤分类shopping和news绑定的动作为丢弃并记录日志。
[Device-url-filter-policy-urlfilter] category shopping action drop logging
[Device-url-filter-policy-urlfilter] category news action drop logging
# 在URL过滤策略urlfilter中,添加黑名单www.tudou.com。
[Device-url-filter-policy-urlfilter] add blacklist host text www.tudou.com
# 在URL过滤策略urlfilter中,配置缺省动作为允许。
[Device-url-filter-policy-urlfilter] default-action permit
[Device-url-filter-policy-urlfilter] quit
(6) 配置DPI应用profile
# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。
[Device] app-profile sec
# 在DPI应用profile sec中应用URL过滤策略urlnews。
[Device-app-profile-sec] url-filter apply policy urlnews
[Device-app-profile-sec] quit
# 激活DPI各业务模块的策略和规则配置。
[Device] inspect activate
(7) 配置对象策略
# 创建名为urlfilter的IPv4对象策略,并进入对象策略视图。
[Device] object-policy ip urlfilter
# 对源IP地址对象组urlfilter对应的报文进行深度检测,引用的DPI应用profile为sec。
[Device-object-policy-ip-urlfilter] rule inspect sec source-ip urlfilter destination-ip any
[Device-object-policy-ip-urlfilter] quit
(8) 配置安全域间实例并应用对象策略
# 创建源安全域Trust到目的安全域Untrust的安全域间实例,并应用对源IP地址对象组urlfilter对应的报文进行深度检测的对象策略urlfilter。
[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-Trust-Untrust] object-policy apply ip urlfilter
[Device-zone-pair-security-Trust-Untrust] quit
以上配置生效后,内网用户对新闻类(www.sina.com)和购物类网站(www.taobao.com)以及土豆网(www.tudou.com)的访问均被设备阻断并生成日志。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!