安全与VPN-Web过滤技术介绍-D

1、，安全与VPN-Web过滤技术介绍技术介绍 安全和 VPN目 录i目 录 HYPERLINK l _bookmark0 Web过滤 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 Web过滤简介 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 网站地址过滤 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 网站地址过滤对网站IP地址的支持 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 URL参数过滤 HY

2、PERLINK l _bookmark1 2 HYPERLINK l _bookmark1 Java阻断 HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark2 ActiveX阻断 HYPERLINK l _bookmark2 3技术介绍 安全和 VPNWeb 过滤 PAGE 3Web 过滤Web 过滤简介在传统的网络安全方案中，对网络攻击的防范主要针对于来自外部的各种攻击。随着网络在各行各业的普及，来自局域网内部的攻击也越来越多，这就要求网络设备能够应对构建安全内部网络的需求，增加内部网络安全特性。目前设备所支持的 Web 过滤功能，可以阻止内部用户访

3、问非法的网址，以及对网页内的 Java 或ActiveX 程序进行阻断。Web 过滤功能实现了以下功能：网站地址过滤URL 参数过滤Java 阻断ActiveX 阻断下面将对以上四个功能分别进行介绍。网站地址过滤特性介绍使用网站地址过滤可以阻止内部用户访问非法和不健康的网站，或者只允许用户访问某些特定的网站。当收到 HTTP 请求报文时，设备会检测报文中的 URL 网站地址。如果该地址是配置为允许通过的， 那么该 Web 请求可以通过；如果该网站地址是配置为不允许通过的，那么该 Web 请求将被拒绝， 同时向发送 Web 请求的客户端和服务器端发送 TCP reset 报文。使能网站地址过滤功

4、能以后，还应当指定网站地址过滤的默认行为。缺省情况下，网站地址过滤的默认行为是 deny，即当 Web 请求中 URL 网站地址与设备配置的过滤网址条目均不符合的情况下， 将按照网站地址过滤的默认行为操作，拒绝该 Web 请求通过。处理过程设备接收到 HTTP 请求报文，并从 HTTP 请求报文中获取 URL 网站地址。用设备中已配置的网站地址过滤条目与 HTTP 请求报文中的网站地址进行匹配过滤。如果匹配成功，则执行相应的允许或拒绝操作；如果匹配不成功，则按照网站地址过滤的默认行为操作。网站地址过滤对网站 IP 地址的支持特性介绍网站地址过滤功能启动以后，系统将默认拒绝所有直接以网站 IP

5、地址访问网站的 Web 请求。如果希望能够直接以网站 IP 地址访问所有网站，必须将网站地址过滤对网站 IP 地址的支持配置为 permit，则所有以网站 IP 地址访问网站的 Web 请求允许通过。如果希望部分网站可以通过网站 IP 地址直接访问，必须将网站地址过滤对网站 IP 地址的支持配置为 deny，并配置 ACL 规则允许部分 IP 地址形式的网站 Web 请求通过。当设备接收到以这部分网站 IP 地址直接访问网站的 Web 请求时，允许通过。处理过程设备接收到以 IP 地址访问网站的请求报文时，做如下处理：如果网站地址过滤对 IP 地址的支持功能配置为 permit，允许报文通过。

6、如果网站地址过滤对 IP 地址的支持功能配置为 deny，则检查 ACL 规则。ACL 允许通过，则报文通过，否则将拒绝该请求。URL 参数过滤特性介绍目前网页一般都是动态的，与数据库相连的，通过 Web 请求去数据库中查询或修改所需的数据。这使得不法分子可以通过在 Web 网页中构造特殊的 SQL 语句窃取数据库中机密数据，或不断修改数据库的信息导致数据库瘫痪。这种攻击方式被称为 SQL 注入攻击。为此，用 SQL 语句中的关键字以及其它可能产生 SQL 语句的字符与 HTTP 请求报文进行匹配。如果匹配成功，则认为是 SQL 注入攻击，禁止其通过，这种过滤方式称为 URL 参数过滤。Web

7、 传输参数的方式有很多种，其中最常用的是 get、post 方式。参数传输的方式决定了参数所在的位置，根据参数所在的位置获取参数，然后进行匹配过滤。目前，设备支持对传输方式为 get、post 和 put 的 Web 请求进行 URL 参数过滤。SQL 注入攻击一般基于英文 URL 进行，因此该特性不支持中文 URL 参数过滤。处理过程设备收到包含 URL 参数的 HTTP 请求报文，根据 Web 传输参数方式，从报文中获取 URL 参数。非 get、post、put 方式的 HTTP 请求报文不做处理，直接通过。如果是 get、post、put 方式的 HTTP 请求报文，则将其 URL 参

8、数与设备上已配置的过滤参数条目进行匹配过滤，如果匹配成功，则拒绝该请求，否则允许报文通过。Java 阻断特性介绍通过对不可信站点的 Java 阻断功能，可以保护网络不受有害的 Java Applets 的破坏。Java 阻断功能启动后，所有对 Web 页面中的 Java Applet 程序的请求将被过滤掉。如果用户仍然希望能够获取部分 Web 页面的 Java Applet 程序，必须配置 ACL 规则，如果 ACL 规则允许访问， 则用户对该 Web 页面的 Java Applet 程序的请求可以通过。处理过程使能Java Applet 阻断功能后，如果没有配置ACL 规则，则将所有HTTP

9、 请求报文中的“.class”、 “.jar”等文件名后缀都替换为“.block”，并允许该请求报文通过；使能 Java Applet 阻断功能后，如果配置有 ACL 规则，则根据 ACL 过滤规则来决定 HTTP 请求报文中的“.class”、“.jar”是否用“.block”替代。如果 HTTP 请求的目的服务器为 ACL 允许访问的服务器，则不做替代，报文正常通过；否则将后缀替换为“.block”，然后允许该请求报文通过；用户可以添加除“.class”、“.jar”之外的阻断后缀关键字。ActiveX 阻断特性介绍通过对不可信站点的 ActiveX 阻断功能，可以保护网络不受有害的 ActiveX 插件的破坏。ActiveX 阻断功能启动后，所有对 Web 页面中的 ActiveX 插件的请求将被过滤掉。如果用户仍然希望能够获取部分 Web 页面的 ActiveX 插件，必须配置 ACL 规则，如果 ACL 规则允许访问，则用户可以获取该 Web 页面的 ActiveX 插件。处理过程使能 ActiveX 阻断功能后，如果没有配置 ACL 规则，则将所有 HTTP 请求报文中的文件名后缀“.ocx”都替换为“.block”，然后允许该报文通过；使能 ActiveX 阻断功能后，如果配置有