• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

05-对象

目录

09-URL过滤

本章节下载 09-URL过滤  (528.95 KB)

09-URL过滤

URL过滤

 

本帮助主要介绍以下内容:

·     特性简介

○          URL简介

○          URL过滤规则

○          URL过滤分类

○          URL过滤配置文件

○          URL过滤黑/白名单规则

○          URL过滤分类云端查询

○          URL过滤动作

○          HTTPS流量过滤功能

○          URL过滤实现流程

·     使用限制和注意事项

○          URL过滤功能支持情况说明

○          关于文本方式匹配中通配符的使用限制

○          关于正则表达式的使用限制

○          白名单功能注意事项

○          配置文件激活功能注意事项

○          License使用限制

○          HTTPS流量过滤功能注意事项

·     配置指南

○          配置URL过滤分类

○          配置云端服务器

○          配置URL过滤配置文件

特性简介

URL过滤功能是指对用户访问的URL进行控制,即允许或禁止用户访问的Web资源,达到规范用户上网行为的目的。

URL简介

URLUniform Resource Locator,统一资源定位符)是互联网上标准资源的地址。URL用来完整、精确的描述互联网上的网页或者其他共享资源的地址,URL格式为:“protocol://hostname[:port]/path/[;parameters][?query]#fragment”,格式示意如-1所示:

图-1 URL格式示意图

 

URL各字段含义如-1所示:

表-1 URL各字段含义表

字段

描述

protocol

表示使用的传输协议,例如HTTP

host

表示存放资源的服务器的主机名或IP地址

[:port]

(可选)传输协议的端口号,各种传输协议都有默认的端口号

/path/

是路径,由零或多个“/”符号隔开的字符串,一般用来表示主机上的一个目录或文件地址

[parameters]

(可选)用于指定特殊参数

[?query]

(可选)表示查询用于给动态网页传递参数,可有多个参数,用“&”符号隔开,每个参数的名和值用“=”符号隔开

URI

URIUniform Resource Identifier,统一资源标识符)是一个用于标示某一互联网资源名称的字符

 

URL过滤规则

URL过滤功能实现的前提条件是对URL的识别。可通过使用URL过滤规则匹配URLhost字段和URI字段的方法来识别URL

URL过滤规则是指对用户HTTP报文中的URL进行匹配的原则,且其分为两种规则:

·     预定义规则:根据设备中的URL过滤特征库自动生成,包括百万级的HostURI。预定义规则能满足多数情况下的URL过滤需求。

·     自定义规则:由管理员手动配置生成,可以通过使用正则表达式或者文本的方式来配置规则中HostURI的内容。

URL过滤规则支持两种匹配方式:

·     文本匹配:使用指定的字符串对HostURI字段进行匹配。

     匹配主机名字段时,首先判断主机名开头或结尾位置是否含有通配符“*”,若均未出现,则URL中的主机名字段与规则中指定的主机名字符串必须完全一致,才能匹配成功;若“*”出现在开头位置,则该字符串或以该字符串结尾的URL会匹配成功;若“*”出现在结尾位置,则该字符串或以该字符串开头的URL会匹配成功。若“*”同时出现在开头或结尾位置,则该字符串或含有该字符串的URL均会匹配成功。

     匹配URI字段时,和主机名字段匹配规则一致。

·     正则表达式匹配:使用正则表达式对HostURI字段进行匹配。例如,规则中配置host的正则表达式为sina.*cn,则Hostnews.sina.com.cnURL会匹配成功。

URL过滤分类

为便于管理员对数目众多的URL过滤规则进行统一部署,URL过滤模块提供了URL过滤分类功能,以便对具有相似特征的URL过滤规则进行归纳以及为匹配这些规则的URL统一指定处理动作。每个URL过滤分类具有一个严重级别属性,该属性值表示对属于此过滤分类URL的处理优先级。

URL过滤分类包括两种类型:

·     预定义分类:根据设备中的URL过滤特征库自动生成,其严重级别不可被修改。

·     自定义分类:由管理员手动配置,可修改其严重级别,可添加URL过滤规则。

URL过滤配置文件

URL过滤配置文件是用于关联所有URL过滤配置的一个实体。一个URL过滤配置文件中可以配置URL过滤分类和处理动作的绑定关系,以及缺省动作(即对未匹配上任何URL过滤规则的报文采取的动作)。

URL过滤黑/白名单规则

URL过滤黑/白名单规则功能根据应用层的信息进行URL过滤。如果用户HTTP报文中的URLURL过滤配置文件中的黑名单规则匹配成功,则丢弃此报文;如果与白名单规则匹配成功,则允许此报文通过。

URL过滤分类云端查询

URL过滤配置文件中开启URL过滤分类云端查询功能后,如果流经设备HTTP报文中的URL与该URL过滤配置文件中的过滤规则匹配失败,则此URL将会被发向云端URL过滤分类服务器进行查询。云端URL过滤分类服务器响应该请求,并向设备发送查询结果,该结果中包含了URL过滤规则及其所属的分类名称,设备根据该结果执行相应的分类处理动作。如果云端返回的分类在设备上没有与其对应的分类动作或者云端URL查询失败,则设备将对此报文执行URL过滤配置文件中的缺省动作。

URL过滤动作

URL过滤配置文件中可以设置配置文件的缺省动作和URL分类的动作,动作具体包括如下:

·     黑名单:表示将该报文的源IP地址加入IP黑名单。若设备上同时开启了IP黑名单过滤功能,则一定时间内(安全动作指定的URL过滤的阻断时间)来自此IP地址的所有报文将被直接丢弃;若没有开启IP黑名单过滤功能,则此IP黑名单不生效。有关IP黑名单过滤功能的详细介绍请参见“攻击防范联机帮助”。

·     丢弃:表示丢弃报文。

·     允许:表示允许报文通过。

·     重定向:表示重定向动作,把符合特征的报文重定向到指定的Web页面上。

·     重置:表示通过发送TCPreset报文从而使TCP连接断开。

·     记录日志:表示生成报文日志动作。开启记录日志功能后此动作才能生效。

HTTPS流量过滤功能

缺省情况下,设备仅对HTTP流量进行URL过滤,如果需要对HTTPS流量进行URL过滤,则可以选择如下方式:

·     使用SSL解密功能:先对HTTPS流量进行解密,然后再进行URL过滤。有关SSL解密功能的详细介绍,请参见“应用代理联机帮助”。

·     开启HTTPS流量过滤功能:不对HTTPS流量进行解密,直接对客户端发送的HTTPSClient HELLO报文中的SNISever Name Indication extension)字段进行检测,从中获取用户访问的服务器域名,使用获取到的域名进行URL过滤。

由于SSL解密功能涉及大量的加解密操作,会对设备的转发性能会产生较大的影响,建议在仅需要对HTTPS流量进行URL过滤业务处理的场景下选择“开启HTTPS流量过滤功能”的方式对HTTPS流量进行URL过滤。

URL过滤实现流程

在开启URL过滤功能的情况下,当用户通过设备使用HTTP访问某个网络资源时,设备将进行URL过滤。URL过滤处理流程如-2所示:

图-2 URL过滤实现流程图

 

URL过滤实现流程如下:

1.     如果报文匹配了某个安全策略,且此策略的动作是允许并引用了URL过滤配置文件,则设备提取报文中的URL字段进行URL过滤规则匹配。

2.     如果报文与设备上URL过滤配置文件中的过滤规则匹配成功,则将进一步做如下判断:

3.     首先判断此URL过滤规则是否属于URL过滤的黑/白名单规则。如果属于URL过滤白名单规则,则直接允许此报文通过;如果属于URL过滤的黑名单规则,则直接将此报文阻断。

4.     如果此URL过滤规则既不属于URL过滤白名单规则也不属于URL过滤黑名单规则,则设备将进行如下判断。

     如果此URL过滤规则属于自定义URL过滤分类,则进一步判断是否同时属于多个自定义URL过滤分类。如果属于多个自定义URL过滤分类,则根据严重级别最高的URL过滤分类的动作对此报文进行处理;如果仅属于一个自定义URL过滤分类,则根据该分类的动作对报文进行处理。

     如果设备上启用了URL信誉功能,则判断此URL过滤规则是否属于URL信誉特征库中的某个攻击分类。如果属于,则根据该攻击分类的动作对报文进行处理。

     如果此URL过滤规则属于预定义URL过滤分类,则进一步判断是否属于多个预定义URL过滤分类。如果属于多个预定义URL过滤分类,则根据严重级别最高的URL过滤分类的动作对报文进行处理;如果仅匹配一个预定义URL过滤分类,则根据该分类的动作对报文进行处理。

5.     如果报文未匹配上任何一条URL过滤配置文件中的过滤规则,则将进一步判断URL过滤配置文件中是否开启了URL过滤分类云端查询功能。如果分类云端查询功能已开启,则将报文中的URL发向云端URL过滤分类服务器进行查询,否则进行第7步的判断。

6.     如果URL云端查询成功,则进行步骤4中对自定义URL过滤分类和预定义URL分类的判断,否则进行步骤7的判断。

7.     如果设备上配置了URL过滤的缺省动作,则根据配置的缺省动作对此报文进行处理;否则直接允许报文通过。

使用限制和注意事项

URL过滤功能支持情况说明

本功能的支持情况与设备型号有关,请以设备实际情况为准。

关于文本方式匹配中通配符的使用限制

使用文本方式对主机名和URI字段进行匹配时,对星号“*”有如下的限制:

·     匹配主机名字段时,“*”只能出现在开头或结尾,表示通配符,代表0到多个任意字符。

·     匹配URI字段时,当“*”出现在开头或结尾,表示通配符,代表0到多个任意字符;当“*”出现在其他位置时,则作为普通字符进行匹配。

关于正则表达式的使用限制

·     正则表达式中,总的分支不能超过四个。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'无效。

·     正则表达式中,括号不能嵌套,即括号中不能有括号。例如'ab((abcs*?))'无效。

·     正则表达式中,分支不支持串联,即分支后面不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'无效。

·     正则表达式中,零次重复量词'*''?'前面必须有四个确定字符。例如'abc*'无效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。

白名单功能注意事项

·     当报文匹配白名单规则时,URL过滤日志中的URL过滤分类将显示为白名单。

·     开启内嵌白名单功能后,当报文与白名单内嵌的网页链接匹配成功时,URL过滤日志中的URL过滤分类将显示为内嵌白名单。

·     开启白名单模式后,当报文与白名单规则匹配失败时,URL过滤日志中的URL过滤分类将显示为黑名单。

配置文件激活功能注意事项

·     配置文件变更后(包括新建、编辑和删除),需要激活才能生效。如需立即激活,请单击<提交>按钮。否则,设备默认40秒后自动激活。激活会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制等。

·     执行“提交”操作后,界面上会提示设置成功,但是配置文件此时可能尚未完成激活,如果此时报文经过设备,可能会出现暂时无法识别的情况。

License使用限制

URL过滤功能需要购买并正确安装License才能使用。License过期后,URL过滤功能可以使用设备中已存在的特征库正常工作,但无法升级特征库且云端查询功能无法使用。关于License的详细介绍请参见“License联机帮助”。

HTTPS流量过滤功能注意事项

·     本功能仅支持基于URL过滤规则中的HOST字段过滤,对于URI字段的信息无法匹配。

·     本功能仅在访问的服务器地址字段为域名的情况下生效,如果服务器地址字段为IP地址,则不生效。

·     如果客户端浏览器启用TLS 1.3降级强化机制功能选项,报文中的SNI字段将会被加密,本功能将失效。

·     如果HTTPS报文不支持SNI字段,本功能将失效。

配置指南

URL过滤功能的配置思路如下图所示:

图-3 URL过滤功能配置指导图

 

配置URL过滤分类

为便于管理员对数目众多的URL过滤规则进行统一部署,URL过滤模块提供了URL过滤分类功能,以便对具有相似特征的URL过滤规则进行归纳以及为匹配这些规则的URL统一指定处理动作。每个URL过滤分类具有一个严重级别属性,该属性值表示对属于此过滤分类URL的处理优先级,数值越大表示严重级别越高。

URL特征库中预定义的URL过滤分类和URL过滤规则不能满足对URL的控制需求时,可以新建URL过滤分类,并在分类中创建URL过滤规则。每个URL过滤规则可以同时属于多个URL过滤分类。

新建自定义URL过滤分类的配置步骤如下:

1.     选择“对象 > 应用安全 > URL过滤 > URL分类”。

2.     在“URL分类”页面单击<新建>按钮,进入“新建自定义URL过滤分类”页面。

3.     新建自定义URL过滤分类,具体配置内容如下:

表-2 自定义URL过滤分类配置内容

参数

说明

名称

URL分类的名称,不能以字符”Pre-“开头,因为Pre-是预定义的URL分类名称

描述

通过合理编写描述信息,便于管理员快速理解和识别URL分类的作用,有利于后期维护

优先级

URL的严重级别属性,创建URL过滤分类时必须配置此参数,数值越大表示严重级别越高,且不同的URL过滤分类的严重级别不能相同

包含预定义分类

为指定的URL过滤分类添加预定义分类中的所有URL规则

 

4.     单击<添加>按钮,添加URL。主机名表示对URL中的主机名字段进行过滤,URI表示对URL中的URI字段进行过滤。文本表示使用指定的字符串对主机名和URI字段进行匹配,正则表达式表示使用正则表达式对主机名和URI字段进行匹配。

5.     单击<确定>按钮,添加URL成功,返回新建自定义URL过滤分类页面。

6.     单击<确定>按钮,新建自定义URL过滤分类成功,且会在“URL过滤分类”页面的自定义分类中显示。

配置云端服务器

云端服务器的具体配置步骤如下:

1.     选择“对象 > 应用安全 > URL过滤 > URL分类”。

2.     在“URL分类”页面单击<配置>按钮,进入“配置云端服务器”页面。

3.     云端服务器的具体配置内容如下:

表-3 云端服务器配置内容

参数

说明

服务器地址

云端服务器的地址,支持输入IP地址或者域名。目前,仅支持配置我司云端服务器

缓存URL条数

设备会将云端服务器返回的查询结果缓存在URL过滤缓存中,本参数用于配置URL过滤缓存中可以缓存的URL条数

缓存最短保留时间

本参数用于配置URL缓存的最短保留时长。未达到最短保留时间的URL不会被删除。但是当配置的URL缓存条数小于当前已缓存的数目时,设备将从URL过滤缓存中删除最老的URL,即使该URL未达到最短保留时间,也将被删除

 

配置URL过滤配置文件

在一个URL过滤配置文件中可以开启云端查询功能,可以配置文件的缺省动作,可以配置黑/白名单,也可以为不同的URL分类指定不同的动作。

若报文成功匹配的URL过滤规则同属于多个URL分类,则根据严重级别最高的URL过滤中指定的动作对此报文进行处理。

白名单的优先级高于黑名单的优先级。

URL过滤配置文件的具体配置步骤如下:

1.     选择“对象 > 应用安全 > URL过滤 > 配置文件”。

2.     在“URL过滤配置文件”页面单击<新建>按钮,进入“新建URL过滤配置文件”页面。

3.     新建URL过滤配置文件,具体配置内容如下:

表-4 URL过滤配置文件配置内容

参数

说明

名称

URL过滤配置文件的名称

缺省动作

当报文没有与URL过滤配置文件中的规则匹配成功时,设备将根据配置文件中配置的缺省动作对此报文进行处理。缺省动作包括丢弃、允许、黑名单、重置和重定向

开启云端查询功能

开启此功能后,若流经设备HTTP报文中的URL与该URL过滤配置文件中的过滤规则匹配失败,则此URL将会被发向云端URL过滤分类服务器进行查询

记录日志

URL过滤日志是为了满足管理员审计需求。开启记录日志功能后,设备将对与URL过滤规则匹配成功的报文生成日志信息,配置记录日志动作前需要先配置缺省动作

开启HTTPS流量过滤功能

开启本功能后,设备可以对未解密的HTTPS流量进行URL过滤

如果同时开启了SSL解密功能,本功能将失效。有关SSL解密功能的详细介绍,请参见“应用代理联机帮助”

开启内嵌白名单功能

开启本功能后,设备允许用户访问白名单网页下内嵌的其他网页链接

白名单模式

开启本功能后,设备仅允许用户访问URL过滤白名单中的网站,其他网站均不允许访问

白名单

若报文与白名单中的规则匹配成功,则直接允许此报文通过

黑名单

若报文与黑名单中的规则匹配成功,则直接丢弃此报文

URL过滤分类动作

若报文成功匹配的URL过滤规则同属于多个URL过滤分类,则根据严重级别最高的URL过滤分类中指定的动作对此报文进行处理;若报文成功匹配的URL过滤规则只属于一个URL过滤分类,则根据该规则所属的URL过滤分类的动作对此报文进行处理。动作包括丢弃、允许、黑名单、重置、重定向和记录日志。其中,配置记录日志动作前需要先配置其他动作

URL信誉

URL信誉功能用于阻断恶意URL。开启URL信誉功能后,设备将提取报文中的URLURL信誉特征库进行匹配,匹配成功则执行URL所属攻击类型的动作,如果匹配失败,则放行该报文

动作配置

本功能用于配置URL所属攻击类型的动作,当报文中提取的URLURL信誉特征库匹配成功时,则对报文执行URL所属攻击类型的动作

 

4.     单击<确定>按钮,新建URL配置文件成功,且会在“URL过滤配置文件”页面中显示。

5.     在安全策略的内容安全配置中引用此URL过滤配置文件,有关安全策略的详细配置介绍请参见“安全策略联机帮助”。

6.     新建配置文件后,需要激活才能生效。如需立即激活,请单击<提交>按钮。否则,设备默认40秒后自动激活。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们