URL 过滤
通过使用SA 系列安全网关的URL 过滤功能,设备可以控制用户的PC 对某些网址的访问。URL 过滤功能包含以下组成部分:
♦ 黑名单:包含不可以访问的URL。不同平台黑名单包含的最大URL 条数不同。
♦ 白名单:包含允许访问URL。不同平台白名单包含的最大URL 条数不同。
♦ 关键字列表:如果URL 中包含有关键字列表中的关键字,则PC 不可以访问该URL。不同平台关键字列表包含的关键字条目数不同。
♦ 不受限IP:不受URL 过滤配置影响,可以访问任何网站。
♦ 只允许用域名访问:如果开启该功能,用户只可以通过域名访问Internet,IP 地址类型的URL 将被拒绝访问。
♦ 只允许访问白名单里的URL:如果开启该功能,用户只可以访问白名单中的URL,其它地址都会被拒绝。
URL 过滤顺序
配置URL 过滤功能后,系统会按照一定的顺序对URL 进行检查,决定是否允许PC 访问该URL:
1. 如果配置了不受限IP 并且开启了不受限IP 功能,系统在获得URL 请求后,首先检查该请求源IP 和目的IP 是否来自不受限IP。如果是,则允许访问;否则需要进一步检查。
2. 如果开启了“只允许访问白名单里的URL”,则检查该URL 是否在白名单中。如果在白名单中,则允许访问,否则拒绝访问。如果没有开启“只允许访问白名单里的URL”选项,需要进一步检查。
3. 检查该URL 是否在黑名单中,如果在,则拒绝访问;如果不在,则继续检查URL 是否在白名单中,如果在,则允许访问;若URL 既不在黑名单又不在白名单,需要进一步检查。
4. 如果开启了“只允许域名访问”,则检查URL 请求的类型,用IP 访问服务器而不是用域名访问的URL 将会被拒绝。
5. 如果以上各项都不匹配,则检查URL 中是否含有关键字列表中的关键字。如果含有,则拒绝访问;否则允许访问。
配置黑名单
黑名单中包含拒绝访问的URL。
配置白名单
白名单中包含允许访问的URL。
配置关键字列表
如果URL 中包含有关键字列表中的关键字,则该URL 不可以被访问。每个关键字的长度为最多32个字节或者10 个汉字。
配置不受限IP
不受限IP 不受URL 过滤配置的限制,可以访问任何URL。系统支持最多20 个URL 过滤不受限IP 地址范围。
配置只允许域名访问功能
开启只允许域名访问功能后,用户只可以通过域名访问Internet,IP 地址类型的URL 将被拒绝访问。默认情况下,该功能为关闭状态。
配置只允许访问白名单里URL 功能
开启只允许访问白名单里URL 功能后,用户只可以访问白名单中的URL,其它地址都会被拒绝。默认情况下,该功能为关闭状态。
功能实测:
1、关键字拦截
在上图中我将“dell”这个关键字配置到了关键字列表里,接下来我访问“http://www.dell.com.cn”及“http://www.dell-sh.com/”这两个域名里带有“dell”这个关键字的网站,结果都提示无法访问。
在系统日志里可以看到“SECURITY: HTTP control: URL Filter blocked packet, srcip: 192.168.0.111, dstip: 143.166.224.252, src port: 1874, dst port: 80, protocol: 6”和“SECURITY: HTTP control: URL Filter blocked packet, srcip: 192.168.0.111, dstip: 203.208.39.99, src port: 1882, dst port: 80, protocol: 6”的拦截记录。
2、黑名单拦截
我在黑名单中加入"liusuping.com"这个网址,在浏览器中输入"liusuping.com"网站无法访问,但是输入www.liusuping.com还是可以访问的,说明hillstone是要完全根据域名来进行匹配,如果只是将"liusuping.com"加入黑名单,其他"liusuping.com"的子域名还是没有受到拦截的。
将http://www.liusuping.com 加入黑名单,但是浏览器还是能访问这个网站,所以说http://是多余的,添加黑名单的时候不需要加。
测试的时候发现一个问题,淘宝的域名www.taobao.com通过黑名单无法拦截,可是在系统日志里可以看到拦截记录。不过taobao.com是可以正常拦截的。
另外在关键字里面加入“taobao”后,www.taobao.com的域名还是可以访问的,而http://www.baidu.com/s?wd=taobao,用百度搜taobao都不能访问,不知道是系统的bug还是淘宝很弓虽。 |
