- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
22-URL過濾配置
本章節下載: 22-URL過濾配置 (240.49 KB)
目 錄
設備各款型對於本節所描述的特性支持情況有所不同,詳細差異信息如下:
|
係列 |
型號 |
產品代碼 |
特性 |
描述 |
|
WX1800H係列 |
WX1804H |
EWP-WX1804H-PWR-CN |
URL過濾 |
不支持 |
|
WX2500H係列 |
WX2510H WX2510H-F WX2540H WX2540H-F WX2560H |
EWP-WX2510H-PWR EWP-WX2510H-F-PWR EWP-WX2540H EWP-WX2540H-F EWP-WX2560H |
不支持 |
|
|
WX3000H係列 |
WX3010H WX3010H-X WX3010H-L WX3024H WX3024H-L WX3024H-F |
EWP-WX3010H EWP-WX3010H-X-PWR EWP-WX3010H-L-PWR EWP-WX3024H EWP-WX3024H-L-PWR EWP-WX3024H-F |
WX3010H支持 WX3010H-X不支持 WX3010H-L不支持 WX3024H支持 WX3024H-L不支持 WX3024H-F不支持 |
|
|
WX3500H係列 |
WX3508H WX3510H WX3520H WX3520H-F WX3540H |
EWP-WX3508H EWP-WX3510H EWP-WX3520H EWP-WX3520H-F EWP-WX3540H |
不支持 |
|
|
WX5500E係列 |
WX5510E WX5540E |
EWP-WX5510E EWP-WX5540E |
不支持 |
|
|
WX5500H係列 |
WX5540H WX5560H WX5580H |
EWP-WX5540H EWP-WX5560H EWP-WX5580H |
不支持 |
|
|
AC插卡係列 |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
不支持 |
URL過濾功能是指對用戶訪問的URL進行控製,即允許或禁止用戶訪問的Web資源,達到規範用戶上網行為的目的。
目前,僅支持對基於HTTP協議的URL進行過濾。
URL(Uniform Resource Locator,統一資源定位符)是互聯網上標準資源的地址。URL用來完整、精確的描述互聯網上的網頁或者其他共享資源的地址,URL格式為:“protocol://host[:port]/path/[;parameters][?query]#fragment”,格式示意如圖1-1所示:
圖1-1 URL格式示意圖
URL各字段含義如表1-1所示:
表1-1 URL各字段含義表
|
字段 |
描述 |
|
protocol |
表示使用的傳輸協議,例如HTTP |
|
host |
表示存放資源的服務器的主機名或IP地址 |
|
[:port] |
(可選)傳輸協議的端口號,各種傳輸協議都有默認的端口號 |
|
/path/ |
是路徑,由零或多個“/”符號隔開的字符串,一般用來表示主機上的一個目錄或文件地址 |
|
[parameters] |
(可選)用於指定特殊參數 |
|
[?query] |
(可選)表示查詢用於給動態網頁傳遞參數,可有多個參數,用“&”符號隔開,每個參數的名和值用“=”符號隔開 |
|
URI |
URI(Uniform Resource Identifier,統一資源標識符)是一個用於標示某一互聯網資源名稱的字符 |
URL過濾功能實現的前提條件是對URL的識別。可通過使用URL過濾規則匹配URL中主機名字段和URI字段的方法來識別URL。
URL過濾規則是指對用戶HTTP報文中的URL進行匹配的原則,且其分為兩種規則:
· 預定義規則:根據設備中的URL過濾特征庫自動生成,包括百萬級的主機名或URI。預定義規則能滿足多數情況下的URL過濾需求。
· 自定義規則:由管理員手動配置生成,可以通過使用正則表達式或者文本的方式配置規則中主機名或URI的內容。
URL過濾規則支持兩種匹配方式:
· 文本匹配:使用指定的字符串對主機名和URI字段進行精確匹配。
¡ 匹配主機名字段時,URL中的主機名字段與規則中指定的主機名字符串必須完全一致,才能匹配成功。例如,規則中配置主機名字符串為abc.com.cn,則主機名為abc.com.cn的URL會匹配成功,而主機名為dfabc.com.cn的URL將與該規則匹配失敗。
¡ 匹配URI字段時,從URL中URI字段的首字符開始,隻要URI字段中連續若幹個字符與規則中指定的URI字符串完全一致,就算匹配成功。例如,規則中配置URI字符串為/sina/news,則URI為/sina/news、/sina/news/sports或/sina/news_sports的URL會匹配成功,而URI為/sina的URL將與該規則匹配失敗。
· 正則表達式匹配:使用正則表達式對主機名和URI字段進行模糊匹配。例如,規則中配置主機名的正則表達式為sina.*cn,則主機名為news.sina.com.cn的URL會匹配成功。
為便於管理員對數目眾多的URL過濾規則進行統一部署,URL過濾模塊提供了URL過濾分類功能,以便對具有相似特征的URL過濾規則進行歸納以及為匹配這些規則的URL統一指定處理動作。每個URL過濾分類具有一個嚴重級別屬性,該屬性值表示對屬於此過濾分類URL的處理優先級。
URL過濾分類包括兩種類型:
· 預定義分類:根據設備中的URL過濾特征庫自動生成,其嚴重級別不可被修改。
· 自定義分類:由管理員手動配置,可修改其嚴重級別,可添加URL過濾規則。
URL過濾策略是用於關聯所有URL過濾配置的一個實體。一個URL過濾策略中可以配置URL過濾分類和處理動作的綁定關係,以及缺省動作(即對未匹配上任何URL過濾規則的報文采取的動作)。URL過濾支持的處理動作包括,丟棄、允許、阻斷、重置、重定向和生成日誌。
URL過濾黑/白名單規則功能根據應用層的信息進行URL過濾。如果用戶HTTP報文中的URL與URL過濾策略中的黑名單規則匹配成功,則丟棄此報文;如果與白名單規則匹配成功,則允許此報文通過。
在URL過濾策略中開啟URL過濾分類雲端查詢功能後,如果流經設備HTTP報文中的URL與該URL過濾策略中的過濾規則匹配失敗,則此URL將會被發向雲端URL過濾分類服務器進行查詢。雲端URL過濾分類服務器響應該請求,並向設備發送查詢結果,該結果中包含了URL過濾規則及其所屬的分類名稱,設備根據該結果執行相應的分類處理動作。如果雲端返回的分類在設備上沒有與其對應的分類動作或者雲端URL查詢失敗,則設備將對此報文執行URL過濾策略中的缺省動作。
在開啟URL過濾功能的情況下,當用戶通過設備使用HTTP訪問某個網絡資源時,設備將對此HTTP報文進行URL過濾。URL過濾處理流程如圖1-2所示:
圖1-2 URL過濾實現流程圖
URL過濾實現流程如下:
(1) 如果報文匹配了某對象策略規則,且此對象策略規則應用的DPI應用profile中關聯了URL過濾策略,則設備提取報文中的URL字段進行URL過濾規則匹配。
(2) 如果報文與設備上URL過濾策略中的過濾規則匹配成功,則將進一步做如下判斷:
(3) 首先判斷此URL過濾規則是否屬於URL過濾的黑/白名單規則,如果屬於URL過濾白名單規則則直接允許此報文通過,如果屬於URL過濾的黑名單規則則直接將此報文阻斷。
(4) 如果此URL過濾規則既不屬於URL過濾白名單規則也不屬於URL過濾黑名單規則,則設備將進一步判斷該規則是否同時屬於多個URL過濾分類。
· 如果此URL過濾規則同時屬於多個URL過濾分類,則根據嚴重級別最高的URL過濾分類的動作對此報文進行處理。
· 如果此URL過濾規則隻屬於一個URL過濾分類,則根據該規則所屬的URL過濾分類的動作對此報文進行處理。
(5) 如果報文未匹配上任何一條URL過濾策略中的過濾規則,則將進一步判斷URL過濾策略中是否開啟了URL過濾分類雲端查詢功能。如果分類雲端查詢功能已開啟,則將報文中的URL發向雲端URL過濾分類服務器進行查詢,否則進行第7步的判斷
(6) 如果URL雲端查詢成功,則進行步驟4的判斷,否則進行步驟7的判斷。
(7) 如果設備上配置了URL過濾的缺省動作,則根據配置的缺省動作對此報文進行處理;否則直接允許報文通過。
URL過濾特征庫是用來對經過設備的用戶訪問Web請求中的URL進行識別的資源庫。隨著互聯網業務的不斷變化和發展,需要及時升級設備中的URL過濾特征庫,同時設備也支持URL過濾特征庫回滾功能。
URL過濾特征庫的升級包括如下幾種方式:
· 定期自動在線升級:設備根據管理員設置的時間定期自動更新本地的URL過濾特征庫。
· 立即自動在線升級:管理員手工觸發設備立即更新本地的URL過濾特征庫。
· 手動離線升級:當設備無法自動獲取URL過濾特征庫時,需要管理員先手動獲取最新的URL過濾特征庫,再更新本地的URL過濾特征庫。
如果管理員發現設備當前URL過濾特征庫對用戶訪問Web的URL過濾的誤報率較高或出現異常情況,則可以將其回滾到出廠版本和上一版本。
表1-2 URL過濾配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置URL過濾分類 |
必選 |
|
|
配置URL過濾分類雲端查詢 |
可選 |
|
|
配置URL過濾策略 |
必選 |
|
|
複製URL過濾策略或分類 |
可選 |
|
|
在DPI應用profile中引用URL過濾策略 |
必選 |
|
|
配置URL過濾特征庫升級和回滾 |
可選 |
|
|
激活DPI各業務模塊的策略和規則配置 |
可選 |
|
|
開啟URL過濾日誌信息功能 |
可選 |
當URL過濾特征庫中預定義的URL過濾分類和URL過濾規則不能滿足對URL的控製需求時,可以配置URL過濾分類,並在分類中創建URL過濾規則。每個URL過濾規則可以同時屬於多個URL過濾分類。
不同URL過濾分類的嚴重級別不能相同,數值越大表示嚴重級別越高。
係統為預定義URL過濾分類保留的嚴重級別為最低,取值範圍為1~999。
表1-3 配置URL過濾分類
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建URL過濾分類,並進入URL過濾分類視圖 |
url-filter category category-name [ severity severity-level ] |
缺省情況下,隻存在預定義的URL過濾分類,且分類名稱以字符串Pre-開頭 自定義的URL過濾分類不能以字符串Pre-開頭 |
|
(可選)配置URL過濾分類的描述信息 |
description text |
缺省情況下,自定義的URL過濾分類中不存在描述信息 |
|
配置自定義URL過濾規則 |
rule rule-id host { regex regex | text string } [ uri { regex regex | text string } ] |
缺省情況下,URL過濾分類中不存在自定義URL過濾規則 |
|
(可選)添加預定義URL過濾分類中的規則 |
include pre-defined category-name |
缺省情況下,URL過濾分類中未添加預定義URL過濾分類中的規則 |
|
(可選)重命名URL過濾分類,並進入新的URL過濾分類視圖 |
rename new-name |
- |
在URL過濾策略中開啟URL過濾分類雲端查詢功能後,可提高設備識別HTTP報文的準確率,實現對報文的準確控製。
從雲端URL過濾分類服務器學習到的URL過濾規則會被緩存在設備上,並在一定時間間隔內下發給應用層檢測引擎進行報文匹配。URL過濾緩存的記錄上限、規則的最短保留時間和下發時間間隔都可以根據實際組網環境進行調整。
表1-4 配置URL過濾分類雲端查詢
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置雲端URL過濾分類服務器的主機名 |
url-filter category-server host-name |
缺省情況下,不存在URL過濾分類服務器地址 |
|
(可選)配置向應用層檢測引擎下發緩存中規則的時間間隔 |
url-filter cache deploy-interval interval |
缺省情況下,URL過濾緩存規則下發應用層檢測引擎的時間間隔為12小時 |
|
(可選)配置URL過濾緩存區可緩存記錄的上限 |
url-filter cache size cache-size |
缺省情況下,URL過濾緩存區可緩存記錄的上限根據設備內存的實際大小由係統計算得出 |
|
(可選)配置URL過濾緩存規則的最短保留時間 |
url-filter cache-time value |
缺省情況下,URL過濾緩存規則的最短保留時間為43200秒 |
|
進入URL過濾策略視圖 |
url-filter policy policy-name |
- |
|
開啟URL過濾分類雲端查詢功能 |
cloud-query enable |
缺省情況下,URL過濾分類雲端查詢功能處於關閉狀態 |
在一個URL過濾策略中可以配置多個URL過濾分類動作,也可以在URL過濾策略中為其定義缺省動作。
若報文成功匹配的URL過濾規則同屬於多個URL過濾分類,則根據嚴重級別最高的URL過濾分類中指定的動作對此報文進行處理。
表1-5 配置URL過濾策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建URL過濾策略,並進入URL過濾策略視圖 |
url-filter policy policy-name |
缺省情況下,不存在URL過濾策略 |
|
配置URL過濾分類動作 |
category category-name action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging ] |
缺省情況下,不存在URL過濾分類動作 |
|
(可選)配置URL過濾策略的缺省動作 |
default-action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging ] |
缺省情況下,不存在缺省動作 |
|
(可選)向URL過濾策略中添加黑/白名單規則 |
add { blacklist | whitelist } [ id ] host { regex host-regex | text host-name } [ uri { regex uri-regex | text uri-name } ] |
缺省情況下,不存在黑/白名單規則 |
|
(可選)重命名URL過濾策略,並進入新的URL過濾策略視圖 |
rename new-name |
- |
此功能用來複製已存在的URL過濾策略或分類,可以方便用戶快速創建URL過濾策略或分類。
在複製URL過濾分類時,如果指定優先級與已經存在的分類優先級相同,則複製失敗。
表1-6 複製URL過濾策略或分類
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
複製URL過濾分類 |
url-filter copy category old-name [ new-name ] severity severity-level |
- |
|
複製URL過濾策略 |
url-filter copy policy old-name new-name |
- |
DPI應用porfile是一個安全業務的配置模板,為實現URL過濾功能,必須在DPI應用porfile中引用指定的URL過濾策略。一個DPI應用profile中隻能引用一個URL過濾策略,如果重複配置,則後配置的覆蓋已有的。
表1-7 在DPI應用profile下引用URL過濾策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入DPI應用profile視圖 |
app-profile app-profile-name |
- |
|
在DPI應用profile中引用URL過濾策略 |
url-filter apply policy policy-name |
缺省情況下,DPI應用profile中未引用URL過濾策略 |
· 請勿刪除設備存儲介質根目錄下的/dpi/文件夾,否則設備升級或回滾特征庫會失敗。
· 當係統內存使用狀態處於告警門限狀態時,請勿進行特征庫升級或回滾,否則易造成設備特征庫升級或回滾失敗,進而影響URL過濾業務的正常運行。有關內存告警門限狀態的詳細介紹請參見“基礎配置指導”中的“設備管理”。
隨著互聯網業務的不斷變化和發展,管理員需要及時升級設備中的URL過濾特征庫,同時設備也支持URL過濾特征庫回滾功能。
如果設備可以訪問H3C官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的URL過濾特征庫進行升級。
該方式下,需要確保設備能通過靜態或動態域名解析方式獲得H3C官方網站的IP地址,並與之路由可達,否則設備升級URL過濾特征庫會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
表1-8 配置定期自動在線升級URL過濾特征庫
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟定期自動在線升級URL過濾特征庫功能,並進入自動在線升級配置視圖 |
url-filter signature auto-update |
缺省情況下,定期自動在線升級URL過濾特征庫功能處於關閉狀態 |
|
配置定期自動在線升級URL過濾特征庫的時間 |
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes |
缺省情況下,設備在每天01:00:00至03:00:00之間自動升級URL過濾特征庫 |
當管理員發現H3C官方網站上的特征庫服務專區中的URL過濾特征庫有更新時,可以選擇立即自動在線升級方式來及時升級URL過濾特征庫版本。
該方式下,需要確保設備能通過靜態或動態域名解析方式獲得H3C官方網站的IP地址,並與之路由可達,否則設備升級URL過濾特征庫會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
表1-9 立即自動在線升級URL過濾特征庫
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
立即自動在線升級URL過濾特征庫 |
url-filter signature auto-update-now |
- |
如果設備不能訪問H3C官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級URL過濾特征庫版本。
· 本地升級:使用本地保存的特征庫文件升級係統上的URL過濾特征庫版本。
¡ 特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。(集中式IRF設備)
¡ 特征庫文件隻能存儲在當前主控板上,否則設備升級特征庫會失敗。(分布式設備-獨立運行模式)
¡ 特征庫文件隻能存儲在當前全局主用主控板上,否則設備升級特征庫會失敗。(分布式設備-IRF模式)
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統上的URL過濾特征庫版本。
表1-10 手動離線升級URL過濾特征庫
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
手動離線升級URL過濾特征庫 |
url-filter signature update file-path |
- |
URL過濾特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如當前URL過濾特征庫版本是V2,上一版本是V1,第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。
表1-11 回滾URL過濾特征庫
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
回滾URL過濾特征庫 |
url-filter signature rollback { factory | last } |
- |
當DPI各業務模塊的策略和規則被創建、修改和刪除後,需要配置此功能使其策略和規則配置生效。
配置此功能會暫時中斷DPI業務的處理,為避免重複配置此功能對DPI業務造成影響,請完成部署DPI各業務模塊的策略和規則後統一配置此功能。
表1-12 激活DPI各業務模塊的策略和規則配置
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
激活DPI各業務模塊的策略和規則配置 |
inspect activate |
缺省情況下,DPI各業務模塊的策略和規則被創建、修改和刪除時不生效 |
應用層檢測引擎日誌是為了滿足管理員審計需求。設備生成應用層檢測引擎日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
表1-13 開啟應用層檢測引擎日誌信息功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟應用層檢測引擎日誌信息功能 |
url-filter log enable |
缺省情況下,生成應用層檢測引擎日誌信息功能處於關閉狀態 |
完成上述配置後,在任意視圖下執行display命令可以顯示URL過濾的配置信息和分類信息等。
在用戶視圖下執行reset命令可以清除URL過濾的統計信息。
表1-14 URL過濾顯示和維護
|
操作 |
命令 |
|
查看URL過濾緩存中的信息 |
display url-filter cache [ existence { eq | lt | gt } existence-time ] | [ category category-name] | [ hitcount { eq | lt | gt } hit-number ] |
|
顯示URL過濾分類信息 |
display url-filter category [ verbose ] |
|
顯示URL過濾特征庫信息 |
display url-filter signature information |
|
查看URL過濾的統計信息 |
display url-filter statistics |
|
清除URL過濾的統計信息 |
reset url-filter statistics |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
