04-URL过滤配置
本章节下载: 04-URL过滤配置 (402.17 KB)
URL过滤功能是指对用户访问的URL进行控制,即允许或禁止用户访问的Web资源,达到规范用户上网行为的目的。
目前,仅支持对基于HTTP协议的URL进行过滤。
URL(Uniform Resource Locator,统一资源定位符)是互联网上标准资源的地址。URL用来完整、精确的描述互联网上的网页或者其他共享资源的地址,URL格式为:“protocol://host[:port]/path/[;parameters][?query]#fragment”,格式示意如图1-1所示:
图1-1 URL格式示意图
URL各字段含义如表1-1所示:
表1-1 URL各字段含义表
字段 |
描述 |
protocol |
表示使用的传输协议,例如HTTP |
host |
表示存放资源的服务器的主机名或IP地址 |
[:port] |
(可选)传输协议的端口号,各种传输协议都有默认的端口号 |
/path/ |
是路径,由零或多个“/”符号隔开的字符串,一般用来表示主机上的一个目录或文件地址 |
[parameters] |
(可选)用于指定特殊参数 |
[?query] |
(可选)表示查询用于给动态网页传递参数,可有多个参数,用“&”符号隔开,每个参数的名和值用“=”符号隔开 |
URI |
URI(Uniform Resource Identifier,统一资源标识符)是一个用于标示某一互联网资源名称的字符 |
URL过滤功能实现的前提条件是对URL的识别。可通过使用URL过滤规则匹配URL中主机名字段和URI字段的方法来识别URL。
URL过滤规则是指对用户HTTP报文中的URL进行匹配的原则,且其分为两种规则:
· 预定义规则:根据设备中的URL过滤特征库自动生成,包括百万级的主机名或URI。预定义规则能满足多数情况下的URL过滤需求。
· 自定义规则:由管理员手动配置生成,可以通过使用正则表达式或者文本的方式配置规则中主机名或URI的内容。
URL过滤规则支持两种匹配方式:
· 文本匹配:使用指定的字符串对主机名和URI字段进行匹配。
¡ 匹配主机名字段时,首先判断主机名开头或结尾位置是否含有通配符“*”,若均未出现,则URL中的主机名字段与规则中指定的主机名字符串必须完全一致,才能匹配成功;若“*”出现在开头位置,则该字符串或以该字符串结尾的URL会匹配成功;若“*”出现在结尾位置,则该字符串或以该字符串开头的URL会匹配成功。若“*”同时出现在开头或结尾位置,则该字符串或含有该字符串的URL均会匹配成功。
¡ 匹配URI字段时,和主机名字段匹配规则一致。
· 正则表达式匹配:使用正则表达式对主机名和URI字段进行匹配。例如,规则中配置主机名的正则表达式为sina.*cn,则主机名为news.sina.com.cn的URL会匹配成功。
为便于管理员对数目众多的URL过滤规则进行统一部署,URL过滤模块提供了URL过滤分类功能,以便对具有相似特征的URL过滤规则进行归纳以及为匹配这些规则的URL统一指定处理动作。每个URL过滤分类具有一个严重级别属性,该属性值表示对属于此过滤分类URL的处理优先级。
URL过滤分类包括两种类型:
· 预定义分类:根据设备中的URL过滤特征库自动生成,其名称、内容和严重级别不可被修改。名称以Pre-开头。设备为预定义URL过滤分类保留的严重级别为最低,取值范围为1~999。URL过滤支持两级分类,包含父分类和子分类。仅支持预定义父分类,且父分类下仅包含预定义子分类。
· 自定义分类:由管理员手动配置,可修改其严重级别,可添加URL过滤规则。自定义分类严重级别的取值范围为1000~65535。
一个URL过滤策略中可以配置URL过滤分类和处理动作的绑定关系,以及缺省动作(即对未匹配上任何URL过滤规则的报文采取的动作)。URL过滤支持的处理动作包括:丢弃、允许、阻断、重置、重定向和生成日志。
可通过URL过滤黑/白名单规则快速筛选出不需要进行URL过滤的报文。如果用户HTTP报文中的URL与URL过滤策略中的黑名单规则匹配成功,则丢弃此报文;如果与白名单规则匹配成功,则允许此报文通过。
当用户通过设备使用HTTP访问某个网络资源时,设备将对此HTTP报文进行URL过滤。URL过滤处理流程如图1-2所示:
图1-2 URL过滤实现流程图
URL过滤功能是通过在DPI应用profile中引用URL过滤策略,并在安全策略或对象策略中引用DPI应用profile来实现的,URL过滤实现流程如下:
(1) 设备对报文进行规则(即安全策略规则或对象策略规则)匹配:
如果规则引用了URL过滤业务,设备将对匹配了规则的报文进行URL过滤业务处理。设备将提取报文的URL字段,并与URL过滤规则进行匹配。
有关安全策略的详细介绍请参见“安全配置指导”中的“安全策略”;有关对象策略的详细介绍请参见“安全配置指导”中的“对象策略”。
(2) 设备将报文与URL过滤策略中的过滤规则进行匹配,如果匹配成功,则进行下一步处理;如果匹配失败,则进入步骤(5)的处理。
(3) 首先判断此URL过滤规则是否属于URL过滤的黑/白名单规则,如果属于URL过滤白名单规则,设备将直接允许此报文通过;如果属于URL过滤的黑名单规则,设备将直接阻断此报文。其中,如果开启仅支持白名单功能,则设备仅对白名单规则进行匹配。如果匹配,则允许此报文通过;如果不匹配,则将此报文阻断。不再进行后续流程的匹配。
(4) 如果此URL过滤规则既不属于URL过滤白名单规则也不属于URL过滤黑名单规则,则设备将进一步判断该规则是否同时属于多个URL过滤分类。
¡ 如果此URL过滤规则同时属于多个URL过滤分类,则根据严重级别最高的URL过滤分类的动作对此报文进行处理。
¡ 如果此URL过滤规则只属于一个URL过滤分类,则根据该规则所属的URL过滤分类的动作对此报文进行处理。
(5) 如果分类云端查询功能已开启,则将报文中的URL发向云端服务器进行查询,否则进入步骤(7)的处理。
(6) 如果URL云端查询成功,云端服务器将向设备端返回查询结果(该结果中包含了URL过滤规则及其所属的分类名称),并进入步骤(4)的处理,否则进入步骤(7)的处理。
(7) 如果设备上配置了URL过滤的缺省动作,则根据配置的缺省动作对此报文进行处理;否则直接允许报文通过。
URL过滤特征库是用来对经过设备的用户访问Web请求中的URL进行识别的资源库。随着互联网业务的不断变化和发展,需要及时升级设备中的URL过滤特征库,同时设备也支持URL过滤特征库回滚功能。
URL过滤特征库的升级包括如下几种方式:
· 定期自动在线升级:设备根据管理员设置的时间定期自动更新本地的URL过滤特征库。
· 立即自动在线升级:管理员手工触发设备立即更新本地的URL过滤特征库。
· 手动离线升级:当设备无法自动获取URL过滤特征库时,需要管理员先手动获取最新的URL过滤特征库,再更新本地的URL过滤特征库。
如果管理员发现设备当前URL过滤特征库对用户访问Web的URL过滤的误报率较高或出现异常情况,则可以将其回滚到出厂版本和上一版本。
URL过滤特征库升级和URL过滤分类云端查询功能需要购买并正确安装License后才能使用。本产品已经预置了有效期为三年的License,License过期后,URL过滤功能可以采用设备中已有的URL过滤特征库正常工作,但无法升级到比当前版本高的特征库,且无法进行URL过滤分类云端查询。关于License的详细介绍请参见“基础配置指导”中的“License管理”。
URL过滤配置任务如下:
(1) (可选)配置URL过滤分类
(2) (可选)配置URL过滤分类云端查询
(3) 配置URL过滤策略
(4) (可选)复制URL过滤策略或分类
(6) 激活URL过滤的策略和规则配置
(7) 引用DPI应用profile
请选择以下一项任务进行配置:
(8) 配置URL过滤特征库升级和回滚
(9) (可选)开启应用层检测引擎日志信息功能
(10) (可选)配置URL过滤日志信息筛选功能
(11) (可选)开启HTTPS流量过滤功能
当URL过滤特征库中预定义的URL过滤分类和URL过滤规则不能满足对URL的控制需求时,可以配置URL过滤分类,并在分类中创建URL过滤规则。
不同URL过滤分类的严重级别不能相同,数值越大表示严重级别越高。
(1) 进入系统视图。
system-view
(2) 创建URL过滤分类,并进入URL过滤分类视图。
url-filter category category-name [ severity severity-level ]
缺省情况下,只存在预定义的URL过滤分类,且分类名称以字符串Pre-开头。
自定义的URL过滤分类不能以字符串Pre-开头。
(3) (可选)配置URL过滤分类的描述信息。
description text
(4) 配置URL过滤规则,请至少选择其中一项进行配置。
¡ 配置自定义URL过滤规则。
rule rule-id host { regex regex | text string } [ uri { regex regex | text string } ]
¡ 添加预定义URL过滤分类中的规则。
include pre-defined category-name
缺省情况下,URL过滤分类中未添加预定义URL过滤分类中的规则。
(5) (可选)重命名URL过滤分类,并进入新的URL过滤分类视图。
rename new-name
在URL过滤策略中开启URL过滤分类云端查询功能后,可提高设备识别HTTP报文的准确率,实现对报文的准确控制。
从云端服务器学习到的URL过滤规则会被缓存在设备的URL过滤缓存中进行报文匹配。URL过滤缓存的记录上限和规则的最短保留时间可以根据实际组网环境进行调整。有关云端服务器的详细介绍,请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
(1) 进入系统视图。
system-view
(2) 配置云端服务器的主机名。
inspect cloud-server host-name
缺省情况下,云端服务器的主机名为sec.h3c.com。
(3) (可选)配置URL过滤缓存区可缓存记录的上限。
url-filter cache size cache-size
缺省情况下,URL过滤缓存区可缓存记录的上限为16384。
(4) (可选)配置URL过滤缓存规则的最短保留时间。
url-filter cache-time value
缺省情况下,URL过滤缓存规则的最短保留时间为10分钟。
(5) 进入URL过滤策略视图。
url-filter policy policy-name
(6) 开启URL过滤分类云端查询功能。
cloud-query enable
缺省情况下,URL过滤分类云端查询功能处于关闭状态。
URL过滤功能基于URL过滤策略实现,请选择以下一项任务进行配置:
¡ 配置URL过滤分类动作
¡ 配置URL过滤分类缺省动作
¡ (可选)配置白名单/黑名单规则
若动作配置为logging,生成的日志信息不会输出到控制台和监视终端。如需获取该日志,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。
(1) 进入系统视图。
system-view
(2) 创建URL过滤策略,并进入URL过滤策略视图。
url-filter policy policy-name
(3) 配置URL过滤分类动作。
category category-name action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
缺省情况下,未配置URL过滤分类动作。
若报文成功匹配的URL过滤规则同属于多个URL过滤分类,则根据严重级别最高的URL过滤分类中指定的动作对此报文进行处理。
(4) (可选)配置URL过滤策略的缺省动作。
default-action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
(5) (可选)向URL过滤策略中添加黑/白名单规则。
add { blacklist | whitelist } [ id ] host { regex host-regex | text host-name } [ uri { regex uri-regex | text uri-name } ]
(6) (可选)开启内嵌白名单功能。
referer-whitelist enable
缺省情况下,内嵌白名单功能处于开启状态,用户可以访问白名单网页下内嵌的其他网页链接。
(7) (可选)重命名URL过滤策略,并进入新的URL过滤策略视图。
rename new-name
当管理员只希望通过配置白名单指定内部用户可以访问的网站,不想进行其他复杂配置时(例如配置URL过滤分类、URL过滤分类动作和URL过滤策略缺省动作),可以开启仅支持URL过滤白名单功能。
开启URL过滤白名单功能后,设备仅允许用户访问白名单规则中定义的网站,其他网站均不允许访问。
(1) 进入系统视图。
system-view
(2) 创建URL过滤策略,并进入URL过滤策略视图。
url-filter policy policy-name
(3) 向URL过滤策略中添加白名单规则。
add whitelist [ id ] host { regex host-regex | text host-name } [ uri { regex uri-regex | text uri-name } ]
(4) (可选)开启内嵌白名单功能。
referer-whitelist enable
缺省情况下,内嵌白名单功能处于开启状态,用户可以访问白名单网页下内嵌的其他网页链接。
(5) 开启仅支持URL过滤白名单功能。
whitelist-only enable
缺省情况下,仅支持URL过滤白名单功能处于关闭状态。
此功能用来复制已存在的URL过滤策略,可以方便用户快速创建URL过滤策略。
(1) 进入系统视图
system-view
(2) 复制URL过滤策略
url-filter copy policy old-name new-name
此功能用来复制已存在的URL过滤分类,可以方便用户快速创建URL过滤分类。
在复制URL过滤分类时,如果指定优先级与已经存在的分类优先级相同,则复制失败。
(1) 进入系统视图。
system-view
(2) 复制URL过滤分类。
url-filter copy category old-name new-name severity severity-level
DPI应用profile是一个安全业务的配置模板,为实现URL过滤功能,必须在DPI应用porfile中引用指定的URL过滤策略。
一个DPI应用profile中只能引用一个URL过滤策略,如果重复配置,则后配置的覆盖已有的。
(1) 进入系统视图。
system-view
(2) 进入DPI应用profile视图。
app-profile app-profile-name
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
(3) 在DPI应用profile中引用URL过滤策略。
url-filter apply policy policy-name
缺省情况下,DPI应用profile中未引用URL过滤策略。
当URL过滤策略和规则被创建、修改和删除后,需要配置此功能使其策略和规则配置生效。
配置此功能会暂时中断所有DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的策略和规则后统一配置此功能。
有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
(1) 进入系统视图。
system-view
(2) 激活URL过滤策略和规则配置。
inspect activate
缺省情况下,URL过滤策略和规则被创建、修改和删除时不生效。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | name name } *
(4) 配置安全策略规则的动作为允许。
action pass
缺省情况下,安全策略规则动作是丢弃。
(5) 配置安全策略规则引用DPI应用profile。
profile app-profile-name
缺省情况下,安全策略规则中未引用DPI应用profile。
(1) 进入系统视图。
system-view
(2) 进入对象策略视图。
object-policy { ip | ipv6 } object-policy-name
(3) 在对象策略规则中引用DPI应用profile。
rule [ rule-id ] inspect app-profile-name
缺省情况下,在对象策略规则中未引用DPI应用profile。
(4) 退回系统视图。
quit
(5) 创建安全域间实例,并进入安全域间实例视图。
zone-pair security source source-zone-name destination destination-zone-name
有关安全域间实例的详细介绍请参见“安全配置指导”中的“安全域”。
(6) 应用对象策略。
object-policy apply { ip | ipv6 } object-policy-name
缺省情况下,安全域间实例内不应用对象策略。
· 请勿删除设备存储介质根目录下的/dpi/文件夹,否则设备升级或回滚特征库会失败。
· 当系统内存使用状态处于告警门限状态时,请勿进行特征库升级或回滚,否则易造成设备特征库升级或回滚失败,进而影响URL过滤业务的正常运行。有关内存告警门限状态的详细介绍请参见“基础配置指导”中的“设备管理”。
· 自动在线升级(包括定期自动在线升级和立即自动在线升级)URL过滤特征库时,需要确保设备能通过静态或动态域名解析方式获得官方网站的IP地址,并与之路由可达,否则设备升级URL过滤特征库会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
· 同一时刻只能对一个特征库进行升级,如果当前已有其他特征库正在升级,请稍后再试。
如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的URL过滤特征库进行升级。
(1) 进入系统视图。
system-view
(2) 开启定期自动在线升级URL过滤特征库功能,并进入自动在线升级配置视图。
url-filter signature auto-update
缺省情况下,定期自动在线升级URL过滤特征库功能处于关闭状态。
(3) 配置定期自动在线升级URL过滤特征库的时间。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情况下,设备在每天01:00:00至03:00:00之间自动升级URL过滤特征库。
当管理员发现官方网站上的特征库服务专区中的URL过滤特征库有更新时,可以选择立即自动在线升级方式来及时升级URL过滤特征库版本。
(1) 进入系统视图。
system-view
(2) 立即自动在线升级URL过滤特征库。
url-filter signature auto-update-now
如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级URL过滤特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的URL过滤特征库版本。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的URL过滤特征库版本。
使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。
(1) 进入系统视图。
system-view
(2) 手动离线升级URL过滤特征库。
url-filter signature update file-path
URL过滤特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前URL过滤特征库版本是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
(1) 进入系统视图。
system-view
(2) 回滚URL过滤特征库。
url-filter signature rollback { factory | last }
应用层检测引擎日志是为了满足管理员审计需求。设备生成应用层检测引擎日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
(1) 进入系统视图。
system-view
(2) 开启应用层检测引擎日志信息功能。
url-filter log enable
缺省情况下,生成应用层检测引擎日志信息功能处于关闭状态。
开启URL过滤日志功能后(即执行category action logging或default-action logging命令)会产生大量的日志信息,不利于查看和分析。管理员可从以下方式中任选其一,对需要进行日志记录的资源进行筛选:
· 仅对网站根目录下资源的访问进行日志记录
· 对指定类型的网页资源的访问不进行日志记录
(1) 进入系统视图。
system-view
(2) 配置URL过滤仅对网站根目录下资源的访问进行日志记录。
url-filter log directory root
缺省情况下,URL过滤对网站所有路径下资源的访问均进行日志记录。
(1) 进入系统视图。
system-view
(2) 配置URL过滤不进行日志记录访问的网页资源类型。
¡ 配置URL过滤对指定预定义类型网页资源的访问不进行日志记录。
url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml }
¡ 配置URL过滤对指定自定义类型网页资源的访问不进行日志记录。
url-filter log except user-defined text
缺省情况下,URL过滤仅对预定义类型(即css、gif、ico、jpg、js、png、swf和xml类型)网页资源的访问不进行日志记录。
缺省情况下,设备仅对HTTP流量进行URL过滤,如果需要对HTTPS流量进行URL过滤,则可以选择如下方式:
· 使用SSL解密功能:先对HTTPS流量进行解密,然后再进行URL过滤。有关SSL解密功能的详细介绍,请参见“DPI深度安全配置指导”中的“代理策略”。
· 开启HTTPS流量过滤功能:不对HTTPS流量进行解密,直接对客户端发送的HTTPS的Client HELLO报文中的SNI(Sever Name Indication extension)字段进行检测,从中获取用户访问的服务器域名,使用获取到的域名与URL过滤策略进行匹配。
由于SSL解密功能涉及大量的加解密操作,会对设备的转发性能会产生较大的影响,建议在仅需要对HTTPS流量进行URL过滤业务处理的场景下开启HTTPS流量过滤功能。
本功能仅支持基于URL过滤规则中的HOST字段过滤,对于URI字段的信息无法匹配。
本功能仅在访问的服务器地址字段为域名的情况下生效,如果服务器地址字段为IP地址,本功能不生效。
如果客户端浏览器启用TLS 1.3降级强化机制功能选项,报文中的SNI字段将会被加密,本功能将失效。
如果同时配置SSL解密功能,则本功能失效。
如果HTTPS报文不支持SNI字段,本功能将失效。
(1) 进入系统视图。
system-view
(2) 创建URL过滤策略,并进入URL过滤策略视图。
url-filter policy policy-name
(3) 开启HTTPS流量过滤功能。
https-filter enable
缺省情况下,HTTPS流量过滤功能处于关闭状态,设备仅对HTTP流量进行URL过滤。
完成上述配置后,在任意视图下执行display命令可以显示URL过滤的配置信息和分类信息等。
在用户视图下执行reset命令可以清除URL过滤的统计信息。
表1-2 URL过滤显示和维护
操作 |
命令 |
查看URL过滤缓存中的信息 |
display url-filter cache |
显示URL过滤父分类或子分类信息 |
display url-filter { category | parent-category } [ verbose ] |
显示URL过滤特征库信息 |
display url-filter signature library |
查看URL过滤的统计信息 |
display url-filter statistics |
清除URL过滤的统计信息 |
reset url-filter statistics |
如图1-3所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有组网需求如下:
· 配置URL过滤功能,允许Trust安全域的主机访问Untrust安全域的Web Server上的www.sina.com。
· 配置预定义URL过滤分类Pre-Games的动作为丢弃并生成日志。
· 配置URL过滤策略的缺省动作为丢弃和生成日志。
图1-3 在安全策略中引用URL过滤业务配置组网图
(1) 配置各接口的IP地址(略)
(2) 创建安全域并将接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置对象组
# 创建名为urlfilter的IP地址对象组,并定义其子网地址为192.168.1.0/24。
[Device] object-group ip address urlfilter
[Device-obj-grp-ip-urlfilter] network subnet 192.168.1.0 24
[Device-obj-grp-ip-urlfilter] quit
(4) 配置URL过滤功能
# 创建名为news的URL过滤分类,并进入URL过滤分类视图,设置该分类的严重级别为2000。
[Device] url-filter category news severity 2000
# 在URL过滤分类news中添加一条URL过滤规则,并使用字符串www.sina.com对主机名字段进行精确匹配。
[Device-url-filter-category-news] rule 1 host text www.sina.com
[Device-url-filter-category-news] quit
# 创建名为urlnews的URL过滤策略,并进入URL过滤策略视图。
[Device] url-filter policy urlnews
# 在URL过滤策略urlnews中,配置URL过滤分类news绑定的动作为允许。
[Device-url-filter-policy-urlnews] category news action permit
# 在URL过滤策略urlnews中,配置预定义URL过滤分类Pre-Games绑定的动作为丢弃并生成日志。
[Device-url-filter-policy-urlnews] category Pre-Games action drop logging
# 在URL过滤策略urlnews中,配置策略的缺省动作为丢弃和打印日志。
[Device-url-filter-policy-urlnews] default-action drop logging
[Device-url-filter-policy-urlnews] quit
(5) 配置DPI应用profile
# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。
[Device] app-profile sec
# 在DPI应用profile sec中应用URL过滤策略urlnews。
[Device-app-profile-sec] url-filter apply policy urlnews
[Device-app-profile-sec] quit
# 激活URL过滤策略和规则配置。
[Device] inspect activate
(6) 配置安全策略引用URL过滤业务
# 进入IPv4安全策略视图
[Device] security-policy ip
# 创建名为urlfilter的安全策略规则,过滤条件为:源安全域Trust、源IP地址对象组urlfilter、目的安全域Untrust。动作为允许,且引用的DPI应用profile为sec。
[Device-security-policy-ip] rule name urlfilter
[Device-security-policy-ip-13-urlfilter] source-zone trust
[Device-security-policy-ip-13-urlfilter] source-ip urlfilter
[Device-security-policy-ip-13-urlfilter] destination-zone untrust
[Device-security-policy-ip-13-urlfilter] action pass
[Device-security-policy-ip-13-urlfilter] profile sec
[Device-security-policy-ip-13-urlfilter] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效后,Trust安全域的主机A、主机B和主机C都可以访问Untrust安全域的Web Server上的www.sina.com,但是都不能访问游戏类的网页。Trust安全域的主机尝试访问游戏类的URL请求将会被Device阻断并且打印日志。
如图1-4所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源,以及DMZ安全域的FTP服务器。FTP服务器根目录下保存了最新的URL过滤特征库文件url-1.0.2-encrypt.dat,FTP服务器的登录用户名和密码分别为url和123。现需要手动离线升级URL过滤特征库,加载最新的URL过滤分类。
图1-4 手动离线升级URL过滤特征库配置组网图
(1) 配置各接口的IP地址(略)
(2) 配置安全策略保证Device与DMZ安全域之间互通
# 向安全域DMZ中添加接口GigabitEthernet1/0/3。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
# 进入IPv4安全策略视图
[Device] security-policy ip
# 创建名为update的安全策略规则,过滤条件为:源安全域Local和DMZ、目的安全域DMZ和Local,动作为允许。
[Device-security-policy-ip]rule name update
[Device-security-policy-ip-11-update] source-zone local
[Device-security-policy-ip-11-update] source-zone dmz
[Device-security-policy-ip-11-update] destination-zone dmz
[Device-security-policy-ip-11-update] destination-zone local
[Device-security-policy-ip-11-update] action pass
[Device-security-policy-ip-11-update] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(3) 手动升级URL过滤特征库
# 采用FTP方式手动离线升级设备上的URL过滤特征库,且被加载的URL特征库文件名为url-1.0.2-encrypt.dat。
[Device] url-filter signature update ftp://url:[email protected]/url-1.0.2-encrypt.dat
URL过滤特征库升级后,可以通过display url-filter signature library命令查看当前特征库的版本信息。
如图1-5所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源。现有组网需求如下:
· 配置每周六上午九点前后半小时内,定期自动在线升级设备的URL过滤特征库。
图1-5 定期自动在线升级URL过滤特征库配置组网图
(1) 配置各接口的IP地址(略)
(2) 配置设备解析官方网站对应IP地址的域名解析功能(略)
(3) 配置安全策略保证Trust安全域的局域网用户可以访问Untrust安全域的Internet资源(略)
(4) 配置定期自动在线升级URL过滤特征库
# 开启自动在线升级URL过滤特征库功能,并进入自动在线升级配置视图。
<Device> system-view
[Device] url-filter signature auto-update
# 设置定期自动在线升级URL过滤特征库计划为:每周六上午9:00:00自动在线升级,抖动时间为60分钟。
[Device-url-filter-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60
[Device-url-filter-autoupdate] quit
设置的定期自动在线升级URL过滤特征库时间到达后,可以通过display url-filter signature library命令查看当前特征库的版本信息。
如图1-6所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有组网需求如下:
· 配置URL过滤功能,允许Trust安全域的主机访问Untrust安全域的Web Server上的www.sina.com。
· 配置预定义URL过滤分类Pre-Games的动作为丢弃并生成日志。
· 配置URL过滤策略的缺省动作为丢弃和生成日志。
图1-6 在对象策略中引用URL过滤业务配置组网图
(1) 配置各接口的IP地址(略)
(2) 创建安全域并将接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置对象组
# 创建名为urlfilter的IP地址对象组,并定义其子网地址为192.168.1.0/24。
[Device] object-group ip address urlfilter
[Device-obj-grp-ip-urlfilter] network subnet 192.168.1.0 24
[Device-obj-grp-ip-urlfilter] quit
(4) 配置URL过滤功能
# 创建名news的URL过滤分类,并进入URL过滤分类视图,设置该分类的严重级别为2000。
[Device] url-filter category news severity 2000
# 在URL过滤分类news中添加一条URL过滤规则,并使用字符串www.sina.com对主机名字段进行精确匹配。
[Device-url-filter-category-news] rule 1 host text www.sina.com
[Device-url-filter-category-news] quit
# 创建名为urlnews的URL过滤策略,并进入URL过滤策略视图。
[Device] url-filter policy urlnews
# 在URL过滤策略urlnews中,配置URL过滤分类news绑定的动作为允许。
[Device-url-filter-policy-urlnews] category news action permit
# 在URL过滤策略urlnews中,配置预定义URL过滤分类Pre-Games绑定的动作为丢弃并生成日志。
[Device-url-filter-policy-urlnews] category Pre-Games action drop logging
# 在URL过滤策略urlnews中,配置策略的缺省动作为丢弃和打印日志。
[Device-url-filter-policy-urlnews] default-action drop logging
[Device-url-filter-policy-urlnews] quit
(5) 配置DPI应用profile
# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。
[Device] app-profile sec
# 在DPI应用profile sec中应用URL过滤策略urlnews。
[Device-app-profile-sec] url-filter apply policy urlnews
[Device-app-profile-sec] quit
# 激活URL过滤策略和规则配置。
[Device] inspect activate
(6) 配置对象策略
# 创建名为urlfilter的IPv4对象策略,并进入对象策略视图。
[Device] object-policy ip urlfilter
# 对源IP地址对象组urlfilter对应的报文进行深度检测,引用的DPI应用profile为sec。
[Device-object-policy-ip-urlfilter] rule inspect sec source-ip urlfilter destination-ip any
[Device-object-policy-ip-urlfilter] quit
(7) 配置安全域间实例并应用对象策略
# 创建源安全域Trust到目的安全域Untrust的安全域间实例,并应用对源IP地址对象组urlfilter对应的报文进行深度检测的对象策略urlfilter。
[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-Trust-Untrust] object-policy apply ip urlfilter
[Device-zone-pair-security-Trust-Untrust] quit
以上配置生效后,Trust安全域的主机A、主机B和主机C都可以访问Untrust安全域的Web Server上的www.sina.com,但是都不能访问游戏类的网页。Trust安全域的主机尝试访问游戏类的URL请求将会被Device阻断并且打印日志。
如图1-7所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源,以及DMZ安全域的FTP服务器。FTP服务器根目录下保存了最新的URL过滤特征库文件url-1.0.2-encrypt.dat,FTP服务器的登录用户名和密码分别为url和123。现有组网需求如下:
手动离线升级URL过滤特征库,加载最新的URL过滤分类。
图1-7 手动离线升级URL过滤特征库配置组网图
(1) 配置各接口的IP地址(略)
(2) 配置Device与FTP Server互通
# 配置ACL 2001,定义规则允许所有报文通过。
<Device> system-view
[Device] acl basic 2001
[Device-acl-ipv4-basic-2001] rule permit
[Device-acl-ipv4-basic-2001] quit
# 向安全域DMZ中添加接口GigabitEthernet1/0/3。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
# 创建源安全域Local到目的安全域DMZ的安全域间实例,允许Local域用户访问DMZ域的报文可以通过。
[Device] zone-pair security source local destination dmz
[Device-zone-pair-security-Local-DMZ] packet-filter 2001
[Device-zone-pair-security-Local-DMZ] quit
# 创建源安全域DMZ到目的安全域Local的安全域间实例,允许DMZ域用户访问Local域的报文可以通过。
[Device] zone-pair security source dmz destination local
[Device-zone-pair-security-DMZ-Local] packet-filter 2001
[Device-zone-pair-security-DMZ-Local] quit
(3) 创建安全域并将接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 升级特征库
# 采用FTP方式手动离线升级设备上的URL过滤特征库,且被加载的URL特征库文件名为url-1.0.2-encrypt.dat。
[Device] url-filter signature update ftp://url:[email protected]/url-1.0.2-encrypt.dat
URL过滤特征库升级后,可以通过display url-filter signature library命令查看当前特征库的版本信息。
如图1-8所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源。现有组网需求如下:
配置每周六上午九点前后半小时内,定期自动在线升级设备的URL过滤特征库。
图1-8 定期自动在线升级URL过滤特征库配置组网图
(1) 配置各接口的IP地址(略)
(2) 配置设备解析官方网站对应IP地址的域名解析功能(略)
(3) 配置对象策略保证Trust安全域的局域网用户可以访问Untrust安全域的Internet资源(略)
(4) 配置定期自动在线升级URL过滤特征库
# 开启自动在线升级URL过滤特征库功能,并进入自动在线升级配置视图。
<Device> system-view
[Device] url-filter signature auto-update
# 设置定期自动在线升级URL过滤特征库计划为:每周六上午9:00:00自动在线升级,抖动时间为60分钟。
[Device-url-filter-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60
[Device-url-filter-autoupdate] quit
设置的定期自动在线升级URL过滤特征库时间到达后,可以通过display url-filter signature library命令查看当前特征库的版本信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!