附件下载
WEB过滤技术介绍.pdf(109.94 KB)
目 录
在传统的网络安全方案中,对网络攻击的防范主要针对于来自外部的各种攻击。随着网络在各行各业的普及,来自局域网内部的攻击也越来越多,这就要求网络设备能够应对构建安全内部网络的需求,增加内部网络安全特性。
目前设备所支持的WEB过滤功能,可以阻止内部用户访问非法的网址,以及对网页内的Java或ActiveX程序进行阻断。WEB过滤功能实现了以下功能:
l 网页地址过滤
l URL参数过滤
l Java阻断
l ActiveX阻断
l 配置信息的保存和恢复
下面将对以上五个功能分别进行介绍。
使用URL网页地址过滤可以阻止内部用户访问非法和不健康的网页,或者只允许用户访问某些特定的网页。
当收到HTTP请求报文时,设备会检测报文中的URL网页地址。如果该地址是允许通过的,那么该WEB请求可以通过;如果该网页地址是不允许通过的,那么该WEB请求将被拒绝,同时向发送WEB请求的客户端和服务器端发送TCP reset报文。
使能URL网页地址过滤功能以后,还应当指定URL网页地址过滤的默认行为。缺省情况下,URL网页地址过滤的默认行为是deny,即当WEB请求中URL网页地址与设备配置的过滤网址条目均不符合的情况下,将按照URL网页地址过滤的默认行为操作,拒绝该WEB请求通过。
(1) 设备接收到HTTP请求报文,并从HTTP请求报文中获取URL网页地址。
(2) 用设备中已配置的网页地址过滤条目与HTTP请求报文中的网页地址进行匹配过滤。如果匹配成功,则执行相应的允许或拒绝操作;如果匹配不成功,则按照URL网页地址过滤的默认行为操作。
URL网页地址过滤功能启动以后,系统将默认拒绝所有直接以网站IP地址访问网站的WEB请求。
l 如果希望能够直接以网站IP地址访问所有网站,必须将URL网页地址过滤对网站IP地址的支持配置为permit,则所有以网站IP地址访问网站的WEB请求允许通过。
l 如果希望部分网站可以通过网站IP地址直接访问,必须将URL网页地址过滤对网站IP地址的支持配置为deny,并配置ACL规则允许部分IP地址形式的网站WEB请求通过。当设备接收到以这部分网站IP地址直接访问网站的WEB请求时,允许通过。
设备接收到以IP地址访问网站的请求报文时,做如下处理:
l 如果URL网页地址过滤对IP地址的支持功能配置为permit,允许报文通过。
l 如果URL网页地址过滤对IP地址的支持功能配置为deny,则检查ACL规则。ACL允许通过,则报文通过,否则将拒绝该请求。
目前网页一般都是动态的,与数据库相连的,通过WEB请求去数据库中查询或修改所需的数据。这使得不法分子可以通过在WEB网页中构造特殊的SQL语句窃取数据库中机密数据,或不断修改数据库的信息导致数据库瘫痪。这种攻击方式被称为SQL注入攻击。
为此,用SQL语句中的关键字以及其它可能产生SQL语句的字符与HTTP请求报文进行匹配。如果匹配成功,则认为是SQL注入攻击,禁止其通过,这种过滤方式称为URL参数过滤。
WEB传输参数的方式有很多种,其中最常用的是get、post方式。参数传输的方式决定了参数所在的位置,根据参数所在的位置获取参数,然后进行匹配过滤。目前,设备支持WEB参数过滤的传输方式为get、post和put方式。
SQL注入攻击一般基于英文URL进行,因此该特性不支持中文URL参数过滤。
设备收到包含URL参数的HTTP请求报文,根据WEB传输参数方式,从报文中获取URL参数。
l 非get、post、put方式的HTTP请求报文不做处理,直接通过。
l 如果是get、post、put方式的HTTP请求报文,则将其URL参数与设备上已配置的过滤参数条目进行匹配过滤,如果匹配成功,则拒绝该请求,否则允许报文通过。
通过对不可信站点的Java阻断功能,可以保护网络不受有害的Java Applets的破坏。
Java阻断功能启动后,所有对WEB页面中的Java Applet程序的请求将被过滤掉。如果用户仍然希望能够获取部分WEB页面的Java Applet程序,必须配置ACL规则,如果ACL规则允许访问,则用户对该WEB页面的Java Applet程序的请求可以通过。
l 使能Java Applet阻断功能后,如果没有配置ACL规则,则将HTTP请求报文中的“.class”、“.jar”等文件名后缀替换为“.block”,并允许该请求报文通过;
l 使能Java Applet阻断功能后,如果配置有ACL规则,则根据ACL过滤规则来决定HTTP请求报文中的“.class”、“.jar”是否用“.block”替代。如果ACL允许访问该服务器,则不做替代,报文正常通过;否则将后缀替换为“.block”,然后允许该请求报文通过;
l Java阻断过滤后缀可通过命令行配置,添加除“.class”、“jar”之外的阻断后缀关键字。
通过对不可信站点的ActiveX阻断功能,可以保护网络不受有害的ActiveX插件的破坏。
ActiveX阻断功能启动后,所有对WEB页面中的ActiveX插件的请求将被过滤掉。如果用户仍然希望能够获取部分WEB页面的ActiveX插件,必须配置ACL规则,如果ACL规则允许访问,则用户可以获取该WEB页面的ActiveX插件。
l 使能ActiveX阻断功能后,如果没有配置ACL规则,则将HTTP请求报文中的文件名后缀“.ocx”替换为“.block”,然后允许该报文通过;
l 使能ActiveX阻断功能后,如果配置有ACL规则,则根据ACL过滤规则来决定HTTP请求报文中的“.ocx”是否用“.block”替代。如果ACL允许访问该服务器,则不做替代,报文正常通过;否则将后缀替换为“.block”,然后允许该请求报文通过;
l ActiveX阻断过滤后缀可通过命令行配置,添加除“.ocx”之外的阻断后缀关键字。
系统提供保存过滤规则的功能,可以把用户配置的过滤规则保存在指定的文件里,该功能仅对网页地址过滤、URL参数过滤有效。
系统为用户提供装载过滤规则的功能,可以在设备启动后将用户指定的过滤规则自动装载到设备上。该功能的配置仅在设备重启后生效,并只对网页地址过滤、URL参数过滤有效。另外也提供了取消装载过滤规则的功能,用户可以取消装载已指定的过滤规则。
WEB过滤技术介绍.pdf(109.94 KB)