欢迎user
在传统的网络安全方案中,对网络攻击的防范主要针对于来自外部的各种攻击。随着网络在各行各业的普及,来自局域网内部的攻击也越来越多,这就要求网络设备能够应对构建安全内部网络的需求,增加内部网络安全特性。
目前设备所支持的Web过滤功能,可以阻止内部用户访问非法的网址,以及对网页内的Java或ActiveX程序进行阻断。Web过滤功能实现了以下功能:
l 网站地址过滤
l URL参数过滤
l Java阻断
l ActiveX阻断
下面将对以上四个功能分别进行介绍。
使用网站地址过滤可以阻止内部用户访问非法和不健康的网站,或者只允许用户访问某些特定的网站。
当收到HTTP请求报文时,设备会检测报文中的URL网站地址。如果该地址是配置为允许通过的,那么该Web请求可以通过;如果该网站地址是配置为不允许通过的,那么该Web请求将被拒绝,同时向发送Web请求的客户端和服务器端发送TCP reset报文。
使能网站地址过滤功能以后,还应当指定网站地址过滤的默认行为。缺省情况下,网站地址过滤的默认行为是deny,即当Web请求中URL网站地址与设备配置的过滤网址条目均不符合的情况下,将按照网站地址过滤的默认行为操作,拒绝该Web请求通过。
(1) 设备接收到HTTP请求报文,并从HTTP请求报文中获取URL网站地址。
(2) 用设备中已配置的网站地址过滤条目与HTTP请求报文中的网站地址进行匹配过滤。如果匹配成功,则执行相应的允许或拒绝操作;如果匹配不成功,则按照网站地址过滤的默认行为操作。
网站地址过滤功能启动以后,系统将默认拒绝所有直接以网站IP地址访问网站的Web请求。
l 如果希望能够直接以网站IP地址访问所有网站,必须将网站地址过滤对网站IP地址的支持配置为permit,则所有以网站IP地址访问网站的Web请求允许通过。
l 如果希望部分网站可以通过网站IP地址直接访问,必须将网站地址过滤对网站IP地址的支持配置为deny,并配置ACL规则允许部分IP地址形式的网站Web请求通过。当设备接收到以这部分网站IP地址直接访问网站的Web请求时,允许通过。
设备接收到以IP地址访问网站的请求报文时,做如下处理:
l 如果网站地址过滤对IP地址的支持功能配置为permit,允许报文通过。
l 如果网站地址过滤对IP地址的支持功能配置为deny,则检查ACL规则。ACL允许通过,则报文通过,否则将拒绝该请求。
目前网页一般都是动态的,与数据库相连的,通过Web请求去数据库中查询或修改所需的数据。这使得不法分子可以通过在Web网页中构造特殊的SQL语句窃取数据库中机密数据,或不断修改数据库的信息导致数据库瘫痪。这种攻击方式被称为SQL注入攻击。
为此,用SQL语句中的关键字以及其它可能产生SQL语句的字符与HTTP请求报文进行匹配。如果匹配成功,则认为是SQL注入攻击,禁止其通过,这种过滤方式称为URL参数过滤。
Web传输参数的方式有很多种,其中最常用的是get、post方式。参数传输的方式决定了参数所在的位置,根据参数所在的位置获取参数,然后进行匹配过滤。目前,设备支持对传输方式为get、post和put的Web请求进行URL参数过滤。
SQL注入攻击一般基于英文URL进行,因此该特性不支持中文URL参数过滤。
设备收到包含URL参数的HTTP请求报文,根据Web传输参数方式,从报文中获取URL参数。
l 非get、post、put方式的HTTP请求报文不做处理,直接通过。
l 如果是get、post、put方式的HTTP请求报文,则将其URL参数与设备上已配置的过滤参数条目进行匹配过滤,如果匹配成功,则拒绝该请求,否则允许报文通过。
通过对不可信站点的Java阻断功能,可以保护网络不受有害的Java Applets的破坏。
Java阻断功能启动后,所有对Web页面中的Java Applet程序的请求将被过滤掉。如果用户仍然希望能够获取部分Web页面的Java Applet程序,必须配置ACL规则,如果ACL规则允许访问,则用户对该Web页面的Java Applet程序的请求可以通过。
l 使能Java Applet阻断功能后,如果没有配置ACL规则,则将所有HTTP请求报文中的“.class”、“.jar”等文件名后缀都替换为“.block”,并允许该请求报文通过;
l 使能Java Applet阻断功能后,如果配置有ACL规则,则根据ACL过滤规则来决定HTTP请求报文中的“.class”、“.jar”是否用“.block”替代。如果HTTP请求的目的服务器为ACL允许访问的服务器,则不做替代,报文正常通过;否则将后缀替换为“.block”,然后允许该请求报文通过;
l 用户可以添加除“.class”、“.jar”之外的阻断后缀关键字。
通过对不可信站点的ActiveX阻断功能,可以保护网络不受有害的ActiveX插件的破坏。
ActiveX阻断功能启动后,所有对Web页面中的ActiveX插件的请求将被过滤掉。如果用户仍然希望能够获取部分Web页面的ActiveX插件,必须配置ACL规则,如果ACL规则允许访问,则用户可以获取该Web页面的ActiveX插件。
l 使能ActiveX阻断功能后,如果没有配置ACL规则,则将所有HTTP请求报文中的文件名后缀“.ocx”都替换为“.block”,然后允许该报文通过;
l 使能ActiveX阻断功能后,如果配置有ACL规则,则根据ACL过滤规则来决定HTTP请求报文中的“.ocx”是否用“.block”替代。如果HTTP请求的目的服务器为ACL允许访问的服务器,则不做替代,报文正常通过;否则将后缀替换为“.block”,然后允许该请求报文通过;
l 用户可以添加除“.ocx”之外的阻断后缀关键字。