20-WEB过滤配置
本章节下载 (241.04 KB)
目 录
在传统的网络安全方案中,对网络攻击的防范主要针对于来自外部的各种攻击。随着网络在各行各业的普及,局域网内部用户访问非法网站,也可能给内部网络带来安全隐患。这就要求网络设备能够过滤内部用户的非法访问请求,以提高内部网络的安全性。
目前设备所支持的Web过滤功能,可以阻止内部用户访问非法的网址,以及对网页内的Java或ActiveX程序进行阻断。Web过滤功能实现了以下功能:
· 网站地址过滤
· URL参数过滤
· Java阻断
· ActiveX阻断
下面将对以上四个功能分别进行介绍。
网站地址过滤通过检查Web请求报文中的URL网站地址,阻止内部用户访问非法和不健康的网站,或者只允许用户访问某些特定的网站。
(1) 设备接收到Web请求报文后,从Web请求报文中获取URL网站地址。
(2) 用设备中已配置的网站地址过滤条目与Web请求报文中的网站地址进行匹配过滤。
(3) 如果存在匹配的过滤条目,且该过滤条目为允许通过,则转发该Web请求。
(4) 如果存在匹配的过滤条目,且该过滤条目为拒绝通过,则丢弃该Web请求,并向发送Web请求的客户端和服务器端发送TCP reset报文。
(5) 如果不存在匹配的过滤条目,则按照网站地址过滤的默认行为允许或拒绝该Web请求通过。
网站地址过滤功能启动以后,系统将默认拒绝所有直接以网站IP地址访问网站的Web请求。通过配置网站地址过滤对网站IP地址的支持,可以允许内网用户直接以网站IP地址访问所有网站或部分网站。
设备接收到以IP地址访问网站的请求报文时,做如下处理:
· 如果允许直接以IP地址访问网站,则允许该报文通过。所有以网站IP地址访问网站的Web请求都可以通过。
· 如果拒绝直接以IP地址访问网站,则检查网站地址过滤的ACL规则。ACL允许通过,则转发该报文,否则丢弃该报文。
目前网页一般都是动态的、与数据库相连的、通过Web请求去数据库中查询或修改所需的数据。这使得不法分子可以通过在Web请求中构造特殊的SQL语句窃取数据库中机密数据,或不断修改数据库的信息导致数据库瘫痪。这种攻击方式被称为SQL注入攻击。
设备使用SQL语句中的关键字以及其它可能产生SQL语句的字符与Web请求报文进行匹配。如果匹配成功,则认为是SQL注入攻击,禁止其通过,这种过滤方式称为URL参数过滤。
Web传输参数的方式有很多种,其中最常用的是get、post方式。参数传输的方式决定了参数所在的位置。设备根据参数的传输方式获取参数,然后进行匹配过滤。目前,设备支持对传输方式为get、post和put的Web请求进行URL参数过滤。
SQL注入攻击一般基于英文URL进行,因此该特性不支持中文URL参数过滤。
设备收到包含URL参数的Web请求报文,根据Web传输参数方式,对报文进行如下处理:
· 如果是非get、post、put方式的Web请求报文,则不做处理,直接通过。
· 如果是get、post、put方式的Web请求报文,则从报文中获取URL参数,并将其与设备上已配置的过滤参数条目进行匹配过滤。如果匹配成功,则拒绝该请求,否则允许报文通过。
通过对不可信站点的Java阻断功能,可以保护网络不受有害的Java Applet的破坏。
Java阻断功能启动后,所有对Web页面中的Java Applet程序的请求将被过滤掉。如果用户仍然希望能够获取部分Web页面的Java Applet程序,必须配置ACL规则,如果ACL规则允许访问,则用户对该Web页面的Java Applet程序的请求可以通过。
· 使能Java Applet阻断功能后,如果没有配置ACL规则,则将所有Web请求报文中的“.class”、“.jar”等文件名后缀都替换为“.block”,然后允许该请求报文通过;
· 使能Java Applet阻断功能后,如果配置有ACL规则,则根据ACL过滤规则来决定Web请求报文中的“.class”、“.jar”是否用“.block”替代。如果Web请求的目的服务器为ACL允许访问的服务器,则不做替代,报文正常通过;否则将后缀替换为“.block”,然后允许该请求报文通过;
Java阻断过滤后缀,即Web请求报文中需要替换的文件名后缀,可通过命令行配置,添加除“.class”、“.jar”之外的阻断后缀关键字。
通过对不可信站点的ActiveX阻断功能,可以保护网络不受有害的ActiveX插件的破坏。
ActiveX阻断功能启动后,所有对Web页面中的ActiveX插件的请求将被过滤掉。如果用户仍然希望能够获取部分Web页面的ActiveX插件,必须配置ACL规则,如果ACL规则允许访问,则用户可以获取该Web页面的ActiveX插件。
· 使能ActiveX阻断功能后,如果没有配置ACL规则,则将所有Web请求报文中的文件名后缀“.ocx”都替换为“.block”,然后允许该报文通过;
· 使能ActiveX阻断功能后,如果配置有ACL规则,则根据ACL过滤规则来决定Web请求报文中的“.ocx”是否用“.block”替代。如果Web请求的目的服务器为ACL允许访问的服务器,则不做替代,报文正常通过;否则将后缀替换为“.block”,然后允许该请求报文通过;
ActiveX阻断过滤后缀,即Web请求报文中需要替换的文件名后缀,可通过命令行配置,添加除“.ocx”之外的阻断后缀关键字。
只有使能网站地址过滤功能后,对网站IP地址的支持功能才会生效。URL参数过滤功能、对不可信站点的Java Applet阻断功能以及ActiveX阻断功能均可以单独启用。
表1-1 配置网站地址过滤
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
使能网站地址过滤功能 |
firewall http url-filter host enable |
必选 缺省情况下,网站地址过滤功能处于关闭状态 |
配置默认过滤行为 |
firewall http url-filter host default { deny | permit } |
可选 缺省情况下,默认的过滤行为为deny |
添加网站过滤地址 |
firewall http url-filter host url-address { deny | permit } url-address |
必选 |
显示网站地址过滤信息 |
display firewall http url-filter host [ all | item keywords | verbose ] [ | { begin | exclude | include } regular-expression ] |
可选 |
表1-2 配置网站地址过滤对网站IP地址的支持
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能网站地址过滤功能 |
firewall http url-filter host enable |
必选 缺省情况下,网站地址过滤功能处于关闭状态 |
配置网站地址过滤对网站IP地址的支持 |
firewall http url-filter host ip-address { deny | permit } |
必选 缺省情况下,网站地址过滤不支持网站IP地址 |
设置网站地址过滤的ACL规则 |
firewall http url-filter host acl acl-number |
可选 缺省情况下,未设置网站地址过滤的ACL规则 |
显示网站地址过滤信息 |
display firewall http url-filter host [ all | item keywords | verbose ] [ | { begin | exclude | include } regular-expression ] |
可选 |
网站地址过滤的ACL规则所定义的源地址必须配置为允许以IP地址形式访问的网站的IP地址。
表1-3 配置URL参数过滤
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能URL参数过滤功能 |
firewall http url-filter parameter enable |
必选 缺省情况下,URL参数过滤功能处于关闭状态 |
添加URL参数过滤条目 |
firewall http url-filter parameter { default | keywords keywords } |
必选 |
显示URL参数过滤信息 |
display firewall http url-filter parameter [ all | item keywords | verbose ] [ | { begin | exclude | include } regular-expression ] |
可选 |
表1-4 配置Java阻断
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能Java阻断功能 |
firewall http java-blocking enable |
必选 缺省情况下,Java阻断功能处于关闭状态 |
添加Java阻断后缀关键字 |
firewall http java-blocking suffix keywords |
可选 |
设置Java阻断的ACL规则 |
firewall http java-blocking acl acl-number |
可选 缺省情况下,未设置Java阻断的ACL规则 |
显示Java阻断信息 |
display firewall http java-blocking [ all | item keywords | verbose ] [ | { begin | exclude | include } regular-expression ] |
可选 |
Java阻断的ACL规则中需要将允许访问的HTTP服务器地址配置为允许通过(permit)的源地址(source)。
表1-5 配置ActiveX阻断
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能ActiveX阻断功能 |
firewall http activex-blocking enable |
必选 缺省情况下,ActiveX阻断功能处于关闭状态 |
添加ActiveX阻断后缀关键字 |
firewall http activex-blocking suffix keywords |
可选 |
设置ActiveX阻断的ACL规则 |
firewall http activex-blocking acl acl-number |
可选 缺省情况下,未设置ActiveX阻断的ACL规则 |
显示ActiveX阻断信息 |
display firewall http activex-blocking [ all | item keywords | verbose ] [ | { begin | exclude | include } regular-expression ] |
可选 |
ActiveX阻断的ACL规则中需要将允许访问的HTTP服务器地址配置为允许通过(permit)的源地址(source)。
在完成上述配置后,在任意视图下执行display命令可以显示配置后Web过滤的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除Web过滤统计信息。
表1-6 Web过滤显示和维护
操作 |
命令 |
显示网站地址过滤信息 |
display firewall http url-filter host [ all | item keywords | verbose ] [ | { begin | exclude | include } regular-expression ] |
显示URL参数过滤信息 |
display firewall http url-filter parameter [ all | item keywords | verbose ] [ | { begin | exclude | include } regular-expression ] |
显示Java阻断信息 |
display firewall http java-blocking [ all | item keywords | verbose ] [ | { begin | exclude | include } regular-expression ] |
显示ActiveX阻断信息 |
display firewall http activex-blocking [ all | item keywords | verbose ] [ | { begin | exclude | include } regular-expression ] |
清除Web过滤统计信息 |
reset firewall http { activex-blocking | java-blocking | url-filter host | url-filter parameter } counter |
局域网192.168.1.0/24网段内的主机通过设备访问Internet。启用网站地址过滤功能,只允许该网段内的用户访问地址为www.webflt.com的网站,同时允许用户可以使用IP地址的方式访问该网站。
(1) 具体的配置步骤
# 配置设备各接口的IP地址(略)。
# 配置设备出接口的NAT策略。
<Router> system-view
[Router] acl number 2200
[Router-acl-basic-2200] rule 0 permit source 192.168.1.0 0.0.0.255
[Router-acl-basic-2200] rule 1 deny source any
[Router-acl-basic-2200] quit
[Router] nat address-group 1 2.2.2.10 2.2.2.11
[Router] interface gigabitethernet 3/0/1
[Router-GigabitEthernet3/0/1] nat outbound 2200 address-group 1
[Router-GigabitEthernet3/0/1] quit
[Router] firewall http url-filter host enable
# 配置仅允许用户访问www.webflt.com,并设置默认过滤行为为禁止。
[Router] firewall http url-filter host url-address permit www.webflt.com
[Router] firewall http url-filter host default deny
# 配置网站地址过滤的ACL规则。
[Router] acl number 2000
[Router-acl-basic-2000] rule 0 permit source 3.3.3.3 0.0.0.0
[Router-acl-basic-2000] rule 1 deny source any
[Router-acl-basic-2000] quit
# 配置允许用户以IP地址的方式访问该网站。
[Router] firewall http url-filter host ip-address deny
[Router] firewall http url-filter host acl 2000
(2) 验证配置结果
局域网内的用户在主机上打开IE浏览器,输入网址http://www.webflt.com或http://3.3.3.3,可以访问该网站。输入其他网址,无法访问对应的网站。
通过display firewall http url-filter host verbose命令查看网站地址过滤的详细信息。
[Router] display firewall http url-filter host verbose
URL-filter host is enabled.
Default method: deny.
The support for IP address: deny.
The configured ACL group is 2000.
There are 1 packet(s) being filtered.
There are 1 packet(s) being passed.
通过display firewall http url-filter host all命令查看网站地址过滤的所有条目信息。
[Router] display firewall http url-filter host all
SN Match-Times Keywords
------------------------------------
1 1 www.webflt.com
局域网192.168.1.0/24网段内的主机通过设备访问Internet。启用URL参数过滤功能,使用用户自定义的参数group过滤Web请求报文。
图1-2 URL参数过滤典型组网图
(1) 具体的配置步骤
# 配置设备各接口的IP地址(略)。
# 配置设备出接口的NAT策略。
<Router> system-view
[Router] acl number 2200
[Router-acl-basic-2200] rule 0 permit source 192.168.1.0 0.0.0.255
[Router-acl-basic-2200] rule 1 deny source any
[Router-acl-basic-2200] quit
[Router] nat address-group 1 2.2.2.10 2.2.2.11
[Router] interface gigabitethernet 3/0/1
[Router-GigabitEthernet3/0/1] nat outbound 2200 address-group 1
[Router-GigabitEthernet3/0/1] quit
# 使能URL参数过滤功能,并添加过滤参数group。
[Router] firewall http url-filter parameter enable
[Router] firewall http url-filter parameter keywords group
(2) 验证配置结果
通过display firewall http url-filter parameter verbose命令查看URL参数过滤的详细信息。
[Router] display firewall http url-filter parameter verbose
URL-filter parameter is enabled.
There are 1 packet(s) being filtered.
There are 2 packet(s) being passed.
通过display firewall http url-filter parameter all命令查看URL参数过滤的所有条目信息。
[Router] display firewall http url-filter parameter all
SN Match-Times Keywords
------------------------------------
1 1 group
局域网192.168.1.0/24网段内的主机通过设备访问Internet。启用Java阻断功能,添加后缀名为“.js”的过滤项,同时只允许网站IP地址为5.5.5.5的Java Applet请求通过。
图1-3 Java阻断典型组网图
(1) 具体的配置步骤
# 配置设备各接口的IP地址(略)。
# 配置设备出接口的NAT策略。
<Router> system-view
[Router] acl number 2200
[Router-acl-basic-2200] rule 0 permit source 192.168.1.0 0.0.0.255
[Router-acl-basic-2200] rule 1 deny source any
[Router-acl-basic-2200] quit
[Router] nat address-group 1 2.2.2.10 2.2.2.11
[Router] interface gigabitethernet 3/0/1
[Router-GigabitEthernet3/0/1] nat outbound 2200 address-group 1
[Router-GigabitEthernet3/0/1] quit
# 配置Java阻断的ACL规则。
[Router] acl number 2100
[Router-acl-basic-2100] rule 0 permit source 5.5.5.5 0.0.0.0
[Router-acl-basic-2100] rule 1 deny source any
[Router-acl-basic-2100] quit
# 使能Java 阻断功能,添加后缀名为.js的过滤项,并配置根据ACL规则进行阻断。
[Router] firewall http java-blocking enable
[Router] firewall http java-blocking suffix .js
[Router] firewall http java-blocking acl 2100
(2) 验证配置结果
通过display firewall http java-blocking verbose命令查看Java阻断的详细信息。
[Router] display firewall http java-blocking verbose
Java blocking is enabled.
The configured ACL group is 2100.
There are 0 packet(s) being filtered.
There are 1 packet(s) being passed.
通过display firewall http java-blocking all命令查看Java阻断的所有条目信息。
[Router] display firewall http java-blocking all
SN Match-Times Keywords
------------------------------------
1 0 .CLASS
2 0 .JAR
3 1 .js
以上信息显示,Java阻断配置有3个过滤条目,“.CLASS”和“.JAR”是缺省条目,“.js”是用户配置的条目,且仅该条目匹配了一次。
· 添加网站地址过滤或URL参数过滤条目时,系统提示不能继续添加新条目。
· 添加Java阻断或ActiveX阻断后缀关键字时,系统提示不能继续添加新后缀关键字。
网站地址过滤条目/URL参数过滤条目/Java阻断后缀关键字/ActiveX阻断后缀关键字数目已经达到系统所允许的最大值。
如果确实需要添加,请先删除部分已配置的条目或关键字,然后再继续配置。
配置网站地址过滤或URL参数过滤条目时,系统提示输入字符错误。
网站地址过滤只允许输入数字、英文字母、“.”、“-”、“_”以及通配符(“^”、“$”、“&”和“*”);URL参数的过滤条目只允许输入数字、英文字母、通配符(“^”、“$”、“&”和“*”)以及其它ASCII字符(31<ASCII值<127)。
检查输入的命令,保证输入字符合法。
配置网站地址过滤或URL参数过滤条目时,系统提示通配符使用错误。
网站地址过滤或URL参数过滤条目通配符的使用上分别有如下限制:
通配符 |
含义 |
使用说明 |
^ |
表明是开头匹配 |
只能出现在过滤关键字的开头,且只能出现一次 |
$ |
表明是结尾匹配 |
只能出现在过滤关键字的结尾,且只能出现一次 |
& |
代替一个字符,不能代替“.” |
可出现任意多个,也可连续出现,可位于过滤关键字的任意位置,不能与“*”一起使用 |
* |
可代替任意多个字符,也可代替空格,不能代替“.” |
在过滤关键字中只能出现一次,可以位于过滤关键字的开头和中间,不能位于结尾,并且不能和“^”、“$”相邻 |
表1-8 URL参数过滤条目通配符含义
通配符 |
含义 |
使用说明 |
^ |
表明是开头匹配 |
只能位于过滤关键字的开头,且只能出现一次 |
$ |
表明是结尾匹配 |
只能位于过滤关键字的结尾,且只能出现一次 |
& |
代替一个字符 |
可出现任意多个,也可连续出现,可位于过滤关键字的任意位置,但不能与“*”相邻,如果出现在开始和结尾的位置,则一定要和“^”或“$”相邻 |
* |
代替长度不超过4个字符的任意字符串,可代替空格 |
只能位于过滤关键字的中间,且只能出现一次 |
根据以上关键字通配符的使用规则正确使用通配符。
在配置Java Applet阻断和ActiveX阻断后缀关键字时,系统提示后缀关键字配置错误。
阻断后缀要求将“.”作为关键字的一部分进行配置,如果未配置“.”或配置时出现多个“.”将发生此错误。
根据阻断后缀的配置要求重新进行配置。
ACL规则配置为允许源地址为指定内网地址,在网站地址过滤、Java Applet阻断或者ActiveX阻断中引用这个ACL,希望指定内网主机发出的报文能够正常通过,发现配置的ACL不起作用。
无论是网站地址过滤,还是Java Applet阻断和ActiveX阻断,都是允许访问某一指定IP地址的外网服务器,而不是内网主机。因为内部网络属于信任区域,不需要对内网的IP地址进行特殊处理。
将外网服务器的IP地址作为ACL规则中的源地址进行配置。
在使能网站地址过滤以后,无法使用IP地址访问HTTP服务器。
网站地址过滤使能以后,缺省情况下不允许通过IP地址访问HTTP服务器。使用IP地址访问HTTP服务器的请求将被过滤掉。
配置ACL,允许访问该HTTP服务器地址的Web请求通过。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!