操作手册01安全分册05web过滤配置

操作手册安全分册WEB过 目 1 1 1 2 2 3 3 4 4 4 5 5 6 6 7WEB过滤显示和................................................................................................................1- 8 8 阻断后缀配置.......................................................................................................1- i第1WEB在传统的方案中，对网络的防范主要针对于来自外部的各种。随着网络在各行各业的普及，来自局域网内部的也越来越多，这就要求网络设备目前设备所支持的WEB过滤功能，可以内部用户的，以及对网页内的Java或ActiveX程序进行阻断。WEB过滤功能实现了以下功能：WEB请求可以通过；如果该网页地址是配置为不允许通过的，那么该WEB请求将被，同时向发送WEB请求的客户端和服务器端发送TCPreset报文。URLURL网页地址过滤的默认行为。缺行为操作，该WEB请求通过。用设备中已配置的网页地址过滤条目与HTTP请求报文中的网页地址进行匹按照URL网页地址过滤的默认行为操作。URL网页地址过滤功能启动以后，系统将默认所有直接以IP地址的WEB请求。IP地址的支持配置为permit，则所有以IP地址的WEB请WEB请求通过。当设备接收到以这部分IP地址直接的WEBWEB请求去数据库中查询或修数据库中数据，或不断修改数据库的信息导致数据库瘫痪。这种方式被称为SQL注入。称为URL参数过滤。WEBget、post方式。参数传输的方式设备支持WEB参数过滤的传输方式为get、postput方式。取URL参数。JavaJavaApplets的破WEBJavaAppletACL规则，如果ACL规则允许，则用户对该WEB页面的JavaApplet程序的请求可JavaAppletACLACL过滤规则HTTP请求报文中的“.class”、“.jar”是否用“.block”替代。如果ACL允许该服务器，则不做替代，报文正常通过；否则将后缀替换为ActiveXActiveX插件的ActiveXWEB页面中的ActiveX插件的请求将被过滤掉。如果ACL规则允许，则用户可以获取该WEB页面的ActiveX插件。ActiveXACLHTTP请求报文中ActiveX阻断过滤后缀可通过命令行配置，不是以“.ocx该功能仅对网页地址过滤、URL参数过滤有效。参数过滤有效。另外也提供了取消装载过滤规则令行，用户可以取消装载已指注意：配置WEB-firewallhttpurl-filterhostfirewallhttpurl-filterhost{deny|permit行为为denyfirewallhttpurl-filterhosturl-address{deny|permit}firewallhttpurl-filterhostfirewallhttpurl-filterhostdisyfirewallhttpurl-filter[all| |verbose表1-2配置网页地址过滤对IP地址的支-firewallhttpurl-filterhost站IP地址的支持firewallhttpurl-filterhostip-{deny|permit滤不支持IP地址firewallhttpurl-filterhost地址过滤的ACL规则disyfirewallhttpurl-filter[all| |verboseURL网页地址过滤功能启动以后，系统将默认所有直接以IP地的WEB请求。如果希望以WEB方式登录设备进行管理和，需要配ACLIPWEB表1-3URL-firewallhttpurl-filter{default firewallhttpurl-filterparameterfirewallhttpurl-filterparameterdisyfirewallhttpurl-filterparameter[all|item verbose]表1-4Java-firewallhttpjava-blockingfirewallhttpjava-blockingfirewallhttpjava-blockingJava阻断的ACLdisyfirewallhttpjava-[all| |verbose表1-5配置ActiveX-使能ActiveXfirewallhttpactivex-blocking添加ActiveX阻断后缀firewallhttpactivex-blocking设置ActiveXfirewallhttpactivex-blockingJava阻断的ACL显示ActiveX[all| |verbose在完成上述配置后，在任意视图下执行disy命令可以显示配置后WEB过滤的表1-6WEBdisyfirewallhttpurl-filterhost[all||verbosedisyfirewallhttpurl-filterparameter[all||verbosedisyfirewallhttpjava-blocking[all||verbose显示ActiveXdisyfirewallhttpactivex-blocking[all||verbose清除WEB|url-filterhost|url-filterparameter}局域网/24网段内的主机通过设备Internet。启用网页地址过滤功 的，同时允许用户可以使用IP地址的方式该。图1-1[SecPath]aclnumber[SecPath-acl-basic-2200]rule0permitsource55[SecPath-acl-basic-2200]rule1denysourceany[SecPath]nataddress-group01[SecPath]interfaceGigabitEthernet0/1[SecPath-GigabitEthernet0/1]natoutbound2200address-group1[SecPath-GigabitEthernet0/1]quit[SecPath]firewallhttpurl-filterhost#配置仅允许用户，并设置默认过滤行为为[SecPath]firewallhttpurl-filterhosturl-addresspermit[SecPath]firewallhttpurl-filterhostdefaultdeny[SecPath]aclnumber[SecPath-acl-basic-2000]rule0permitsource[SecPath-acl-basic-2000]rule1denysourceany[SecPath]firewallhttpurl-filterhostip-addressdeny[SecPath]firewallhttpurl-filterhostacl2000通过disyfirewallhttpurl-filterhostverbose命令查看网页地址过滤的详细信[SecPath]disyfirewallhttpurl-filterhostverboseURL-filterhostisenabled.Defaultmethod:ThesupportforIPaddress:deny.TheconfiguredACLgroupis2000.Nofilehasbeenloaded.Thereare1packet(s)beingfiltered.Thereare1packet(s)beingpassed.通过disyfirewallhttpurl-filterhostall命令查看网页地址过滤的所有条目信[SecPath]dis yfirewallhttpurl-filterhostallSNMatch-Times 能，使用用户自定义的参数group过滤HTTP请求报文。图1-2URL<SecPath>system-view[SecPath]aclnumber2200[SecPath-acl-basic-2200]rule0permitsource55[SecPath-acl-basic-2200]rule1denysourceany[SecPath]nataddress-group01[SecPath]interfaceGigabitEthernet0/1[SecPath-GigabitEthernet0/1]natoutbound2200address-group1[SecPath-GigabitEthernet0/1]quit[SecPath]firewallhttpurl-filterparameterenable[SecPath]firewallhttpurl-filterparameter [SecPath]dis yfirewallhttpurl-filterparameterverboseURL-filterparameterisenabled.NofilehasbeenThereare1packet(s)beingfiltered.Thereare2packet(s)beingpassed.[SecPath]disyfirewallhttpurl-filterparameterallSNMatch-Times 添加后缀名为“.js”的过滤项，同时只允许IP地址为的JavaApplet图1-3Java<SecPath>system-view[SecPath]aclnumber2200[SecPath-acl-basic-2200]rule0permitsource55[SecPath-acl-basic-2200]rule1denysourceany[SecPath]nataddress-group01[SecPath]interfaceGigabitEthernet0/1[SecPath-GigabitEthernet0/1]natoutbound2200address-group1[SecPath-GigabitEthernet0/1]quit[SecPath]aclnumber[SecPath-acl-basic-2100]rule0permitsource[SecPath-acl-basic-2100]rule1denysourceany[SecPath]firewallhttpjava-blockingenable[SecPath]firewallhttpjava-blockingsuffix.js[SecPath]firewallhttpjava-blockingacl2100通过disyfirewallhttpjava-blockingverbose命令查看Java阻断的详细信息[SecPath]disyfirewallhttpjava-blockingverboseJavablockingisenabled.TheconfiguredA