URL过滤配置

i目录1URL过滤配置···············································································································1-11.1URL过滤简介············································································································1-11.1.1URL过滤原理···································································································1-11.1.2URL过滤实现流程·····························································································1-21.1.3URL过滤特征库升级与回滚·················································································1-41.2URL过滤配置任务简介································································································1-41.3配置URL过滤···········································································································1-51.3.1配置URL过滤分类·····························································································1-51.3.2配置URL过滤策略·····························································································1-51.3.3在DPI应用profile中应用URL过滤策略·································································1-61.3.4配置URL过滤特征库升级和回滚···········································································1-61.4URL过滤显示和维护···································································································1-71.5URL典型配置举例······································································································1-81.5.1URL过滤分类典型配置举例·················································································1-81.5.2配置手动离线升级URL过滤特征库典型配置举例····················································1-101.5.3配置定期自动在线升级URL过滤特征库典型配置举例··············································1-121-11URL过滤配置URL过滤功能的使用受License控制，请在使用URL过滤功能前，安装有效的License。License过期后，URL过滤功能可以用，但无法升级特征库，只能使用设备中已存在的特征库。关于License的详细介绍请参见“基础配置指导”中的“License管理”。1.1URL过滤简介URL过滤功能是指对用户访问的URL进行控制，即允许或禁止用户访问的Web资源，达到规范用户上网行为的目的。目前，仅支持对基于HTTP协议的URL进行过滤。1.1.1URL过滤原理1.URL简介URL（UniformResourceLocator，统一资源定位符）是互联网上标准资源的地址。URL用来完整、精确的描述互联网上的网页或者其他共享资源的地址，URL格式为：“protocol://hostname[:port]/path/[;parameters][?query]#fragment”，格式示意如图1-1所示：图1-1URL格式示意图=dox&age=20protocolhostportpathqueryURIURL各字段含义如表1-1所示：表1-1URL各字段含义表字段描述protocol表示使用的传输协议，例如HTTPhost表示存放资源的服务器的主机名或IP地址[:port]（可选）传输协议的端口号，各种传输协议都有默认的端口号/path/是路径，由零或多个“/”符号隔开的字符串，一般用来表示主机上的一个目录或文件地址[parameters]（可选）用于指定特殊参数[?query]（可选）表示查询用于给动态网页传递参数，可有多个参数，用“&”符号隔开，每个参数的名和值用“=”符号隔开1-2字段描述URIURI（UniformResourceIdentifier，统一资源标识符）是一个用于标示某一互联网资源名称的字符2.URL过滤规则URL过滤功能实现的前提条件是对URL的识别。可通过使用URL过滤规则匹配URL中host字段和URI字段的方法来识别URL。URL过滤规则是指对用户HTTP报文中的URL进行匹配的原则，且其分为两种规则：预定义规则：根据设备中的URL过滤特征库自动生成，包括百万级的host或URI。预定义规则能满足多数情况下的URL过滤需求。自定义规则：由管理员手动配置生成，可以通过使用正则表达式或者文本的方式来配置规则中host或URI的内容。URL过滤规则支持两种匹配方式：文本匹配：使用指定的字符串对host和URI字段进行精确匹配。匹配host字段时，URL中的host字段与规则中指定的host字符串必须完全一致，才能匹配成功。例如，规则中配置host字符串为abc.com.cn，则host为abc.com.cn的URL会匹配成功，而host为dfabc.com.cn的URL将与该规则匹配失败。匹配URI字段时，从URL中URI字段的首字符开始，只要URI字段中连续若干个字符与规则中指定的URI字符串完全一致，就算匹配成功。例如，规则中配置URI字符串为/sina/news，则URI为/sina/news、/sina/news/sports或/sina/news_sports的URL会匹配成功，而URI为/sina的URL将与该规则匹配失败。正则表达式匹配：使用正则表达式对host和URI字段进行模糊匹配。例如，规则中配置host的正则表达式为sina.*cn，则host为news.sina.com.cn的URL会匹配成功。3.URL过滤分类为便于管理员对数目众多的URL过滤规则进行统一部署，URL过滤模块提供了URL过滤分类功能，以便对具有相似特征的URL过滤规则进行归纳以及为匹配这些规则的URL统一指定处理动作。每个URL过滤分类具有一个严重级别属性，该属性值表示对属于此过滤分类URL的处理优先级。URL过滤分类包括两种类型：预定义分类：根据设备中的URL过滤特征库自动生成，仅可以修改其严重级别。自定义分类：由管理员手动配置，可修改其严重级别，可添加URL过滤规则。4.URL过滤策略URL过滤策略是用于关联所有URL过滤配置的一个实体。一个URL过滤策略中可以配置URL过滤分类和处理动作的绑定关系，以及缺省动作（即对未匹配上任何URL过滤规则的报文采取的动作）。URL过滤支持的处理动作包括，丢弃、放行、阻断、重置和生成日志。1.1.2URL过滤实现流程在开启URL过滤功能的情况下，当用户通过设备使用HTTP访问某个网络资源时，设备将进行URL过滤。URL过滤处理流程如图1-2所示：1-3图1-2URL过滤实现流程图匹配URL过滤规则开始提取报文中的URL规则同属于多个分类存在缺省动作是否执行规则所属的分类的动作执行严重级别最高的分类的动作否是执行缺省动作是允许通过结束否URL过滤实现流程如下：(1)如果报文匹配了某对象策略规则，且此对象策略规则的动作是inspect，则设备提取报文中的URL字段进行URL过滤规则匹配。有关对象策略规则的详细介绍请参见“安全配置指导”中的“对象策略”。(2)报文成功匹配URL过滤规则后，设备将进一步判断该规则是否同时属于多个URL过滤分类。如果此URL过滤规则同时属于多个URL过滤分类，则根据严重级别最高的URL过滤分类的动作对此报文进行处理。如果此URL过滤规则只属于一个URL过滤分类，则根据该规则所属的URL过滤分类的动作对此报文进行处理。(3)如果报文未匹配上任何一条URL过滤规则。设备将进一步判断URL过滤策略中是否存在URL过滤缺省动作，如果存在，则根据配置的缺省动作对此报文进行处理；否则直接允许报文通过。1-41.1.3URL过滤特征库升级与回滚URL过滤特征库是设备对用户访问Web请求中的URL进行识别的资源库。随着互联网业务的不断变化和发展，需要及时升级设备中的URL过滤特征库或者在特定情况下回退URL过滤特征库版本。目前，设备支持特征库版本升级和回滚两种操作。1.URL过滤特征库升级URL过滤特征库升级包括如下几种方式：定期自动在线升级：设备根据管理员设置的时间定期从H3C官方网站上的特征库服务专区下载并更新本地的URL过滤特征库。立即自动在线升级：管理员手工触发设备立即从H3C官方网站上的特征库服务专区下载并更新本地的URL过滤特征库。手动离线升级：当设备无法访问H3C官方网站上的特征库服务专区时，管理员手工触发设备立即从指定的路径上下载并更新本地的URL过滤特征库。2.URL过滤特征库回滚URL过滤特征库回滚是指将当前的URL过滤特征库版本回滚到指定的URL过滤特征库版本。如果管理员发现设备对用户访问Web的URL过滤的误报率较高或出现异常情况，则可以对当前URL过滤特征库版本进行回滚。目前支持将设备中的URL过滤特征库版本回滚到出厂版本和上一版本。1.2URL过滤配置任务简介URL过滤的关键配置步骤如下：(1)配置URL过滤分类，并定义用于过滤各种URL的URL过滤规则。(2)配置URL过滤策略，指定URL过滤分类的动作。(3)在DPI应用profile中应用URL过滤策略。有关DPI应用profile的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。(4)执行inspectactivate命令使得以上与URL过滤策略相关的所有配置生效。有关inspectactivate命令的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。(5)在对象策略规则中应用DPI应用profile。有关对象策略规则的详细介绍请参见“安全配置指导”中的“对象策略”。表1-2URL过滤配置任务简介配置任务说明详细配置配置URL过滤分类必选1.3.1配置URL过滤策略必选1.3.2在DPI应用profile中应用URL过滤策略必选1.3.3配置