登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

WEB过滤技术介绍

 

Web过滤... 1

Web过滤简介.. 1

网站地址过滤.. 1

网站地址过滤对网站IP地址的支持.. 1

URL参数过滤.. 2

Java阻断.. 2

ActiveX阻断.. 3

 


Web过滤

Web过滤简介

在传统的网络安全方案中,对网络攻击的防范主要针对于来自外部的各种攻击。随着网络在各行各业的普及,来自局域网内部的攻击也越来越多,这就要求网络设备能够应对构建安全内部网络的需求,增加内部网络安全特性。

目前设备所支持的Web过滤功能,可以阻止内部用户访问非法的网址,以及对网页内的JavaActiveX程序进行阻断。Web过滤功能实现了以下功能:

l              网站地址过滤

l              URL参数过滤

l              Java阻断

l              ActiveX阻断

下面将对以上四个功能分别进行介绍。

网站地址过滤

1. 特性介绍

使用网站地址过滤可以阻止内部用户访问非法和不健康的网站,或者只允许用户访问某些特定的网站。

当收到HTTP请求报文时,设备会检测报文中的URL网站地址。如果该地址是配置为允许通过的,那么该Web请求可以通过;如果该网站地址是配置为不允许通过的,那么该Web请求将被拒绝,同时向发送Web请求的客户端和服务器端发送TCP reset报文。

使能网站地址过滤功能以后,还应当指定网站地址过滤的默认行为。缺省情况下,网站地址过滤的默认行为是deny,即当Web请求中URL网站地址与设备配置的过滤网址条目均不符合的情况下,将按照网站地址过滤的默认行为操作,拒绝该Web请求通过。

2. 处理过程

(1)        设备接收到HTTP请求报文,并从HTTP请求报文中获取URL网站地址。

(2)        用设备中已配置的网站地址过滤条目与HTTP请求报文中的网站地址进行匹配过滤。如果匹配成功,则执行相应的允许或拒绝操作;如果匹配不成功,则按照网站地址过滤的默认行为操作。

网站地址过滤对网站IP地址的支持

1. 特性介绍

网站地址过滤功能启动以后,系统将默认拒绝所有直接以网站IP地址访问网站的Web请求。

l              如果希望能够直接以网站IP地址访问所有网站,必须将网站地址过滤对网站IP地址的支持配置为permit,则所有以网站IP地址访问网站的Web请求允许通过。

l              如果希望部分网站可以通过网站IP地址直接访问,必须将网站地址过滤对网站IP地址的支持配置为deny,并配置ACL规则允许部分IP地址形式的网站Web请求通过。当设备接收到以这部分网站IP地址直接访问网站的Web请求时,允许通过。

2. 处理过程

设备接收到以IP地址访问网站的请求报文时,做如下处理:

l              如果网站地址过滤对IP地址的支持功能配置为permit,允许报文通过。

l              如果网站地址过滤对IP地址的支持功能配置为deny,则检查ACL规则。ACL允许通过,则报文通过,否则将拒绝该请求。

URL参数过滤

1. 特性介绍

目前网页一般都是动态的,与数据库相连的,通过Web请求去数据库中查询或修改所需的数据。这使得不法分子可以通过在Web网页中构造特殊的SQL语句窃取数据库中机密数据,或不断修改数据库的信息导致数据库瘫痪。这种攻击方式被称为SQL注入攻击。

为此,用SQL语句中的关键字以及其它可能产生SQL语句的字符与HTTP请求报文进行匹配。如果匹配成功,则认为是SQL注入攻击,禁止其通过,这种过滤方式称为URL参数过滤。

Web传输参数的方式有很多种,其中最常用的是getpost方式。参数传输的方式决定了参数所在的位置,根据参数所在的位置获取参数,然后进行匹配过滤。目前,设备支持对传输方式为getpostputWeb请求进行URL参数过滤。

SQL注入攻击一般基于英文URL进行,因此该特性不支持中文URL参数过滤。

2. 处理过程

设备收到包含URL参数的HTTP请求报文,根据Web传输参数方式,从报文中获取URL参数。

l              getpostput方式的HTTP请求报文不做处理,直接通过。

l              如果是getpostput方式的HTTP请求报文,则将其URL参数与设备上已配置的过滤参数条目进行匹配过滤,如果匹配成功,则拒绝该请求,否则允许报文通过。

Java阻断

1. 特性介绍

通过对不可信站点的Java阻断功能,可以保护网络不受有害的Java Applets的破坏。

Java阻断功能启动后,所有对Web页面中的Java Applet程序的请求将被过滤掉。如果用户仍然希望能够获取部分Web页面的Java Applet程序,必须配置ACL规则,如果ACL规则允许访问,则用户对该Web页面的Java Applet程序的请求可以通过。

2. 处理过程

l              使能Java Applet阻断功能后,如果没有配置ACL规则,则将所有HTTP请求报文中的“.class”、“.jar”等文件名后缀都替换为“.block”,并允许该请求报文通过;

l              使能Java Applet阻断功能后,如果配置有ACL规则,则根据ACL过滤规则来决定HTTP请求报文中的“.class”、“.jar”是否用“.block”替代。如果HTTP请求的目的服务器为ACL允许访问的服务器,则不做替代,报文正常通过;否则将后缀替换为“.block”,然后允许该请求报文通过;

l              用户可以添加除“.class”、“.jar”之外的阻断后缀关键字。

ActiveX阻断

1. 特性介绍

通过对不可信站点的ActiveX阻断功能,可以保护网络不受有害的ActiveX插件的破坏。

ActiveX阻断功能启动后,所有对Web页面中的ActiveX插件的请求将被过滤掉。如果用户仍然希望能够获取部分Web页面的ActiveX插件,必须配置ACL规则,如果ACL规则允许访问,则用户可以获取该Web页面的ActiveX插件。

2. 处理过程

l              使能ActiveX阻断功能后,如果没有配置ACL规则,则将所有HTTP请求报文中的文件名后缀“.ocx”都替换为“.block”,然后允许该报文通过;

l              使能ActiveX阻断功能后,如果配置有ACL规则,则根据ACL过滤规则来决定HTTP请求报文中的“.ocx”是否用“.block”替代。如果HTTP请求的目的服务器为ACL允许访问的服务器,则不做替代,报文正常通过;否则将后缀替换为“.block”,然后允许该请求报文通过;

l              用户可以添加除“.ocx”之外的阻断后缀关键字。

附件下载

新华三官网
联系我们