如何进行URL过滤配置？

任务引言

统一资源定位符（Uniform Resource Locator，URL）是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示，是互联网上标准资源的地址。其中有些资源实现了有利资源共享，有些则会影响正常工作的进行。对URL有效限制也是网络管理的重要手段。

学习目标

了解URL限制的重要意义；

掌握URL过滤配置。

知识引入

互联网上的每一个文件都有一个唯一的URL，它包含了协议、IP地址、路径和文件名等信息，可指出文件的位置及浏览器处理的方式。

URL过滤是指对访问数据的统一资源定位符进行匹配，对策略中不允许通行的数据进行拦截。URL过滤是网络设备在传输层中通过策略检查固定协议的内容及特点，进行相应处理。

【工作任务】——URL过滤配置

1．工作任务背景

千山公司发现最近有些员工在访问www.baidu.com时，带回一些病毒，因此信息中心暂时对这一网站限制访问。URL过滤如图5-9-1所示。

图5-9-1　URL过滤

2．工作任务分析

环境设备如图5-9-1和表5-9-2所示。

表5-9-1　深圳总公司部门网络信息

表5-9-2　网络参数设置

配置URL过滤，使PC1和PC2都不能访问网站www.baidu.com。

【任务实现】

1．根据所学知识完成交换机s1 VLAN划分、端口添加及IP地址配置

s1（config）#vlan 80

s1（Config-Vlan80）#switchport interface ethernet 0/0/1-10

s1（Config-Vlan80）#exit

s1（config）#int vlan 1

s1（Config-if-Vlan1）#ip address 192.168.1.1 255.255.255.0

s1（Config-if-Vlan1）#no shutdown

s1（Config-if-Vlan1）#exit

s1（config）#int vlan 80

s1（Config-if-Vlan80）#ip address 192.168.80.1 255.255.255.0

s1（Config-if-Vlan80）#no shutdown

s1（Config-if-Vlan80）#exit

s1（config）#router ospf 1

s1（config-router）#network 192.168.1.0/24 area 0

s1（config-router）#network 192.168.80.0/24 area 0

s1（config-router）#exit

2．根据所学知识完成交换机s2 VLAN划分、端口添加及IP地址配置

s2（config）#vlan 10

s2（Config-Vlan10）#switchport interface ethernet 0/0/1-4

s2（Config-Vlan10）#exit

s2（config）#vlan 20

s2（Config-Vlan20）#switchport interface ethernet 0/0/5-8

s2（Config-Vlan20）#exit

s2（config）#int vlan 1

s2（Config-if-Vlan1）#ip address 192.168.1.2 255.255.255.0

s2（Config-if-Vlan1）#exit

s2（config）#int vlan 10

s2（Config-if-Vlan10）#ip address 192.168.10.1 255.255.255.0

s2（Config-if-Vlan10）#no shutdown

s2（Config-if-Vlan10）#int vlan 20

s2（Config-if-Vlan20）#ip address 192.168.20.1 255.255.255.0

s2（Config-if-Vlan20）#no shutdown

s2（Config-if-Vlan20）#exit

s2（config）#router ospf 1

s2（config-router）#network 192.168.1.0/24 area 0(www.xing528.com)

s2（config-router）#network 192.168.10.0/24 area 0

s2（config-router）#network 192.168.20.0/24 area 0

s2（config-router）#exit

3．根据所学知识完成防火墙端口与基本策略配置

（1）接口配置，如图5-9-2所示。

图5-9-2　接口配置列表

（2）设置防火墙策略允许trust访问untrust，如图5-9-3所示。

图5-9-3　安全策略配置

4．根据验证环境配置防火墙外网接口IP和策略，使内网用户能访问Internet

（1）添加一条出外网的默认路由，如图5-9-4所示。

图5-9-4　默认路由配置

（2）添加源NAT出外网都转换成接口IP地址，如图5-9-5所示。

图5-9-5　SNAT配置

5．初步测试

初步测试，发现PC1和PC2均能访问www.baidu.com，如图5-9-6所示。

图5-9-6　www.baidu.com访问

6．创建http-profile，启用URL过滤功能

选择“应用”，单击“HTTP控制”，在HTTP Profile列表单击“新建”，在弹出的HTTP Profile配置界面输入Profile名称“http-profile”，URL过滤项目选择“启用”，单击“确认”完成，如图5-9-7所示。

图5-9-7　创建http-profile

7．创建Profile组，将创建的http-profile添加到组

选择“对象”，单击“Profile组”，在Profile组列表中单击“新建”，在弹出的Profile组配置界面名称输入“profile-group”，将“http-profile”添加到组成员，如图5-9-8所示。

图5-9-8　创建Profile组

8．设置URL过滤规则

选择“应用”，单击“URL过滤”，在URL过滤配置界面，在黑名单URL项中输入“www.baidu.com”，单击将其添加到黑名单列表中，单击“确定”即可，如图5-9-9所示。

图5-9-9　URL过滤规则

9．在安全策略中引用Profile组

选择“防火墙”，单击“策略”，新建trust到untrust策略，在弹出的策略高级配置界面中，引入Profile组“profile-group”，如图5-9-10所示。

图5-9-10　引用Profile组

10．验证配置

PC1访问www.baidu.com，观察现象，如图5-9-11所示。

图5-9-11　PC1限制效果

PC2访问www.baidu.com，观察现象，如图5-9-12所示。

图5-9-12　PC2限制效果

当内网用户在访问www.baidu.com时便会提示访问被拒绝。

【问题探究】

（1）Profile、Profile组的相关应用。

（2）URL限制的优缺点。

（3）URL限制的应用。

【知识拓展】

黑/白名单规则是指对用户或IP地址等进行记录，应用限制或优先级处理措施。如果设立黑名单，则被列入黑名单的用户（IP地址、应用服务）不能通过。如果设置白名单，则被列入白名单的用户允许通过。

白名单若设置了用户，则白名单以外的用户都不能通过。

黑名单若设置了用户，则黑名单以外的用户都能通过。

【任务拓展】

利用所学知识禁止对网易所有网页的访问。