- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-URL過濾配置
本章節下載: 04-URL過濾配置 (486.32 KB)
URL過濾功能是指對用戶訪問的URL進行控製,即允許或禁止用戶訪問的Web資源,達到規範用戶上網行為的目的。
URL(Uniform Resource Locator,統一資源定位符)是互聯網上標準資源的地址。URL用來完整、精確的描述互聯網上的網頁或者其他共享資源的地址,URL格式為:“protocol://host[:port]/path/[;parameters][?query]#fragment”,格式示意如圖1-1所示:
圖1-1 URL格式示意圖
URL各字段含義如表1-1所示:
表1-1 URL各字段含義表
|
字段 |
描述 |
|
protocol |
表示使用的傳輸協議,例如HTTP |
|
host |
表示存放資源的服務器的主機名或IP地址 |
|
[:port] |
(可選)傳輸協議的端口號,各種傳輸協議都有默認的端口號 |
|
/path/ |
是路徑,由零或多個“/”符號隔開的字符串,一般用來表示主機上的一個目錄或文件地址 |
|
[parameters] |
(可選)用於指定特殊參數 |
|
[?query] |
(可選)表示查詢用於給動態網頁傳遞參數,可有多個參數,用“&”符號隔開,每個參數的名和值用“=”符號隔開 |
|
URI |
URI(Uniform Resource Identifier,統一資源標識符)是一個用於標示某一互聯網資源名稱的字符 |
URL過濾功能實現的前提條件是對URL的識別。可通過使用URL過濾規則匹配URL中主機名字段和URI字段的方法來識別URL。
URL過濾規則是指對用戶HTTP報文中的URL進行匹配的原則,且其分為兩種規則:
· 預定義規則:根據設備中的URL過濾特征庫自動生成,包括百萬級的主機名或URI。預定義規則能滿足多數情況下的URL過濾需求。
· 自定義規則:由管理員手動配置生成,可以通過使用正則表達式或者文本的方式配置規則中主機名或URI的內容。
URL過濾規則支持兩種匹配方式:
· 文本匹配:使用指定的字符串對主機名和URI字段進行匹配。
¡ 匹配主機名字段時,首先判斷主機名開頭或結尾位置是否含有通配符“*”,若均未出現,則URL中的主機名字段與規則中指定的主機名字符串必須完全一致,才能匹配成功;若“*”出現在開頭位置,則該字符串或以該字符串結尾的URL會匹配成功;若“*”出現在結尾位置,則該字符串或以該字符串開頭的URL會匹配成功。若“*”同時出現在開頭或結尾位置,則該字符串或含有該字符串的URL均會匹配成功。
¡ 匹配URI字段時,和主機名字段匹配規則一致。
· 正則表達式匹配:使用正則表達式對主機名和URI字段進行匹配。例如,規則中配置主機名的正則表達式為sina.*cn,則主機名為news.sina.com.cn的URL會匹配成功。
為便於管理員對數目眾多的URL過濾規則進行統一部署,URL過濾模塊提供了URL過濾分類功能,以便對具有相似特征的URL過濾規則進行歸納以及為匹配這些規則的URL統一指定處理動作。每個URL過濾分類具有一個嚴重級別屬性,該屬性值表示對屬於此過濾分類URL的處理優先級。
URL過濾分類包括兩種類型:
· 預定義分類:根據設備中的URL過濾特征庫自動生成,其名稱、內容和嚴重級別不可被修改。名稱以Pre-開頭。設備為預定義URL過濾分類保留的嚴重級別為最低,取值範圍為1~999。URL過濾支持兩級分類,包含父分類和子分類。僅支持預定義父分類,且父分類下僅包含預定義子分類。
· 自定義分類:由管理員手動配置,可修改其嚴重級別,可添加URL過濾規則。自定義分類嚴重級別的取值範圍為1000~65535。
URL信譽功能用於對惡意的URL進行過濾,允許或禁止用戶訪問某些網站,達到規範用戶上網行為的目的。當報文中的URL匹配到URL信譽特征庫中的URL後,設備將對報文執行相應的操作。
URL信譽特征庫主要是一些惡意URL的集合,包含每個URL所屬的攻擊類型等信息。
可通過URL過濾黑/白名單規則快速篩選出不需要進行URL過濾的報文。如果報文中的URL與URL過濾策略中的黑名單規則匹配成功,則丟棄此報文;如果與白名單規則匹配成功,則允許此報文通過。
一個URL過濾策略中可以配置如下內容:
· URL過濾分類及其處理動作。其中,處理動作包括:丟棄、允許、阻斷、重置、重定向和生成日誌。
· URL過濾黑/白名單規則。
· URL信譽功能。
· URL過濾分類雲端查詢功能。
以及對於未匹配到URL過濾策略(包括URL過濾分類、URL過濾黑/白名單和URL信譽)時,設備對報文執行的缺省動作。
當用戶通過設備使用HTTP訪問某個網絡資源時,設備將對此HTTP報文進行URL過濾。URL過濾處理流程如圖1-2所示:
圖1-2 URL過濾實現流程圖
URL過濾功能是通過在DPI應用profile中引用URL過濾策略,並在安全策略中引用DPI應用profile來實現的,URL過濾實現流程如下:
(2) 設備對報文進行規則(即安全策略規則)匹配:
如果規則引用了URL過濾業務,設備將對匹配了規則的報文進行URL過濾業務處理。設備將提取報文的URL字段,並與URL過濾規則進行匹配。
有關安全策略的詳細介紹請參見“安全配置指導”中的“安全策略”。
(3) 設備提取報文中的URL,並將其與URL過濾策略中的過濾規則進行匹配,如果匹配成功,則進行下一步處理;如果匹配失敗,則進入步驟(5)的處理。
(4) 首先判斷匹配的規則中是否存在URL過濾黑/白名單規則,如果存在白名單規則,設備將直接允許此報文通過;如果不存在白名單規則,則繼續判斷是否存在黑名單規則,如果存在,則設備將直接阻斷此報文。其中,如果開啟僅支持白名單功能,則僅判斷匹配的規則中是否存在白名單規則。如果存在,則允許此報文通過;如果不存在,則將此報文阻斷。不再進行後續流程的判斷。
(5) 如果匹配的規則中不存在URL過濾黑/白名單規則,則進行如下判斷:
a. 如果匹配的規則中存在自定義URL過濾分類規則,則根據各規則所屬分類中嚴重級別最高的分類的動作對報文進行處理。如果匹配的規則中不存在自定義URL過濾分類規則,則繼續進行下一步處理。
b. 如果設備上啟用了URL信譽功能,則判斷匹配的規則中是否存在URL信譽特征庫中的某個攻擊分類規則。如果存在,則根據該規則所屬攻擊分類的動作對報文進行處理;如果不存在,則繼續進行下一步處理。
c. 如果匹配的規則中存在預定義URL過濾分類規則,則根據各規則所屬分類中嚴重級別最高的分類的動作對報文進行處理。
(6) 如果URL過濾分類雲端查詢功能已開啟,則判斷URL是否匹配URL過濾緩存規則(該規則為雲端服務器的曆史查詢結果,包含URL及其所屬分類的名稱)。如果匹配成功,則進入步驟(4)中預定義URL過濾分類規則的匹配。如果匹配失敗,則進入步驟(6)處理,並同時將報文中的URL發往雲端服務器進行查詢。雲端查詢後,查詢結果將被緩存到URL過濾緩存中。如果URL過濾分類雲端查詢功能未開啟,則進入步驟(6)的處理。
(7) 如果設備上配置了URL過濾的缺省動作,則根據配置的缺省動作對此報文進行處理;否則直接允許報文通過。
URL過濾特征庫是用來對經過設備的用戶訪問Web請求中的URL進行識別的資源庫。隨著互聯網業務的不斷變化和發展,需要及時升級設備中的URL過濾特征庫,同時設備也支持URL過濾特征庫回滾功能。
URL過濾特征庫的升級包括如下幾種方式:
· 定期自動在線升級:設備根據管理員設置的時間定期自動更新本地的URL過濾特征庫。
· 立即自動在線升級:管理員手工觸發設備立即更新本地的URL過濾特征庫。
· 手動離線升級:當設備無法自動獲取URL過濾特征庫時,需要管理員先手動獲取最新的URL過濾特征庫,再更新本地的URL過濾特征庫。
如果管理員發現設備當前URL過濾特征庫對用戶訪問Web的URL過濾的誤報率較高或出現異常情況,則可以將其回滾到出廠版本和上一版本。
本特性的支持情況與設備型號有關,請以設備實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F1003-L-C |
不支持 |
|
|
F10X0係列 |
F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1003-C、F1003-S |
不支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190、F1000-AK9210 |
支持 |
|
F1000-AK9109 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
URL過濾特征庫升級和URL過濾分類雲端查詢功能需要購買並正確安裝License後才能使用。License過期後,URL過濾功能可以采用設備中已有的URL過濾特征庫正常工作,但無法升級到比當前版本高的特征庫,且無法進行URL過濾分類雲端查詢。關於License的詳細介紹請參見“基礎配置指導”中的“License管理”。
URL過濾配置任務如下:
(1) (可選)配置URL過濾分類
(2) (可選)配置URL過濾分類雲端查詢
(3) 配置URL過濾策略
(4) (可選)複製URL過濾策略或分類
(6) (可選)激活URL過濾的策略和規則配置
(7) 在安全策略中引用URL過濾業務
(8) 配置URL過濾特征庫升級和回滾
(9) (可選)配置URL信譽特征庫升級和回滾
(10) (可選)開啟應用層檢測引擎日誌信息功能
(11) (可選)配置URL過濾日誌信息篩選功能
當URL過濾特征庫中預定義的URL過濾分類和URL過濾規則不能滿足對URL的控製需求時,管理員可以自行創建URL過濾分類,並在分類中創建URL過濾規則。
不同URL過濾分類的嚴重級別不能相同,數值越大表示嚴重級別越高。
(1) 進入係統視圖。
system-view
(2) 創建URL過濾分類,並進入URL過濾分類視圖。
url-filter category category-name [ severity severity-level ]
缺省情況下,隻存在預定義的URL過濾分類,且分類名稱以字符串Pre-開頭。
自定義的URL過濾分類不能以字符串Pre-開頭。
(3) (可選)配置URL過濾分類的描述信息。
description text
(4) 配置URL過濾規則,請至少選擇其中一項進行配置。
¡ 配置自定義URL過濾規則。
rule rule-id host { regex regex | text string } [ uri { regex regex | text string } ]
¡ 添加預定義URL過濾分類中的規則。
include pre-defined category-name
缺省情況下,URL過濾分類中未添加預定義URL過濾分類中的規則。
(5) (可選)重命名URL過濾分類,並進入新的URL過濾分類視圖。
rename new-name
在URL過濾策略中開啟URL過濾分類雲端查詢功能後,可提高設備識別HTTP報文的準確率,實現對報文的準確控製。
從雲端服務器學習到的URL過濾規則會被緩存在設備的URL過濾緩存中進行報文匹配。URL過濾緩存的記錄上限和規則的最短保留時間可以根據實際組網環境進行調整。有關雲端服務器的詳細介紹,請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
(1) 進入係統視圖。
system-view
(2) 配置雲端服務器的主機名。
inspect cloud-server host-name
缺省情況下,雲端服務器的主機名為sec.h3c.com。
(3) (可選)配置URL過濾緩存區可緩存記錄的上限。
url-filter cache size cache-size
缺省情況下,URL過濾緩存區可緩存記錄的上限為16384。
(4) (可選)配置URL過濾緩存規則的最短保留時間。
url-filter cache-time value
缺省情況下,URL過濾緩存規則的最短保留時間為10分鍾。
(5) 進入URL過濾策略視圖。
url-filter policy policy-name
(6) 開啟URL過濾分類雲端查詢功能。
cloud-query enable
缺省情況下,URL過濾分類雲端查詢功能處於關閉狀態。
URL過濾功能基於URL過濾策略實現,請選擇以下一項任務進行配置:
¡ 配置URL過濾分類動作
¡ 配置URL過濾分類缺省動作
¡ (可選)配置白名單/黑名單規則
URL信譽功能需要購買並正確安裝License才能使用。License過期後,URL信譽功能可以采用設備中已有的特征庫正常工作,但無法升級特征庫。關於License的詳細介紹請參見“基礎配置指導”中的“License管理”。
若動作配置為logging,生成的日誌信息不會輸出到控製台和監視終端。如需獲取該日誌,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 創建URL過濾策略,並進入URL過濾策略視圖。
url-filter policy policy-name
(3) 配置URL過濾分類動作。
category category-name action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
缺省情況下,未配置URL過濾分類動作。
若報文成功匹配的URL過濾規則中存在多個URL過濾分類的規則,則根據嚴重級別最高的URL過濾分類中指定的動作對此報文進行處理。
(4) (可選)配置URL過濾策略的缺省動作。
default-action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
(5) (可選)向URL過濾策略中添加黑/白名單規則。
add { blacklist | whitelist } [ id ] host { regex host-regex | text host-name } [ uri { regex uri-regex | text uri-name } ]
(6) (可選)開啟內嵌白名單功能。
referer-whitelist enable
缺省情況下,內嵌白名單功能處於開啟狀態,用戶可以訪問白名單網頁下內嵌的其他網頁鏈接。
(7) (可選)開啟URL信譽功能。
url-reputation enable
缺省情況下,URL信譽功能處於關閉狀態。
(8) (可選)配置對指定URL信譽攻擊分類執行的操作。
attack-category attack-id action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
缺省情況下,未配置對指定URL信譽攻擊分類執行的操作,設備對匹配攻擊分類的報文執行允許動作,並記錄日誌。
(9) (可選)重命名URL過濾策略,並進入新的URL過濾策略視圖。
rename new-name
當管理員隻希望通過配置白名單指定內部用戶可以訪問的網站,不想進行其他複雜配置時(例如配置URL過濾分類、URL過濾分類動作和URL過濾策略缺省動作),可以開啟僅支持URL過濾白名單功能。
開啟URL過濾白名單功能後,設備僅允許用戶訪問白名單規則中定義的網站,其他網站均不允許訪問。
(1) 進入係統視圖。
system-view
(2) 創建URL過濾策略,並進入URL過濾策略視圖。
url-filter policy policy-name
(3) 向URL過濾策略中添加白名單規則。
add whitelist [ id ] host { regex host-regex | text host-name } [ uri { regex uri-regex | text uri-name } ]
(4) (可選)開啟內嵌白名單功能。
referer-whitelist enable
缺省情況下,內嵌白名單功能處於開啟狀態,用戶可以訪問白名單網頁下內嵌的其他網頁鏈接。
(5) 開啟僅支持URL過濾白名單功能。
whitelist-only enable
缺省情況下,僅支持URL過濾白名單功能處於關閉狀態。
此功能用來複製已存在的URL過濾策略,可以方便用戶快速創建URL過濾策略。
(1) 進入係統視圖
system-view
(2) 複製URL過濾策略
url-filter copy policy old-name new-name
此功能用來複製已存在的URL過濾分類,可以方便用戶快速創建URL過濾分類。
在複製URL過濾分類時,如果指定優先級與已經存在的分類優先級相同,則複製失敗。
(1) 進入係統視圖。
system-view
(2) 複製URL過濾分類。
url-filter copy category old-name new-name severity severity-level
DPI應用profile是一個安全業務的配置模板,為實現URL過濾功能,必須在DPI應用porfile中引用指定的URL過濾策略。
一個DPI應用profile中隻能引用一個URL過濾策略,如果重複配置,則後配置的覆蓋已有的。
(1) 進入係統視圖。
system-view
(2) 進入DPI應用profile視圖。
app-profile app-profile-name
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
(3) 在DPI應用profile中引用URL過濾策略。
url-filter apply policy policy-name
缺省情況下,DPI應用profile中未引用URL過濾策略。
缺省情況下,當URL過濾業務發生配置變更時(即策略或規則被創建、修改和刪除),係統將會檢測在20秒的間隔時間內是否再次發生了配置變更,並根據判斷結果執行如下操作:
· 如果間隔時間內未發生任何配置變更,則係統將在下一個間隔時間結束時(即40秒時)執行一次激活操作,使這些策略和規則的配置生效。
· 如果間隔時間內再次發生了配置變更,則係統將繼續按照間隔時間周期性地檢測是否發生配置變更。
如果用戶希望對變更的配置立即進行激活,可執行inspect activate命令手工激活,使配置立即生效。
有關此功能的詳細介紹請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
(1) 進入係統視圖。
system-view
(2) 激活URL過濾策略和規則配置。
inspect activate
缺省情況下,URL過濾策略和規則被創建、修改和刪除後,係統會自動激活配置使其生效。
執行此命令會暫時中斷DPI業務的處理,可能導致其他基於DPI功能的業務同時出現中斷。例如,安全策略無法對應用進行訪問控製等。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作為允許。
action pass
缺省情況下,安全策略規則動作是丟棄。
(5) 配置安全策略規則引用DPI應用profile。
profile app-profile-name
缺省情況下,安全策略規則中未引用DPI應用profile。
· 請勿刪除設備存儲介質根目錄下的/dpi/文件夾,否則設備升級或回滾特征庫會失敗。
· 當係統內存使用狀態處於告警門限狀態時,請勿進行特征庫升級或回滾,否則易造成設備特征庫升級或回滾失敗,進而影響URL過濾業務的正常運行。有關內存告警門限狀態的詳細介紹請參見“基礎配置指導”中的“設備管理”。
· 自動在線升級(包括定期自動在線升級和立即自動在線升級)URL過濾特征庫時,需要確保設備能通過靜態或動態域名解析方式獲得官方網站的IP地址,並與之路由可達,否則設備升級URL過濾特征庫會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
· 同一時刻隻能對一個特征庫進行升級,如果當前已有其他特征庫正在升級,請稍後再試。
如果設備可以訪問官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的URL過濾特征庫進行升級。
(1) 進入係統視圖。
system-view
(2) 開啟定期自動在線升級URL過濾特征庫功能,並進入自動在線升級配置視圖。
url-filter signature auto-update
缺省情況下,定期自動在線升級URL過濾特征庫功能處於關閉狀態。
(3) 配置定期自動在線升級URL過濾特征庫的時間。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情況下,設備在每天01:00:00至03:00:00之間開始自動升級URL過濾特征庫。
當管理員發現官方網站上的特征庫服務專區中的URL過濾特征庫有更新時,可以選擇立即自動在線升級方式來及時升級URL過濾特征庫版本。
(1) 進入係統視圖。
system-view
(2) 立即自動在線升級URL過濾特征庫。
url-filter signature auto-update-now
如果設備不能訪問官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級URL過濾特征庫版本。
· 本地升級:使用本地保存的特征庫文件升級係統上的URL過濾特征庫版本。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統上的URL過濾特征庫版本。
使用本地升級方式離線升級特征庫版本時,特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。
如果管理員希望手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IP地址是一個特定的地址時,可配置source參數。例如,當組網環境中設備發出的報文需要經過NAT地址轉換後才能訪問TFTP、FTP服務器時,則需要管理員通過source參數指定一個符合NAT地址轉換規則的源IP地址(其中,如果設備需要經過一台獨立的NAT設備進行地址轉換時,本命令指定的IP地址必須可以與NAT設備三層路由可達),使設備發出的報文可以進行NAT地址轉換等處理,正常訪問TFTP、FTP服務器。
當同時配置了source和vpn-instance參數時,需要保證source中指定的源IP地址或接口所屬VPN實例與vpn-instance中配置的VPN實例相同。
(1) 進入係統視圖。
system-view
(2) 手動離線升級URL過濾特征庫。
url-filter signature update file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]
本命令中vpn-instance vpn-instance-name、source { ip | ipv6 } { ip-address | interface interface-type interface-number }參數的支持情況與設備的型號有關,具體請參見命令參考。
H3C官方網站上的特征庫服務專區根據設備的內存大小以及軟件版本為用戶提供了不同的特征庫。管理員需要根據設備實際情況獲取相應的特征庫,如果為小內存設備(8GB以下)升級了適用於大內存設備(8GB以上)的特征庫,可能會導致設備異常,請謹慎操作。
URL過濾特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如當前URL過濾特征庫版本是V2,上一版本是V1,第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。
(1) 進入係統視圖。
system-view
(2) 回滾URL過濾特征庫。
url-filter signature rollback { factory | last }
請勿刪除設備存儲介質根目錄下的/dpi/文件夾,否則設備升級或回滾特征庫會失敗。
當係統內存使用狀態處於告警門限狀態時,請勿進行特征庫升級或回滾,否則易造成設備特征庫升級或回滾失敗,進而影響URL信譽功能的正常運行。有關內存告警門限狀態的詳細介紹請參見“基礎配置指導”中的“設備管理”。
自動在線升級(包括定期自動在線升級和立即自動在線升級)URL信譽特征庫時,需要確保設備能通過靜態或動態域名解析方式獲得官方網站的IP地址,並與之路由可達,否則設備升級URL信譽特征庫會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
同一時刻隻能對一個特征庫進行升級,如果當前已有其他特征庫正在升級,請稍後再試。
如果設備可以訪問官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的URL信譽特征庫進行升級。
(1) 進入係統視圖。
system-view
(2) 開啟定期自動在線升級URL信譽特征庫功能,並進入自動在線升級配置視圖。
url-reputation signature auto-update
缺省情況下,定期自動在線升級URL信譽特征庫功能處於關閉狀態。
(3) 配置定期自動在線升級URL信譽特征庫的時間。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情況下,設備在每天01:00:00至03:00:00之間開始自動升級URL信譽特征庫。
當管理員發現官方網站上的特征庫服務專區中的URL信譽特征庫有更新時,可以選擇立即自動在線升級方式來及時升級URL信譽特征庫版本。
執行此命令後,將立即自動升級設備上的URL信譽特征庫,且會備份當前的URL信譽特征庫文件。此命令的生效與否,與是否開啟了定期自動升級URL信譽特征庫功能無關。
(1) 進入係統視圖。
system-view
(2) 立即自動在線升級URL信譽特征庫。
url-reputation signature auto-update-now
如果設備不能訪問官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級URL信譽特征庫版本:
· 本地升級:使用設備本地保存的特征庫文件升級係統中的URL信譽特征庫版本,使用此方式前,請先從官方網站獲取特征庫文件並導入到設備中。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統中的URL信譽特征庫版本。
使用本地升級方式離線升級特征庫版本時,特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。
如果管理員希望手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IP地址是一個特定的地址時,可配置source參數。例如,當組網環境中設備發出的報文需要經過NAT地址轉換後才能訪問TFTP、FTP服務器時,則需要管理員通過source參數指定一個符合NAT地址轉換規則的源IP地址(其中,如果設備需要經過一台獨立的NAT設備進行地址轉換時,本命令指定的IP地址必須可以與NAT設備三層路由可達),使設備發出的報文可以進行NAT地址轉換等處理,正常訪問TFTP、FTP服務器。
當同時配置了source和vpn-instance參數時,需要保證source中指定的源IP地址或接口所屬VPN實例與vpn-instance中配置的VPN實例相同。
(1) 進入係統視圖。
system-view
(2) 手動離線升級URL信譽特征庫。
url-reputation signature update file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]
本命令中vpn-instance vpn-instance-name、source { ip | ipv6 } { ip-address | interface interface-type interface-number }參數的支持情況與設備的型號有關,具體請參見命令參考。
URL信譽特征庫回滾是指將當前的URL信譽特征庫版本回滾到上一次的版本。如果管理員發現設備當前URL信譽特征庫版本在檢測和防禦網絡攻擊時,誤報率較高或出現異常情況,則可以對當前URL信譽特征庫版本進行回滾。
URL信譽特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如當前URL信譽特征庫是V2,上一版本是V1,第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。
(1) 進入係統視圖。
system-view
(2) 回滾URL信譽特征庫。
url-reputation signature rollback last
應用層檢測引擎日誌是為了滿足管理員審計需求。設備生成應用層檢測引擎日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 開啟應用層檢測引擎日誌信息功能。
url-filter log enable
缺省情況下,生成應用層檢測引擎日誌信息功能處於關閉狀態。
開啟URL過濾日誌功能後(即執行category action logging或default-action logging命令)會產生大量的日誌信息,不利於查看和分析。管理員可從以下方式中任選其一,對需要進行日誌記錄的資源進行篩選:
· 僅對網站根目錄下資源的訪問進行日誌記錄
· 對指定類型的網頁資源的訪問不進行日誌記錄
(1) 進入係統視圖。
system-view
(2) 配置URL過濾僅對網站根目錄下資源的訪問進行日誌記錄。
url-filter log directory root
缺省情況下,URL過濾對網站所有路徑下資源的訪問均進行日誌記錄。
(1) 進入係統視圖。
system-view
(2) 配置URL過濾不進行日誌記錄訪問的網頁資源類型。
¡ 配置URL過濾對指定預定義類型網頁資源的訪問不進行日誌記錄。
url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml }
¡ 配置URL過濾對指定自定義類型網頁資源的訪問不進行日誌記錄。
url-filter log except user-defined text
缺省情況下,URL過濾僅對預定義類型(即css、gif、ico、jpg、js、png、swf和xml類型)網頁資源的訪問不進行日誌記錄。
缺省情況下,設備僅對HTTP流量進行URL過濾,如果需要對HTTPS流量進行URL過濾,則可以選擇如下方式:
· 使用SSL解密功能:先對HTTPS流量進行解密,然後再進行URL過濾。有關SSL解密功能的詳細介紹,請參見“DPI深度安全配置指導”中的“代理策略”。
· 開啟HTTPS流量過濾功能:不對HTTPS流量進行解密,直接對客戶端發送的HTTPS的Client HELLO報文中的SNI(Sever Name Indication extension)字段進行檢測,從中獲取用戶訪問的服務器域名,使用獲取到的域名與URL過濾策略進行匹配。
由於SSL解密功能涉及大量的加解密操作,會對設備的轉發性能會產生較大的影響,建議在僅需要對HTTPS流量進行URL過濾業務處理的場景下開啟HTTPS流量過濾功能。
本功能僅支持基於URL過濾規則中的HOST字段過濾,對於URI字段的信息無法匹配。
本功能僅在訪問的服務器地址字段為域名的情況下生效,如果服務器地址字段為IP地址,本功能不生效。
如果客戶端瀏覽器啟用TLS 1.3降級強化機製功能選項,報文中的SNI字段將會被加密,本功能將失效。
如果同時配置SSL解密功能,則本功能失效。
如果HTTPS報文不支持SNI字段,本功能將失效。
(1) 進入係統視圖。
system-view
(2) 創建URL過濾策略,並進入URL過濾策略視圖。
url-filter policy policy-name
(3) 開啟HTTPS流量過濾功能。
https-filter enable
缺省情況下,HTTPS流量過濾功能處於關閉狀態,設備僅對HTTP流量進行URL過濾。
完成上述配置後,在任意視圖下執行display命令可以顯示URL過濾的配置信息和分類信息等。
在用戶視圖下執行reset命令可以清除URL過濾的統計信息。
其中,display url-reputation attack-category命令僅支持在URL過濾策略視圖下執行。
表1-2 URL過濾顯示和維護
|
操作 |
命令 |
|
查看URL過濾緩存中的信息 |
display url-filter cache |
|
顯示URL過濾父分類或子分類信息 |
display url-filter { category | parent-category } [ verbose ] |
|
顯示URL過濾特征庫信息 |
display url-filter signature library |
|
查看URL過濾的統計信息 |
display url-filter statistics |
|
顯示指定URL過濾策略下的URL信譽攻擊分類信息 |
display url-reputation attack-category |
|
顯示URL信譽特征庫信息 |
display url-reputation signature library |
|
清除URL過濾的統計信息 |
reset url-filter statistics |
如圖1-3所示,Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。現有組網需求如下:
· 配置URL過濾功能,允許Trust安全域的主機訪問Untrust安全域的Web Server上的www.sina.com。
· 配置預定義URL過濾分類Pre-Games的動作為丟棄並生成日誌。
· 配置URL過濾策略的缺省動作為丟棄和生成日誌。
圖1-3 在安全策略中引用URL過濾業務配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置URL過濾功能
# 創建名為news的自定義URL過濾分類,並在分類中添加主機名www.sina.com。
[Device] url-filter category news severity 2000
[Device-url-filter-category-news] rule 1 host text www.sina.com
[Device-url-filter-category-news] quit
# 創建名為urlnews的URL過濾策略,配置自定義分類news的動作為允許、預定義URL過濾分類Pre-Games的動作為丟棄並生成日誌、策略的缺省動作為丟棄和打印日誌。
[Device] url-filter policy urlnews
[Device-url-filter-policy-urlnews] category news action permit
[Device-url-filter-policy-urlnews] category Pre-Games action drop logging
[Device-url-filter-policy-urlnews] default-action drop logging
[Device-url-filter-policy-urlnews] quit
(5) 配置DPI應用profile並激活URL過濾策略和規則配置
# 創建名為sec的DPI應用profile,並在DPI應用profile sec中應用URL過濾策略urlnews。
[Device] app-profile sec
[Device-app-profile-sec] url-filter apply policy urlnews
[Device-app-profile-sec] quit
# 激活URL過濾策略和規則配置。
[Device] inspect activate
(6) 配置安全策略
# 配置名稱為trust-untrust的安全策略規則,使內網用戶可以訪問外網,並對交互報文進行URL過濾檢測。具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] profile sec
[Device-security-policy-ip-10-trust-untrust] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效後,Trust安全域的主機A、主機B和主機C都可以訪問Untrust安全域的Web Server上的www.sina.com,但是都不能訪問遊戲類的網頁。Trust安全域的主機嚐試訪問遊戲類的URL請求將會被Device阻斷並且打印日誌。
如圖1-4所示,位於Trust安全域的局域網用戶通過Device可以訪問Untrust安全域的Internet資源,以及DMZ安全域的FTP服務器。FTP服務器根目錄下保存了最新的URL過濾特征庫文件url-1.0.2-encrypt.dat,FTP服務器的登錄用戶名和密碼分別為url和123。現需要手動離線升級URL過濾特征庫,加載最新的URL過濾分類。
圖1-4 手動離線升級URL過濾特征庫配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
(4) 配置安全策略
¡ 配置安全策略規則放行Trust到Untrust安全域的流量,使內網用戶可以訪問外網資源
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] quit
¡ 配置安全策略規則放行Trust到DMZ安全域的流量,使內網用戶可以訪問DMZ安全域中的服務器
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-dmz
[Device-security-policy-ip-11-trust-dmz] source-zone trust
[Device-security-policy-ip-11-trust-dmz] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-11-trust-dmz] destination-zone dmz
[Device-security-policy-ip-11-trust-dmz] action pass
[Device-security-policy-ip-11-trust-dmz] quit
¡ 配置安全策略規則放行設備與FTP服務器之間的流量,使設備可以訪問FTP服務器,獲取特征庫文件
[Device] security-policy ip
[Device-security-policy-ip] rule name downloadlocalout
[Device-security-policy-ip-12-downloadlocalout] source-zone local
[Device-security-policy-ip-12-downloadlocalout] destination-zone dmz
[Device-security-policy-ip-12-downloadlocalout] destination-ip-subnet 192.168.2.0 24
[Device-security-policy-ip-12-downloadlocalout] application ftp
[Device-security-policy-ip-12-downloadlocalout] application ftp-data
[Device-security-policy-ip-12-downloadlocalout] action pass
[Device-security-policy-ip-12-downloadlocalout] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(5) 手動升級URL過濾特征庫
# 采用FTP方式手動離線升級設備上的URL過濾特征庫,且被加載的URL特征庫文件名為url-1.0.2-encrypt.dat。
[Device] url-filter signature update ftp://url:[email protected]/url-1.0.2-encrypt.dat
URL過濾特征庫升級後,可以通過display url-filter signature library命令查看當前特征庫的版本信息。
如圖1-5所示,位於Trust安全域的局域網用戶通過Device可以訪問Untrust安全域的Internet資源。現有組網需求如下:
· 配置每周六上午九點前後半小時內,開始定期自動在線升級設備的URL過濾特征庫。
圖1-5 定期自動在線升級URL過濾特征庫配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置DNS服務器地址
# 指定DNS服務器的IP地址為10.72.66.36,確保Device可以獲取到官網的IP地址,具體配置步驟如下。
[Device] dns server 10.72.66.36
(5) 配置安全策略
¡ 配置安全策略規則放行Trust到Untrust安全域的流量,使內網用戶可以訪問外網資源
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] quit
¡ 配置安全策略規則放行Local到Untrust安全域的流量,使設備可以訪問官網的特征庫服務專區,獲取特征庫文件
[Device] security-policy ip
[Device-security-policy-ip] rule name downloadlocalout
[Device-security-policy-ip-11-downloadlocalout] source-zone local
[Device-security-policy-ip-11-downloadlocalout] destination-zone untrust
[Device-security-policy-ip-11-downloadlocalout] action pass
[Device-security-policy-ip-11-downloadlocalout] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(6) 配置定期自動在線升級URL過濾特征庫
# 設置定期自動在線升級URL過濾特征庫計劃為:每周六上午9:00:00前後30分鍾內開始自動在線升級。
[Device] url-filter signature auto-update
[Device-url-filter-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60
[Device-url-filter-autoupdate] quit
設置的定期自動在線升級URL過濾特征庫時間到達後,可以通過display url-filter signature library命令查看當前特征庫的版本信息。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
