1、URL过滤配置1 URL过滤配置URL过滤功能的使用受License控制,请在使用URL过滤功能前,安装有效的License。License过期后,URL过滤功能可以用,但无法升级特征库,只能使用设备中已存在的特征库。关于License的详细介绍请参见“基础配置指导”中的“License管理”。1.1 URL过滤简介URL过滤功能是指对用户访问的URL进行控制,即允许或禁止用户访问的Web资源,达到规范用户上网行为的目的。目前,仅支持对基于HTTP协议的URL进行过滤。1.1.1 URL过滤原理1. URL简介URL(Uniform Resource Locator,统一资源定位符)是互联网上
2、标准资源的地址。URL用来完整、精确的描述互联网上的网页或者其他共享资源的地址,URL格式为:“protocol:/hostname:port/path/;parameters?query#fragment”,格式示意如图1-1所示:图1-1 URL格式示意图URL各字段含义如表1-1所示:表1-1 URL各字段含义表字段描述protocol表示使用的传输协议,例如HTTPhost表示存放资源的服务器的主机名或IP地址:port(可选)传输协议的端口号,各种传输协议都有默认的端口号/path/是路径,由零或多个“/”符号隔开的字符串,一般用来表示主机上的一个目录或文件地址parameters(
3、可选)用于指定特殊参数?query(可选)表示查询用于给动态网页传递参数,可有多个参数,用“&”符号隔开,每个参数的名和值用“=”符号隔开URIURI(Uniform Resource Identifier,统一资源标识符)是一个用于标示某一互联网资源名称的字符2. URL过滤规则URL过滤功能实现的前提条件是对URL的识别。可通过使用URL过滤规则匹配URL中host字段和URI字段的方法来识别URL。URL过滤规则是指对用户HTTP报文中的URL进行匹配的原则,且其分为两种规则:预定义规则:根据设备中的URL过滤特征库自动生成,包括百万级的host或URI。预定义规则能满足多数情况下的UR
4、L过滤需求。自定义规则:由管理员手动配置生成,可以通过使用正则表达式或者文本的方式来配置规则中host或URI的内容。URL过滤规则支持两种匹配方式:文本匹配:使用指定的字符串对host和URI字段进行精确匹配。匹配host字段时,URL中的host字段与规则中指定的host字符串必须完全一致,才能匹配成功。例如,规则中配置host字符串为,则host为的URL会匹配成功,而host为的URL将与该规则匹配失败。匹配URI字段时,从URL中URI字段的首字符开始,只要URI字段中连续若干个字符与规则中指定的URI字符串完全一致,就算匹配成功。例如,规则中配置URI字符串为/sina/news,
5、则URI为/sina/news、/sina/news/sports或/sina/news_sports的URL会匹配成功,而URI为/sina的URL将与该规则匹配失败。正则表达式匹配:使用正则表达式对host和URI字段进行模糊匹配。例如,规则中配置host的正则表达式为sina.*cn,则host为的URL会匹配成功。3. URL过滤分类为便于管理员对数目众多的URL过滤规则进行统一部署,URL过滤模块提供了URL过滤分类功能,以便对具有相似特征的URL过滤规则进行归纳以及为匹配这些规则的URL统一指定处理动作。每个URL过滤分类具有一个严重级别属性,该属性值表示对属于此过滤分类URL的处
6、理优先级。URL过滤分类包括两种类型:预定义分类:根据设备中的URL过滤特征库自动生成,仅可以修改其严重级别。自定义分类:由管理员手动配置,可修改其严重级别,可添加URL过滤规则。4. URL过滤策略URL过滤策略是用于关联所有URL过滤配置的一个实体。一个URL过滤策略中可以配置URL过滤分类和处理动作的绑定关系,以及缺省动作(即对未匹配上任何URL过滤规则的报文采取的动作)。URL过滤支持的处理动作包括,丢弃、放行、阻断、重置和生成日志。1.1.2 URL过滤实现流程在开启URL过滤功能的情况下,当用户通过设备使用HTTP访问某个网络资源时,设备将进行URL过滤。URL过滤处理流程如图1-
7、2所示:图1-1 URL过滤实现流程图URL过滤实现流程如下:(2)如果报文匹配了某对象策略规则,且此对象策略规则的动作是inspect,则设备提取报文中的URL字段进行URL过滤规则匹配。有关对象策略规则的详细介绍请参见“安全配置指导”中的“对象策略”。(3)报文成功匹配URL过滤规则后,设备将进一步判断该规则是否同时属于多个URL过滤分类。如果此URL过滤规则同时属于多个URL过滤分类,则根据严重级别最高的URL过滤分类的动作对此报文进行处理。如果此URL过滤规则只属于一个URL过滤分类,则根据该规则所属的URL过滤分类的动作对此报文进行处理。(4)如果报文未匹配上任何一条URL过滤规则。
8、设备将进一步判断URL过滤策略中是否存在URL过滤缺省动作,如果存在,则根据配置的缺省动作对此报文进行处理;否则直接允许报文通过。1.1.3 URL过滤特征库升级与回滚URL过滤特征库是设备对用户访问Web请求中的URL进行识别的资源库。随着互联网业务的不断变化和发展,需要及时升级设备中的URL过滤特征库或者在特定情况下回退URL过滤特征库版本。目前,设备支持特征库版本升级和回滚两种操作。1. URL过滤特征库升级URL过滤特征库升级包括如下几种方式:定期自动在线升级:设备根据管理员设置的时间定期从H3C官方网站上的特征库服务专区下载并更新本地的URL过滤特征库。立即自动在线升级:管理员手工触
9、发设备立即从H3C官方网站上的特征库服务专区下载并更新本地的URL过滤特征库。手动离线升级:当设备无法访问H3C官方网站上的特征库服务专区时,管理员手工触发设备立即从指定的路径上下载并更新本地的URL过滤特征库。2. URL过滤特征库回滚URL过滤特征库回滚是指将当前的URL过滤特征库版本回滚到指定的URL过滤特征库版本。如果管理员发现设备对用户访问Web的URL过滤的误报率较高或出现异常情况,则可以对当前URL过滤特征库版本进行回滚。目前支持将设备中的URL过滤特征库版本回滚到出厂版本和上一版本。1.2 URL过滤配置任务简介URL过滤的关键配置步骤如下:(1)配置URL过滤分类,并定义用于
10、过滤各种URL的URL过滤规则。(2)配置URL过滤策略,指定URL过滤分类的动作。(3)在DPI应用profile中应用URL过滤策略。有关DPI应用profile的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。(4)执行inspect activate命令使得以上与URL过滤策略相关的所有配置生效。有关inspect activate命令的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。(5)在对象策略规则中应用DPI应用profile。有关对象策略规则的详细介绍请参见“安全配置指导”中的“对象策略”。表1-1 URL过滤配置任务简介配置任务说明详细配置配
11、置URL过滤分类必选1.3.1 配置URL过滤策略必选1.3.2 在DPI应用profile中应用URL过滤策略必选1.3.3 配置URL过滤特征库升级和回滚可选1.3.4 1.3 配置URL过滤1.3.1 配置URL过滤分类当URL过滤特征库中预定义的URL过滤分类和URL过滤规则不能满足对URL的控制需求时,可以配置URL过滤分类,并在分类中创建URL过滤规则。每个URL过滤规则可以同时属于多个URL过滤分类。需要注意的是:不同URL过滤分类的严重级别不能相同,数值越大表示严重级别越高。系统为预定义URL过滤分类保留的严重级别为最低,取值范围为1999。管理员仅可修改预定义URL过滤分类的
12、严重级别。表1-1 配置URL过滤分类操作命令说明进入系统视图system-view-创建URL过滤分类,并进入URL过滤分类视图url-filter category category-name severity severity-level 缺省情况下,只存在预定义的URL过滤分类,且分类名称以字符串Pre-开头自定义的URL过滤分类不能以字符串Pre-开头配置自定义URL过滤规则rule rule-id host regex regex | text string uri regex regex | text string 缺省情况下,URL过滤分类中不存在任何自定义URL过滤规则1.3
13、.2 配置URL过滤策略在一个URL过滤策略中可以配置多个URL过滤分类动作,也可以在URL过滤策略中为其定义缺省动作。若报文成功匹配的URL过滤规则同属于多个URL过滤分类,则根据严重级别最高的URL过滤分类中指定的动作对此报文进行处理。表1-1 配置URL过滤策略操作命令说明进入系统视图system-view-创建URL过滤策略,并进入URL过滤策略视图url-filter policy policy-name缺省情况下,不存在任何URL过滤策略URL过滤策略名称必须是全局唯一配置URL过滤分类动作category category-name action block-source par
14、ameter-profile parameter-name | drop | permit | reset logging 缺省情况下,不存在任何URL过滤分类动作配置URL过滤策略的缺省动作default-action block-source parameter-profile parameter-name | drop | permit | reset | logging 缺省情况下,不存在缺省动作1.3.3 在DPI应用profile中应用URL过滤策略DPI应用porfile是一个安全业务的配置模板,为实现URL过滤功能,必须在DPI应用porfile中应用指定的URL过滤策略。一个
15、DPI应用profile中只能应用一个URL过滤策略,如果重复配置,则后配置的覆盖已有的。表1-1 在DPI应用profile下应用URL过滤策略操作命令说明进入系统视图system-view-进入DPI应用profile视图app-profile app-profile-name-在DPI应用profile中应用URL过滤策略url-filter apply policy policy-name缺省情况下,DPI应用profile中没有应用任何URL过滤策略1.3.4 配置URL过滤特征库升级和回滚随着互联网业务的不断变化和发展,管理员需要及时升级设备中的URL过滤特征库或者在特定情况下回退
16、URL过滤特征库版本。1. 配置定期自动在线升级URL过滤特征库当部署URL过滤功能时,如果设备可以访问H3C官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的URL过滤特征库进行升级。表1-1 配置定期自动在线升级URL过滤特征库操作命令说明进入系统视图system-view-开启定期自动在线升级URL过滤特征库功能,并进入自动在线升级配置视图url-filter signature auto-update缺省情况下,定期自动在线升级URL过滤特征库功能处于关闭状态配置定期自动在线升级URL过滤特征库的时间update schedule daily | weekly mon
17、 | tue | wed | thu | fri | sat | sun start-time time tingle minutes缺省情况下,设备在每天00:00 至04:00之间自动升级URL过滤特征库2. 立即自动在线升级URL过滤特征库当管理员发现H3C官方网站上的特征库服务专区中的URL过滤特征库有更新时,可以选择立即自动在线升级方式来及时升级URL过滤特征库版本。表1-1 立即自动在线升级URL过滤特征库操作命令说明进入系统视图system-view-立即自动在线升级URL过滤特征库url-filter signature auto-update-now-3. 手动离线升级URL
18、过滤特征库当部署URL过滤功能时,如果设备不能访问H3C官方网站上的特征库服务专区,则管理员必须首先登录到H3C官方网站上的特征库服务专区下载最新的URL过滤特征库文件到本地PC,然后在设备上通过FTP、TFTP或HTTP方式远程获取PC上的URL过滤特征库文件进行手动离线升级,也可以先将下载到PC上的URL过滤特征库文件上传到设备中,再使用本地方式手动离线升级URL过滤特征库。表1-1 手动离线升级URL过滤特征库操作命令说明进入系统视图system-view-手动离线升级URL过滤特征库url-filter signature update file-url-4. 回滚URL过滤特征库UR
19、L过滤特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如URL过滤特征库的上一版本是V1,当前特征库版本是V2,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。表1-1 回滚URL过滤特征库操作命令说明进入系统视图system-view-回滚URL过滤特征库url-filter signature rollback factory | last -1.4 URL过滤显示和维护在完成上述配置后,在任意视图下执行display命令可以显示URL过滤的配置信息和分类信息等。表1-1 U
20、RL过滤显示和维护操作命令显示URL过滤分类信息display url-filter category verbose 显示URL过滤特征库信息display url-filter signature information1.5 URL典型配置举例1.5.1 URL过滤分类典型配置举例1. 组网需求如图1-3所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有组网需求如下:配置URL过滤功能,允许Trust安全域的主机访问Untrust安全域的Web Server上的。配置预定义URL过滤分类Pre-Games的动作为丢弃并生成日志。配置URL
21、过滤策略的缺省动作为丢弃和生成日志。2. 组网图图1-1 配置URL过滤分类典型配置组网图3. 配置步骤(1)配置各接口的IP地址(略)(2)配置URL过滤功能# 创建名news的URL过滤分类,并进入该URL过滤分类视图,设置该分类的严重级别为2000。 system-viewDevice url-filter category news severity 2000# 在URL过滤分类news中添加一条URL过滤规则,并使用字符串对host字段进行精确匹配。Device-url-filter-category-news rule 1 host text Device-url-filter-c
22、ategory-news quit# 创建名为urlnews的URL过滤策略,并进入该URL过滤策略视图。Device url-filter policy urlnews# 在URL过滤策略urlnews中,配置URL过滤分类news绑定的动作为允许。Device-url-filter-policy-urlnews category news action permit# 在URL过滤策略urlnews中,配置预定义URL过滤分类Pre-Games绑定的动作为丢弃并生成日志。Device-url-filter-policy-urlnews category Pre-Games action d
23、rop logging# 在URL过滤策略urlnews中,配置策略的缺省动作为丢弃和告警Device-url-filter-policy-urlnews default-action action drop loggingDevice-url-filter-policy-urlnews quit# 创建名为sec的DPI应用profile,并进入该DPI应用profile视图。Device app-profile sec# 在DPI应用profile sec中应用URL过滤策略urlnews。Device-app-profile-sec url-filter apply urlnewsDev
24、ice-app-profile-sec quit# 执行inspect activate命令使得以上与URL过滤策略相关的配置生效。Device inspect activate(3)配置对象策略配置安全域# 向安全域Trust中添加接口GigabitEthernet1/0/1。Device security-zone name trustDevice-security-zone-Trust import interface gigabitethernet 1/0/1Device-security-zone-Trust quit# 向安全域Untrust中添加接口GigabitEthernet
25、1/0/2。Device security-zone name untrustDevice-security-zone-Untrust import interface gigabitethernet 1/0/2Device-security-zone-Untrust quit配置对象# 创建名为urlfilter的IP地址对象组,并定义其子网地址为192.168.1.0/24。Device object-group ip address urlfilterDevice-obj-grp-ip-urlfilter network subnet 192.168.1.0 24Device-obj-g
26、rp-ip-urlfilter quit配置对象策略及规则# 创建名为urlfilter的IPv4对象策略,并进入该对象策略视图。Device object-policy ip urlfilter# 对源IP地址对象组urlfilter对应的报文进行深度检测,引用的DPI应用profile为sec。Device-object-policy-ip-urlfilter rule inspect sec source-ip urlfilter destination-ip anyDevice-object-policy-ip-urlfilter quit配置安全域间实例并应用对象策略# 创建源安全域
27、Trust到目的安全域Untrust的安全域间实例,并应用对源IP地址对象组urlfilter对应的报文进行深度检测的对象策略urlfilter。Device zone-pair security source trust destination untrustDevice-zone-pair-security-Trust-Untrust object-policy apply ip urlfilterDevice-zone-pair-security-Trust-Untrust quit4. 验证配置以上配置生效后,Trust安全域的主机A、主机B和主机C都可以访问Untrust安全域的We
28、b Server上的,但是都不能访问游戏类的网页。Trust安全域的主机尝试访问游戏类的URL请求将会被Device阻断并且打印日志。1.5.2 配置手动离线升级URL过滤特征库典型配置举例1. 组网需求如图1-4所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源,以及DMZ安全域的FTP服务器。FTP服务器根目录下保存了最新的URL过滤特征库文件url-1.0.2-encrypt.dat,FTP服务器的登录用户名和密码分别为url和123。现有组网需求如下:手动离线升级URL过滤特征库,加载最新的URL过滤分类。采用预定义的URL过滤分类
29、Pre-Games,禁止Trust安全域的主机访问Untrust安全域内关于游戏类的互联网Web资源。2. 组网图图1-1 配置手动离线升级URL过滤特征库典型配置组网图3. 配置步骤(1)配置各接口的IP地址(略)(2)配置Device与FTP互通# 配置ACL 2001,定义规则:允许所以报文通过。 system-viewDevice acl basic 2001Device-acl-ipv4-basic-2001 rule permitDevice-acl-ipv4-basic-2001 quit# 向安全域DMZ中添加接口GigabitEthernet1/0/3。Device secu
30、rity-zone name dmzDevice-security-zone-Untrust import interface gigabitethernet 1/0/3Device-security-zone-Untrust quit# 创建源安全域Local到目的安全域DMZ的安全域间实例,允许Local域用户访问DMZ域以及返回的报文可以通过。Device zone-pair security source local destination dmzDevice-zone-pair-security-Local-DMZ packet-filter 2001Device-zone-pair-security-Local-DMZ quit(3)配置URL过滤功能# 采用FTP方式手动离线升级设备上的URL过滤特征库,且被加载的URL特征库文件名为url-1.0
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2
升级会员 