- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
12-URL信譽配置
本章節下載: 12-URL信譽配置 (239.71 KB)
目 錄
URL信譽功能用於對惡意的URL進行過濾,允許或禁止用戶訪問某些網站,達到規範用戶上網行為的目的。當報文中的URL匹配到URL信譽特征庫中的URL後,設備將對報文執行相應的操作。
URL信譽特征庫主要是一些惡意URL的集合,包含每個URL所屬的攻擊類型等信息。
URL信譽對報文的處理流程如圖1-1所示:
圖1-1 URL信譽的報文處理流程圖
URL信譽功能對報文的處理過程如下:
(1) 設備提取出報文中的URL。
(2) 設備將URL與特征庫中的URL進行匹配。如果匹配失敗,則放行報文;如果匹配成功,則進行如下判斷:
¡ 如果URL屬於一個攻擊類型,則執行該攻擊類型的動作。
¡ 如果URL同屬於多個攻擊類型,則執行嚴重級別最高的動作。
其中,如果動作為“允許”,則設備將允許此報文通過;如果動作為“丟棄”,則設備將丟棄此報文;如果動作為“日誌”,則設備將記錄URL信譽日誌。
URL信譽功能需要購買並正確安裝License後才能使用。License過期後,URL信譽功能可以使用設備中已有的特征庫正常工作,但無法升級到license有效期之後發布的新版本的特征庫。關於License的詳細介紹請參見“基礎配置指導”中的“License管理”。
URL信譽配置任務如下:
(3) 開啟URL信譽功能
(4) (可選)配置攻擊分類執行的動作
(6) 在安全策略中引用URL過濾業務
(7) 配置URL信譽特征庫升級
開啟URL信譽功能後,設備對報文的URL進行匹配,如果命中URL信譽特征庫,則執行此URL所屬攻擊分類的動作。
(8) 進入係統視圖。
system-view
(9) 創建URL過濾策略,並進入URL過濾策略視圖。
url-filter policy policy-name
(10) 開啟URL信譽功能。
url-reputation enable
缺省情況下,URL信譽功能處於關閉狀態。
URL信譽特征庫中,一個URL可對應多種攻擊分類,每種攻擊分類都有對應執行的動作。
當URL隻屬於一種攻擊分類時,設備將對匹配上該URL的報文執行攻擊分類對應的動作;當URL屬於多種攻擊分類時,設備將對匹配上該URL的報文執行多種攻擊分類中優先級最高的動作。其中,動作的優先級從高到底依次為:丟棄>允許。
隻要URL所屬的任一攻擊分類配置了日誌動作,則對匹配上該URL的報文執行記錄日誌動作。
設備僅支持以快速日誌的方式輸出URL信譽日誌,有關快速日誌的詳細介紹,請參見“網絡管理和監控配置指導”中的“快速日誌輸出”。
(11) 進入係統視圖。
system-view
(12) 創建URL過濾策略,並進入URL過濾策略視圖。
url-filter policy policy-name
(13) 配置對指定URL信譽攻擊分類執行的操作。
attack-category attack-id action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
缺省情況下,未配置對指定URL信譽攻擊分類執行的操作,設備對匹配攻擊分類的報文執行特征庫中該分類的默認動作。
DPI應用profile是一個安全業務的配置模板,為實現安全業務功能,必須在DPI應用profile中引用指定的安全業務策略。由於URL信譽功能需要在URL過濾策略中進行配置,為實現URL信譽功能,則必須在DPI應用porfile中引用指定的URL過濾策略。
一個DPI應用profile中隻能引用一個URL過濾策略,如果重複配置,則後配置的覆蓋已有的。
(14) 進入係統視圖。
system-view
(15) 進入DPI應用profile視圖。
app-profile app-profile-name
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
(16) 在DPI應用profile中引用URL過濾策略。
url-filter apply policy policy-name
缺省情況下,DPI應用profile中未引用URL過濾策略。
(17) 進入係統視圖。
system-view
(18) 進入安全策略視圖。
security-policy { ip | ipv6 }
(19) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(20) 配置安全策略規則的動作為允許。
action pass
缺省情況下,安全策略規則動作是丟棄。
(21) 配置安全策略規則引用DPI應用profile。
profile app-profile-name
缺省情況下,安全策略規則中未引用DPI應用profile。
DPI應用profile是一個安全業務的配置模板,為實現安全業務功能,必須在DPI應用profile中引用指定的安全業務策略。由於URL信譽功能需要在URL過濾策略中進行配置,為實現URL信譽功能,則必須在DPI應用porfile中引用指定的URL過濾策略。
一個DPI應用profile中隻能引用一個URL過濾策略,如果重複配置,則後配置的覆蓋已有的。
(22) 進入係統視圖。
system-view
(23) 進入DPI應用profile視圖。
app-profile app-profile-name
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
(24) 在DPI應用profile中引用URL過濾策略。
url-filter apply policy policy-name
缺省情況下,DPI應用profile中未引用URL過濾策略。
(25) 進入係統視圖。
system-view
(26) 進入安全策略視圖。
security-policy { ip | ipv6 }
(27) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(28) 配置安全策略規則的動作為允許。
action pass
缺省情況下,安全策略規則動作是丟棄。
(29) 配置安全策略規則引用DPI應用profile。
profile app-profile-name
缺省情況下,安全策略規則中未引用DPI應用profile。
請勿刪除設備存儲介質根目錄下的/dpi/文件夾,否則設備升級特征庫會失敗。
當係統內存使用狀態處於告警門限狀態時,請勿進行特征庫升級,否則易造成設備特征庫升級失敗,進而影響URL信譽功能的正常運行。有關內存告警門限狀態的詳細介紹請參見“基礎配置指導”中的“設備管理”。
自動在線升級(包括定期自動在線升級和立即自動在線升級)URL信譽特征庫時,需要確保設備能通過靜態或動態域名解析方式獲得官方網站的URL,並與之路由可達,否則設備升級URL信譽特征庫會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
同一時刻隻能對一個特征庫進行升級,如果當前已有其他特征庫正在升級,請稍後再試。
如果設備可以訪問官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的URL信譽特征庫進行升級。
(30) 進入係統視圖。
system-view
(31) 開啟定期自動在線升級URL信譽特征庫功能,並進入自動在線升級配置視圖。
url-reputation signature auto-update
缺省情況下,定期自動在線升級URL信譽特征庫功能處於關閉狀態。
(32) 配置定期自動在線升級URL信譽特征庫的時間。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情況下,設備在每天01:00:00至03:00:00之間開始自動升級URL信譽特征庫。
當管理員發現官方網站上的特征庫服務專區中的URL信譽特征庫有更新時,可以選擇立即自動在線升級方式來及時升級URL信譽特征庫版本。
執行此命令後,將立即自動升級設備上的URL信譽特征庫,且會備份當前的URL信譽特征庫文件。此命令的生效與否,與是否開啟了定期自動升級URL信譽特征庫功能無關。
(33) 進入係統視圖。
system-view
(34) 立即自動在線升級URL信譽特征庫。
url-reputation signature auto-update-now
如果設備不能訪問官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級URL信譽特征庫版本:
· 本地升級:使用設備本地保存的特征庫文件升級係統中的URL信譽特征庫版本,使用此方式前,請先從官方網站獲取特征庫文件並導入到設備中。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統中的URL信譽特征庫版本。
使用本地升級方式離線升級特征庫版本時,特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。
如果管理員希望手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源URL是一個特定的地址時,可配置source參數。例如,當組網環境中設備發出的報文需要經過NAT地址轉換後才能訪問TFTP、FTP服務器時,則需要管理員通過source參數指定一個符合NAT地址轉換規則的源URL(其中,如果設備需要經過一台獨立的NAT設備進行地址轉換時,本命令指定的URL必須可以與NAT設備三層路由可達),使設備發出的報文可以進行NAT地址轉換等處理,正常訪問TFTP、FTP服務器。
當同時配置了source和vpn-instance參數時,需要保證source中指定的源URL或接口所屬VPN實例與vpn-instance中配置的VPN實例相同。
(35) 進入係統視圖。
system-view
(36) 手動離線升級URL信譽特征庫。
url-reputation signature update file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]
當管理員發現設備當前內存不足或不需要當前URL信譽特征庫時,可以執行本命令對當前URL信譽特征庫版本進行刪除,以釋放內存空間。
(37) 進入係統視圖。
system-view
(38) 刪除URL信譽特征庫。
url-reputation signature rollback factory
在完成上述配置後,在指定的URL過濾策略視圖和任意視圖下執行相應的display命令可以顯示URL信譽攻擊分類信息和URL信譽特征庫信息,通過查看顯示信息驗證配置的效果。
表1-1 URL信譽顯示和維護
|
操作 |
命令 |
|
顯示指定URL過濾策略下的URL信譽攻擊分類信息 |
display url-reputation attack-category |
|
顯示URL信譽特征庫信息 |
display url-reputation signature library |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
