04-URL过滤配置
本章节下载: 04-URL过滤配置 (475.00 KB)
URL过滤功能是指对用户访问的URL进行控制,即允许或禁止用户访问的Web资源,达到规范用户上网行为的目的。
URL(Uniform Resource Locator,统一资源定位符)是互联网上标准资源的地址。URL用来完整、精确的描述互联网上的网页或者其他共享资源的地址,URL格式为:“protocol://host[:port]/path/[;parameters][?query]#fragment”,格式示意如图1-1所示:
图1-1 URL格式示意图
URL各字段含义如表1-1所示:
表1-1 URL各字段含义表
字段 |
描述 |
protocol |
表示使用的传输协议,例如HTTP |
host |
表示存放资源的服务器的主机名或IP地址 |
[:port] |
(可选)传输协议的端口号,各种传输协议都有默认的端口号 |
/path/ |
是路径,由零或多个“/”符号隔开的字符串,一般用来表示主机上的一个目录或文件地址 |
[parameters] |
(可选)用于指定特殊参数 |
[?query] |
(可选)表示查询用于给动态网页传递参数,可有多个参数,用“&”符号隔开,每个参数的名和值用“=”符号隔开 |
URI |
URI(Uniform Resource Identifier,统一资源标识符)是一个用于标示某一互联网资源名称的字符 |
URL过滤功能实现的前提条件是对URL的识别。可通过使用URL过滤规则匹配URL中主机名字段和URI字段的方法来识别URL。
URL过滤规则是指对用户HTTP报文中的URL进行匹配的原则,且其分为两种规则:
· 预定义规则:根据设备中的URL过滤特征库自动生成,包括百万级的主机名或URI。预定义规则能满足多数情况下的URL过滤需求。
· 自定义规则:由管理员手动配置生成,可以通过使用正则表达式或者文本的方式配置规则中主机名或URI的内容。
URL过滤规则支持两种匹配方式:
· 文本匹配:使用指定的字符串对主机名和URI字段进行匹配。
¡ 匹配主机名字段时,首先判断主机名开头或结尾位置是否含有通配符“*”,若均未出现,则URL中的主机名字段与规则中指定的主机名字符串必须完全一致,才能匹配成功;若“*”出现在开头位置,则该字符串或以该字符串结尾的URL会匹配成功;若“*”出现在结尾位置,则该字符串或以该字符串开头的URL会匹配成功。若“*”同时出现在开头或结尾位置,则该字符串或含有该字符串的URL均会匹配成功。
¡ 匹配URI字段时,和主机名字段匹配规则一致。
· 正则表达式匹配:使用正则表达式对主机名和URI字段进行匹配。例如,规则中配置主机名的正则表达式为sina.*cn,则主机名为news.sina.com.cn的URL会匹配成功。
为便于管理员对数目众多的URL过滤规则进行统一部署,URL过滤模块提供了URL过滤分类功能,以便对具有相似特征的URL过滤规则进行归纳以及为匹配这些规则的URL统一指定处理动作。每个URL过滤分类具有一个严重级别属性,该属性值表示对属于此过滤分类URL的处理优先级。
URL过滤分类包括两种类型:
· 预定义分类:根据设备中的URL过滤特征库自动生成,其名称、内容和严重级别不可被修改。名称以Pre-开头。设备为预定义URL过滤分类保留的严重级别为最低,取值范围为1~999。URL过滤支持两级分类,包含父分类和子分类。仅支持预定义父分类,且父分类下仅包含预定义子分类。
· 自定义分类:由管理员手动配置,可修改其严重级别,可添加URL过滤规则。自定义分类严重级别的取值范围为1000~65535。
URL信誉功能用于对恶意的URL进行过滤,允许或禁止用户访问某些网站,达到规范用户上网行为的目的。当报文中的URL匹配到URL信誉特征库中的URL后,设备将对报文执行相应的操作。
URL信誉特征库主要是一些恶意URL的集合,包含每个URL所属的攻击类型等信息。
可通过URL过滤黑/白名单规则快速筛选出不需要进行URL过滤的报文。如果报文中的URL与URL过滤策略中的黑名单规则匹配成功,则丢弃此报文;如果与白名单规则匹配成功,则允许此报文通过。
一个URL过滤策略中可以配置如下内容:
· URL过滤分类及其处理动作。其中,处理动作包括:丢弃、允许、阻断、重置、重定向和生成日志。
· URL过滤黑/白名单规则。
· URL信誉功能。
· URL过滤分类云端查询功能。
以及对于未匹配到URL过滤策略(包括URL过滤分类、URL过滤黑/白名单和URL信誉)时,设备对报文执行的缺省动作。
当用户通过设备使用HTTP访问某个网络资源时,设备将对此HTTP报文进行URL过滤。URL过滤处理流程如图1-2所示:
图1-2 URL过滤实现流程图
URL过滤功能是通过在DPI应用profile中引用URL过滤策略,并在安全策略中引用DPI应用profile来实现的,URL过滤实现流程如下:
(2) 设备对报文进行规则(即安全策略规则)匹配:
如果规则引用了URL过滤业务,设备将对匹配了规则的报文进行URL过滤业务处理。设备将提取报文的URL字段,并与URL过滤规则进行匹配。
有关安全策略的详细介绍请参见“安全配置指导”中的“安全策略”。
(3) 设备提取报文中的URL,并将其与URL过滤策略中的过滤规则进行匹配,如果匹配成功,则进行下一步处理;如果匹配失败,则进入步骤(5)的处理。
(4) 首先判断匹配的规则中是否存在URL过滤黑/白名单规则,如果存在白名单规则,设备将直接允许此报文通过;如果不存在白名单规则,则继续判断是否存在黑名单规则,如果存在,则设备将直接阻断此报文。其中,如果开启仅支持白名单功能,则仅判断匹配的规则中是否存在白名单规则。如果存在,则允许此报文通过;如果不存在,则将此报文阻断。不再进行后续流程的判断。
(5) 如果匹配的规则中不存在URL过滤黑/白名单规则,则进行如下判断:
a. 如果匹配的规则中存在自定义URL过滤分类规则,则根据各规则所属分类中严重级别最高的分类的动作对报文进行处理。如果匹配的规则中不存在自定义URL过滤分类规则,则继续进行下一步处理。
b. 如果设备上启用了URL信誉功能,则判断匹配的规则中是否存在URL信誉特征库中的某个攻击分类规则。如果存在,则根据该规则所属攻击分类的动作对报文进行处理;如果不存在,则继续进行下一步处理。
c. 如果匹配的规则中存在预定义URL过滤分类规则,则根据各规则所属分类中严重级别最高的分类的动作对报文进行处理。
(6) 如果URL过滤分类云端查询功能已开启,则判断URL是否匹配URL过滤缓存规则(该规则为云端服务器的历史查询结果,包含URL及其所属分类的名称)。如果匹配成功,则进入步骤(4)中预定义URL过滤分类规则的匹配。如果匹配失败,则进入步骤(6)处理,并同时将报文中的URL发往云端服务器进行查询。云端查询后,查询结果将被缓存到URL过滤缓存中。如果URL过滤分类云端查询功能未开启,则进入步骤(6)的处理。
(7) 如果设备上配置了URL过滤的缺省动作,则根据配置的缺省动作对此报文进行处理;否则直接允许报文通过。
URL过滤特征库是用来对经过设备的用户访问Web请求中的URL进行识别的资源库。随着互联网业务的不断变化和发展,需要及时升级设备中的URL过滤特征库,同时设备也支持URL过滤特征库回滚功能。
URL过滤特征库的升级包括如下几种方式:
· 定期自动在线升级:设备根据管理员设置的时间定期自动更新本地的URL过滤特征库。
· 立即自动在线升级:管理员手工触发设备立即更新本地的URL过滤特征库。
· 手动离线升级:当设备无法自动获取URL过滤特征库时,需要管理员先手动获取最新的URL过滤特征库,再更新本地的URL过滤特征库。
如果管理员发现设备当前URL过滤特征库对用户访问Web的URL过滤的误报率较高或出现异常情况,则可以将其回滚到出厂版本和上一版本。
URL过滤特征库升级和URL过滤分类云端查询功能需要购买并正确安装License后才能使用。License过期后,URL过滤功能可以采用设备中已有的URL过滤特征库正常工作,但无法升级到比当前版本高的特征库,且无法进行URL过滤分类云端查询。关于License的详细介绍请参见“基础配置指导”中的“License管理”。
URL过滤配置任务如下:
(1) (可选)配置URL过滤分类
(2) (可选)配置URL过滤分类云端查询
(3) 配置URL过滤策略
(4) (可选)复制URL过滤策略或分类
(6) (可选)激活URL过滤的策略和规则配置
(7) 在安全策略中引用URL过滤业务
(8) 配置URL过滤特征库升级和回滚
(9) (可选)配置URL信誉特征库升级和回滚
(10) (可选)开启应用层检测引擎日志信息功能
(11) (可选)配置URL过滤日志信息筛选功能
当URL过滤特征库中预定义的URL过滤分类和URL过滤规则不能满足对URL的控制需求时,管理员可以自行创建URL过滤分类,并在分类中创建URL过滤规则。
不同URL过滤分类的严重级别不能相同,数值越大表示严重级别越高。
(1) 进入系统视图。
system-view
(2) 创建URL过滤分类,并进入URL过滤分类视图。
url-filter category category-name [ severity severity-level ]
缺省情况下,只存在预定义的URL过滤分类,且分类名称以字符串Pre-开头。
自定义的URL过滤分类不能以字符串Pre-开头。
(3) (可选)配置URL过滤分类的描述信息。
description text
(4) 配置URL过滤规则,请至少选择其中一项进行配置。
¡ 配置自定义URL过滤规则。
rule rule-id host { regex regex | text string } [ uri { regex regex | text string } ]
¡ 添加预定义URL过滤分类中的规则。
include pre-defined category-name
缺省情况下,URL过滤分类中未添加预定义URL过滤分类中的规则。
(5) (可选)重命名URL过滤分类,并进入新的URL过滤分类视图。
rename new-name
在URL过滤策略中开启URL过滤分类云端查询功能后,可提高设备识别HTTP报文的准确率,实现对报文的准确控制。
从云端服务器学习到的URL过滤规则会被缓存在设备的URL过滤缓存中进行报文匹配。URL过滤缓存的记录上限和规则的最短保留时间可以根据实际组网环境进行调整。有关云端服务器的详细介绍,请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
(1) 进入系统视图。
system-view
(2) 配置云端服务器的主机名。
inspect cloud-server host-name
缺省情况下,云端服务器的主机名为sec.h3c.com。
(3) (可选)配置URL过滤缓存区可缓存记录的上限。
url-filter cache size cache-size
缺省情况下,URL过滤缓存区可缓存记录的上限为16384。
(4) (可选)配置URL过滤缓存规则的最短保留时间。
url-filter cache-time value
缺省情况下,URL过滤缓存规则的最短保留时间为10分钟。
(5) 进入URL过滤策略视图。
url-filter policy policy-name
(6) 开启URL过滤分类云端查询功能。
cloud-query enable
缺省情况下,URL过滤分类云端查询功能处于关闭状态。
URL过滤功能基于URL过滤策略实现,请选择以下一项任务进行配置:
¡ 配置URL过滤分类动作
¡ 配置URL过滤分类缺省动作
¡ (可选)配置白名单/黑名单规则
URL信誉功能需要购买并正确安装License才能使用。License过期后,URL信誉功能可以采用设备中已有的特征库正常工作,但无法升级特征库。关于License的详细介绍请参见“基础配置指导”中的“License管理”。
若动作配置为logging,生成的日志信息不会输出到控制台和监视终端。如需获取该日志,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。
(1) 进入系统视图。
system-view
(2) 创建URL过滤策略,并进入URL过滤策略视图。
url-filter policy policy-name
(3) 配置URL过滤分类动作。
category category-name action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
缺省情况下,未配置URL过滤分类动作。
若报文成功匹配的URL过滤规则中存在多个URL过滤分类的规则,则根据严重级别最高的URL过滤分类中指定的动作对此报文进行处理。
(4) (可选)配置URL过滤策略的缺省动作。
default-action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
(5) (可选)向URL过滤策略中添加黑/白名单规则。
add { blacklist | whitelist } [ id ] host { regex host-regex | text host-name } [ uri { regex uri-regex | text uri-name } ]
(6) (可选)开启内嵌白名单功能。
referer-whitelist enable
缺省情况下,内嵌白名单功能处于开启状态,用户可以访问白名单网页下内嵌的其他网页链接。
(7) (可选)开启URL信誉功能。
url-reputation enable
缺省情况下,URL信誉功能处于关闭状态。
(8) (可选)配置对指定URL信誉攻击分类执行的操作。
attack-category attack-id action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
缺省情况下,未配置对指定URL信誉攻击分类执行的操作,设备对匹配攻击分类的报文执行允许动作,并记录日志。
(9) (可选)重命名URL过滤策略,并进入新的URL过滤策略视图。
rename new-name
当管理员只希望通过配置白名单指定内部用户可以访问的网站,不想进行其他复杂配置时(例如配置URL过滤分类、URL过滤分类动作和URL过滤策略缺省动作),可以开启仅支持URL过滤白名单功能。
开启URL过滤白名单功能后,设备仅允许用户访问白名单规则中定义的网站,其他网站均不允许访问。
(1) 进入系统视图。
system-view
(2) 创建URL过滤策略,并进入URL过滤策略视图。
url-filter policy policy-name
(3) 向URL过滤策略中添加白名单规则。
add whitelist [ id ] host { regex host-regex | text host-name } [ uri { regex uri-regex | text uri-name } ]
(4) (可选)开启内嵌白名单功能。
referer-whitelist enable
缺省情况下,内嵌白名单功能处于开启状态,用户可以访问白名单网页下内嵌的其他网页链接。
(5) 开启仅支持URL过滤白名单功能。
whitelist-only enable
缺省情况下,仅支持URL过滤白名单功能处于关闭状态。
此功能用来复制已存在的URL过滤策略,可以方便用户快速创建URL过滤策略。
(1) 进入系统视图
system-view
(2) 复制URL过滤策略
url-filter copy policy old-name new-name
此功能用来复制已存在的URL过滤分类,可以方便用户快速创建URL过滤分类。
在复制URL过滤分类时,如果指定优先级与已经存在的分类优先级相同,则复制失败。
(1) 进入系统视图。
system-view
(2) 复制URL过滤分类。
url-filter copy category old-name new-name severity severity-level
DPI应用profile是一个安全业务的配置模板,为实现URL过滤功能,必须在DPI应用porfile中引用指定的URL过滤策略。
一个DPI应用profile中只能引用一个URL过滤策略,如果重复配置,则后配置的覆盖已有的。
(1) 进入系统视图。
system-view
(2) 进入DPI应用profile视图。
app-profile app-profile-name
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
(3) 在DPI应用profile中引用URL过滤策略。
url-filter apply policy policy-name
缺省情况下,DPI应用profile中未引用URL过滤策略。
缺省情况下,当URL过滤业务发生配置变更时(即策略或规则被创建、修改和删除),系统将会检测在20秒的间隔时间内是否再次发生了配置变更,并根据判断结果执行如下操作:
· 如果间隔时间内未发生任何配置变更,则系统将在下一个间隔时间结束时(即40秒时)执行一次激活操作,使这些策略和规则的配置生效。
· 如果间隔时间内再次发生了配置变更,则系统将继续按照间隔时间周期性地检测是否发生配置变更。
如果用户希望对变更的配置立即进行激活,可执行inspect activate命令手工激活,使配置立即生效。
有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
(1) 进入系统视图。
system-view
(2) 激活URL过滤策略和规则配置。
inspect activate
缺省情况下,URL过滤策略和规则被创建、修改和删除后,系统会自动激活配置使其生效。
执行此命令会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制等。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则的动作为允许。
action pass
缺省情况下,安全策略规则动作是丢弃。
(5) 配置安全策略规则引用DPI应用profile。
profile app-profile-name
缺省情况下,安全策略规则中未引用DPI应用profile。
· 请勿删除设备存储介质根目录下的/dpi/文件夹,否则设备升级或回滚特征库会失败。
· 当系统内存使用状态处于告警门限状态时,请勿进行特征库升级或回滚,否则易造成设备特征库升级或回滚失败,进而影响URL过滤业务的正常运行。有关内存告警门限状态的详细介绍请参见“基础配置指导”中的“设备管理”。
· 自动在线升级(包括定期自动在线升级和立即自动在线升级)URL过滤特征库时,需要确保设备能通过静态或动态域名解析方式获得官方网站的IP地址,并与之路由可达,否则设备升级URL过滤特征库会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
· 同一时刻只能对一个特征库进行升级,如果当前已有其他特征库正在升级,请稍后再试。
如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的URL过滤特征库进行升级。
(1) 进入系统视图。
system-view
(2) 开启定期自动在线升级URL过滤特征库功能,并进入自动在线升级配置视图。
url-filter signature auto-update
缺省情况下,定期自动在线升级URL过滤特征库功能处于关闭状态。
(3) 配置定期自动在线升级URL过滤特征库的时间。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情况下,设备在每天01:00:00至03:00:00之间开始自动升级URL过滤特征库。
当管理员发现官方网站上的特征库服务专区中的URL过滤特征库有更新时,可以选择立即自动在线升级方式来及时升级URL过滤特征库版本。
(1) 进入系统视图。
system-view
(2) 立即自动在线升级URL过滤特征库。
url-filter signature auto-update-now
如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级URL过滤特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的URL过滤特征库版本。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的URL过滤特征库版本。
使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。
如果管理员希望手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IP地址是一个特定的地址时,可配置source参数。例如,当组网环境中设备发出的报文需要经过NAT地址转换后才能访问TFTP、FTP服务器时,则需要管理员通过source参数指定一个符合NAT地址转换规则的源IP地址(其中,如果设备需要经过一台独立的NAT设备进行地址转换时,本命令指定的IP地址必须可以与NAT设备三层路由可达),使设备发出的报文可以进行NAT地址转换等处理,正常访问TFTP、FTP服务器。
当同时配置了source和vpn-instance参数时,需要保证source中指定的源IP地址或接口所属VPN实例与vpn-instance中配置的VPN实例相同。
(1) 进入系统视图。
system-view
(2) 手动离线升级URL过滤特征库。
url-filter signature update file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]
H3C官方网站上的特征库服务专区根据设备的内存大小以及软件版本为用户提供了不同的特征库。管理员需要根据设备实际情况获取相应的特征库,如果为小内存设备(8GB以下)升级了适用于大内存设备(8GB以上)的特征库,可能会导致设备异常,请谨慎操作。
URL过滤特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前URL过滤特征库版本是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
(1) 进入系统视图。
system-view
(2) 回滚URL过滤特征库。
url-filter signature rollback { factory | last }
请勿删除设备存储介质根目录下的/dpi/文件夹,否则设备升级或回滚特征库会失败。
当系统内存使用状态处于告警门限状态时,请勿进行特征库升级或回滚,否则易造成设备特征库升级或回滚失败,进而影响URL信誉功能的正常运行。有关内存告警门限状态的详细介绍请参见“基础配置指导”中的“设备管理”。
自动在线升级(包括定期自动在线升级和立即自动在线升级)URL信誉特征库时,需要确保设备能通过静态或动态域名解析方式获得官方网站的IP地址,并与之路由可达,否则设备升级URL信誉特征库会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
同一时刻只能对一个特征库进行升级,如果当前已有其他特征库正在升级,请稍后再试。
如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的URL信誉特征库进行升级。
(1) 进入系统视图。
system-view
(2) 开启定期自动在线升级URL信誉特征库功能,并进入自动在线升级配置视图。
url-reputation signature auto-update
缺省情况下,定期自动在线升级URL信誉特征库功能处于关闭状态。
(3) 配置定期自动在线升级URL信誉特征库的时间。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情况下,设备在每天01:00:00至03:00:00之间开始自动升级URL信誉特征库。
当管理员发现官方网站上的特征库服务专区中的URL信誉特征库有更新时,可以选择立即自动在线升级方式来及时升级URL信誉特征库版本。
执行此命令后,将立即自动升级设备上的URL信誉特征库,且会备份当前的URL信誉特征库文件。此命令的生效与否,与是否开启了定期自动升级URL信誉特征库功能无关。
(1) 进入系统视图。
system-view
(2) 立即自动在线升级URL信誉特征库。
url-reputation signature auto-update-now
如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级URL信誉特征库版本:
· 本地升级:使用设备本地保存的特征库文件升级系统中的URL信誉特征库版本,使用此方式前,请先从官方网站获取特征库文件并导入到设备中。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统中的URL信誉特征库版本。
使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。
如果管理员希望手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IP地址是一个特定的地址时,可配置source参数。例如,当组网环境中设备发出的报文需要经过NAT地址转换后才能访问TFTP、FTP服务器时,则需要管理员通过source参数指定一个符合NAT地址转换规则的源IP地址(其中,如果设备需要经过一台独立的NAT设备进行地址转换时,本命令指定的IP地址必须可以与NAT设备三层路由可达),使设备发出的报文可以进行NAT地址转换等处理,正常访问TFTP、FTP服务器。
当同时配置了source和vpn-instance参数时,需要保证source中指定的源IP地址或接口所属VPN实例与vpn-instance中配置的VPN实例相同。
(1) 进入系统视图。
system-view
(2) 手动离线升级URL信誉特征库。
url-reputation signature update file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]
URL信誉特征库回滚是指将当前的URL信誉特征库版本回滚到上一次的版本。如果管理员发现设备当前URL信誉特征库版本在检测和防御网络攻击时,误报率较高或出现异常情况,则可以对当前URL信誉特征库版本进行回滚。
URL信誉特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前URL信誉特征库是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
(1) 进入系统视图。
system-view
(2) 回滚URL信誉特征库。
url-reputation signature rollback last
应用层检测引擎日志是为了满足管理员审计需求。设备生成应用层检测引擎日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
(1) 进入系统视图。
system-view
(2) 开启应用层检测引擎日志信息功能。
url-filter log enable
缺省情况下,生成应用层检测引擎日志信息功能处于关闭状态。
开启URL过滤日志功能后(即执行category action logging或default-action logging命令)会产生大量的日志信息,不利于查看和分析。管理员可从以下方式中任选其一,对需要进行日志记录的资源进行筛选:
· 仅对网站根目录下资源的访问进行日志记录
· 对指定类型的网页资源的访问不进行日志记录
(1) 进入系统视图。
system-view
(2) 配置URL过滤仅对网站根目录下资源的访问进行日志记录。
url-filter log directory root
缺省情况下,URL过滤对网站所有路径下资源的访问均进行日志记录。
(1) 进入系统视图。
system-view
(2) 配置URL过滤不进行日志记录访问的网页资源类型。
¡ 配置URL过滤对指定预定义类型网页资源的访问不进行日志记录。
url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml }
¡ 配置URL过滤对指定自定义类型网页资源的访问不进行日志记录。
url-filter log except user-defined text
缺省情况下,URL过滤仅对预定义类型(即css、gif、ico、jpg、js、png、swf和xml类型)网页资源的访问不进行日志记录。
缺省情况下,设备仅对HTTP流量进行URL过滤,如果需要对HTTPS流量进行URL过滤,则可以选择如下方式:
· 使用SSL解密功能:先对HTTPS流量进行解密,然后再进行URL过滤。有关SSL解密功能的详细介绍,请参见“DPI深度安全配置指导”中的“代理策略”。
· 开启HTTPS流量过滤功能:不对HTTPS流量进行解密,直接对客户端发送的HTTPS的Client HELLO报文中的SNI(Sever Name Indication extension)字段进行检测,从中获取用户访问的服务器域名,使用获取到的域名与URL过滤策略进行匹配。
由于SSL解密功能涉及大量的加解密操作,会对设备的转发性能会产生较大的影响,建议在仅需要对HTTPS流量进行URL过滤业务处理的场景下开启HTTPS流量过滤功能。
本功能仅支持基于URL过滤规则中的HOST字段过滤,对于URI字段的信息无法匹配。
本功能仅在访问的服务器地址字段为域名的情况下生效,如果服务器地址字段为IP地址,本功能不生效。
如果客户端浏览器启用TLS 1.3降级强化机制功能选项,报文中的SNI字段将会被加密,本功能将失效。
如果同时配置SSL解密功能,则本功能失效。
如果HTTPS报文不支持SNI字段,本功能将失效。
(1) 进入系统视图。
system-view
(2) 创建URL过滤策略,并进入URL过滤策略视图。
url-filter policy policy-name
(3) 开启HTTPS流量过滤功能。
https-filter enable
缺省情况下,HTTPS流量过滤功能处于关闭状态,设备仅对HTTP流量进行URL过滤。
完成上述配置后,在任意视图下执行display命令可以显示URL过滤的配置信息和分类信息等。
在用户视图下执行reset命令可以清除URL过滤的统计信息。
其中,display url-reputation attack-category命令仅支持在URL过滤策略视图下执行。
表1-2 URL过滤显示和维护
操作 |
命令 |
查看URL过滤缓存中的信息 |
display url-filter cache |
显示URL过滤父分类或子分类信息 |
display url-filter { category | parent-category } [ verbose ] |
显示URL过滤特征库信息 |
display url-filter signature library |
查看URL过滤的统计信息 |
display url-filter statistics |
显示指定URL过滤策略下的URL信誉攻击分类信息 |
display url-reputation attack-category |
显示URL信誉特征库信息 |
display url-reputation signature library |
清除URL过滤的统计信息 |
reset url-filter statistics |
如图1-3所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有组网需求如下:
· 配置URL过滤功能,允许Trust安全域的主机访问Untrust安全域的Web Server上的www.sina.com。
· 配置预定义URL过滤分类Pre-Games的动作为丢弃并生成日志。
· 配置URL过滤策略的缺省动作为丢弃和生成日志。
图1-3 在安全策略中引用URL过滤业务配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置URL过滤功能
# 创建名为news的自定义URL过滤分类,并在分类中添加主机名www.sina.com。
[Device] url-filter category news severity 2000
[Device-url-filter-category-news] rule 1 host text www.sina.com
[Device-url-filter-category-news] quit
# 创建名为urlnews的URL过滤策略,配置自定义分类news的动作为允许、预定义URL过滤分类Pre-Games的动作为丢弃并生成日志、策略的缺省动作为丢弃和打印日志。
[Device] url-filter policy urlnews
[Device-url-filter-policy-urlnews] category news action permit
[Device-url-filter-policy-urlnews] category Pre-Games action drop logging
[Device-url-filter-policy-urlnews] default-action drop logging
[Device-url-filter-policy-urlnews] quit
(5) 配置DPI应用profile并激活URL过滤策略和规则配置
# 创建名为sec的DPI应用profile,并在DPI应用profile sec中应用URL过滤策略urlnews。
[Device] app-profile sec
[Device-app-profile-sec] url-filter apply policy urlnews
[Device-app-profile-sec] quit
# 激活URL过滤策略和规则配置。
[Device] inspect activate
(6) 配置安全策略
# 配置名称为trust-untrust的安全策略规则,使内网用户可以访问外网,并对交互报文进行URL过滤检测。具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] profile sec
[Device-security-policy-ip-10-trust-untrust] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效后,Trust安全域的主机A、主机B和主机C都可以访问Untrust安全域的Web Server上的www.sina.com,但是都不能访问游戏类的网页。Trust安全域的主机尝试访问游戏类的URL请求将会被Device阻断并且打印日志。
如图1-4所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源,以及DMZ安全域的FTP服务器。FTP服务器根目录下保存了最新的URL过滤特征库文件url-1.0.2-encrypt.dat,FTP服务器的登录用户名和密码分别为url和123。现需要手动离线升级URL过滤特征库,加载最新的URL过滤分类。
图1-4 手动离线升级URL过滤特征库配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
(4) 配置安全策略
¡ 配置安全策略规则放行Trust到Untrust安全域的流量,使内网用户可以访问外网资源
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] quit
¡ 配置安全策略规则放行Trust到DMZ安全域的流量,使内网用户可以访问DMZ安全域中的服务器
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-dmz
[Device-security-policy-ip-11-trust-dmz] source-zone trust
[Device-security-policy-ip-11-trust-dmz] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-11-trust-dmz] destination-zone dmz
[Device-security-policy-ip-11-trust-dmz] action pass
[Device-security-policy-ip-11-trust-dmz] quit
¡ 配置安全策略规则放行设备与FTP服务器之间的流量,使设备可以访问FTP服务器,获取特征库文件
[Device] security-policy ip
[Device-security-policy-ip] rule name downloadlocalout
[Device-security-policy-ip-12-downloadlocalout] source-zone local
[Device-security-policy-ip-12-downloadlocalout] destination-zone dmz
[Device-security-policy-ip-12-downloadlocalout] destination-ip-subnet 192.168.2.0 24
[Device-security-policy-ip-12-downloadlocalout] application ftp
[Device-security-policy-ip-12-downloadlocalout] application ftp-data
[Device-security-policy-ip-12-downloadlocalout] action pass
[Device-security-policy-ip-12-downloadlocalout] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(5) 手动升级URL过滤特征库
# 采用FTP方式手动离线升级设备上的URL过滤特征库,且被加载的URL特征库文件名为url-1.0.2-encrypt.dat。
[Device] url-filter signature update ftp://url:[email protected]/url-1.0.2-encrypt.dat
URL过滤特征库升级后,可以通过display url-filter signature library命令查看当前特征库的版本信息。
如图1-5所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源。现有组网需求如下:
· 配置每周六上午九点前后半小时内,开始定期自动在线升级设备的URL过滤特征库。
图1-5 定期自动在线升级URL过滤特征库配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置DNS服务器地址
# 指定DNS服务器的IP地址为10.72.66.36,确保Device可以获取到官网的IP地址,具体配置步骤如下。
[Device] dns server 10.72.66.36
(5) 配置安全策略
¡ 配置安全策略规则放行Trust到Untrust安全域的流量,使内网用户可以访问外网资源
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] quit
¡ 配置安全策略规则放行Local到Untrust安全域的流量,使设备可以访问官网的特征库服务专区,获取特征库文件
[Device] security-policy ip
[Device-security-policy-ip] rule name downloadlocalout
[Device-security-policy-ip-11-downloadlocalout] source-zone local
[Device-security-policy-ip-11-downloadlocalout] destination-zone untrust
[Device-security-policy-ip-11-downloadlocalout] action pass
[Device-security-policy-ip-11-downloadlocalout] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(6) 配置定期自动在线升级URL过滤特征库
# 设置定期自动在线升级URL过滤特征库计划为:每周六上午9:00:00前后30分钟内开始自动在线升级。
[Device] url-filter signature auto-update
[Device-url-filter-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60
[Device-url-filter-autoupdate] quit
设置的定期自动在线升级URL过滤特征库时间到达后,可以通过display url-filter signature library命令查看当前特征库的版本信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!