- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
18-URL信誉配置
本章节下载: 18-URL信誉配置 (239.61 KB)
目 录
URL信誉功能用于对恶意的URL进行过滤,允许或禁止用户访问某些网站,达到规范用户上网行为的目的。当报文中的URL匹配到URL信誉特征库中的URL后,设备将对报文执行相应的操作。
URL信誉特征库主要是一些恶意URL的集合,包含每个URL所属的攻击类型等信息。
URL信誉对报文的处理流程如图1-1所示:
图1-1 URL信誉的报文处理流程图
URL信誉功能对报文的处理过程如下:
(1) 设备提取出报文中的URL。
(2) 设备将URL与特征库中的URL进行匹配。如果匹配失败,则放行报文;如果匹配成功,则进行如下判断:
¡ 如果URL属于一个攻击类型,则执行该攻击类型的动作。
¡ 如果URL同属于多个攻击类型,则执行严重级别最高的动作。
其中,如果动作为“允许”,则设备将允许此报文通过;如果动作为“丢弃”,则设备将丢弃此报文;如果动作为“日志”,则设备将记录URL信誉日志。
URL信誉功能需要购买并正确安装License后才能使用。License过期后,URL信誉功能可以使用设备中已有的特征库正常工作,但无法升级到license有效期之后发布的新版本的特征库。关于License的详细介绍请参见“基础配置指导”中的“License管理”。
URL信誉配置任务如下:
(3) 开启URL信誉功能
(4) (可选)配置攻击分类执行的动作
(6) 在安全策略中引用URL过滤业务
(7) 配置URL信誉特征库升级
开启URL信誉功能后,设备对报文的URL进行匹配,如果命中URL信誉特征库,则执行此URL所属攻击分类的动作。
(8) 进入系统视图。
system-view
(9) 创建URL过滤策略,并进入URL过滤策略视图。
url-filter policy policy-name
(10) 开启URL信誉功能。
url-reputation enable
缺省情况下,URL信誉功能处于关闭状态。
URL信誉特征库中,一个URL可对应多种攻击分类,每种攻击分类都有对应执行的动作。
当URL只属于一种攻击分类时,设备将对匹配上该URL的报文执行攻击分类对应的动作;当URL属于多种攻击分类时,设备将对匹配上该URL的报文执行多种攻击分类中优先级最高的动作。其中,动作的优先级从高到底依次为:丢弃>允许。
只要URL所属的任一攻击分类配置了日志动作,则对匹配上该URL的报文执行记录日志动作。
设备仅支持以快速日志的方式输出URL信誉日志,有关快速日志的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
(11) 进入系统视图。
system-view
(12) 创建URL过滤策略,并进入URL过滤策略视图。
url-filter policy policy-name
(13) 配置对指定URL信誉攻击分类执行的操作。
attack-category attack-id action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
缺省情况下,未配置对指定URL信誉攻击分类执行的操作,设备对匹配攻击分类的报文执行特征库中该分类的默认动作。
DPI应用profile是一个安全业务的配置模板,为实现安全业务功能,必须在DPI应用profile中引用指定的安全业务策略。由于URL信誉功能需要在URL过滤策略中进行配置,为实现URL信誉功能,则必须在DPI应用porfile中引用指定的URL过滤策略。
一个DPI应用profile中只能引用一个URL过滤策略,如果重复配置,则后配置的覆盖已有的。
(14) 进入系统视图。
system-view
(15) 进入DPI应用profile视图。
app-profile app-profile-name
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
(16) 在DPI应用profile中引用URL过滤策略。
url-filter apply policy policy-name
缺省情况下,DPI应用profile中未引用URL过滤策略。
(17) 进入系统视图。
system-view
(18) 进入安全策略视图。
security-policy { ip | ipv6 }
(19) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(20) 配置安全策略规则的动作为允许。
action pass
缺省情况下,安全策略规则动作是丢弃。
(21) 配置安全策略规则引用DPI应用profile。
profile app-profile-name
缺省情况下,安全策略规则中未引用DPI应用profile。
DPI应用profile是一个安全业务的配置模板,为实现安全业务功能,必须在DPI应用profile中引用指定的安全业务策略。由于URL信誉功能需要在URL过滤策略中进行配置,为实现URL信誉功能,则必须在DPI应用porfile中引用指定的URL过滤策略。
一个DPI应用profile中只能引用一个URL过滤策略,如果重复配置,则后配置的覆盖已有的。
(22) 进入系统视图。
system-view
(23) 进入DPI应用profile视图。
app-profile app-profile-name
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
(24) 在DPI应用profile中引用URL过滤策略。
url-filter apply policy policy-name
缺省情况下,DPI应用profile中未引用URL过滤策略。
(25) 进入系统视图。
system-view
(26) 进入安全策略视图。
security-policy { ip | ipv6 }
(27) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(28) 配置安全策略规则的动作为允许。
action pass
缺省情况下,安全策略规则动作是丢弃。
(29) 配置安全策略规则引用DPI应用profile。
profile app-profile-name
缺省情况下,安全策略规则中未引用DPI应用profile。
请勿删除设备存储介质根目录下的/dpi/文件夹,否则设备升级特征库会失败。
当系统内存使用状态处于告警门限状态时,请勿进行特征库升级,否则易造成设备特征库升级失败,进而影响URL信誉功能的正常运行。有关内存告警门限状态的详细介绍请参见“基础配置指导”中的“设备管理”。
自动在线升级(包括定期自动在线升级和立即自动在线升级)URL信誉特征库时,需要确保设备能通过静态或动态域名解析方式获得官方网站的URL,并与之路由可达,否则设备升级URL信誉特征库会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
同一时刻只能对一个特征库进行升级,如果当前已有其他特征库正在升级,请稍后再试。
如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的URL信誉特征库进行升级。
(30) 进入系统视图。
system-view
(31) 开启定期自动在线升级URL信誉特征库功能,并进入自动在线升级配置视图。
url-reputation signature auto-update
缺省情况下,定期自动在线升级URL信誉特征库功能处于关闭状态。
(32) 配置定期自动在线升级URL信誉特征库的时间。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情况下,设备在每天01:00:00至03:00:00之间开始自动升级URL信誉特征库。
当管理员发现官方网站上的特征库服务专区中的URL信誉特征库有更新时,可以选择立即自动在线升级方式来及时升级URL信誉特征库版本。
执行此命令后,将立即自动升级设备上的URL信誉特征库,且会备份当前的URL信誉特征库文件。此命令的生效与否,与是否开启了定期自动升级URL信誉特征库功能无关。
(33) 进入系统视图。
system-view
(34) 立即自动在线升级URL信誉特征库。
url-reputation signature auto-update-now
如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级URL信誉特征库版本:
· 本地升级:使用设备本地保存的特征库文件升级系统中的URL信誉特征库版本,使用此方式前,请先从官方网站获取特征库文件并导入到设备中。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统中的URL信誉特征库版本。
使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。
如果管理员希望手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源URL是一个特定的地址时,可配置source参数。例如,当组网环境中设备发出的报文需要经过NAT地址转换后才能访问TFTP、FTP服务器时,则需要管理员通过source参数指定一个符合NAT地址转换规则的源URL(其中,如果设备需要经过一台独立的NAT设备进行地址转换时,本命令指定的URL必须可以与NAT设备三层路由可达),使设备发出的报文可以进行NAT地址转换等处理,正常访问TFTP、FTP服务器。
当同时配置了source和vpn-instance参数时,需要保证source中指定的源URL或接口所属VPN实例与vpn-instance中配置的VPN实例相同。
(35) 进入系统视图。
system-view
(36) 手动离线升级URL信誉特征库。
url-reputation signature update file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]
当管理员发现设备当前内存不足或不需要当前URL信誉特征库时,可以执行本命令对当前URL信誉特征库版本进行删除,以释放内存空间。
(37) 进入系统视图。
system-view
(38) 删除URL信誉特征库。
url-reputation signature rollback factory
在完成上述配置后,在指定的URL过滤策略视图和任意视图下执行相应的display命令可以显示URL信誉攻击分类信息和URL信誉特征库信息,通过查看显示信息验证配置的效果。
表1-1 URL信誉显示和维护
|
操作 |
命令 |
|
显示指定URL过滤策略下的URL信誉攻击分类信息 |
display url-reputation attack-category |
|
显示URL信誉特征库信息 |
display url-reputation signature library |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
