如何进行网页内容过滤配置

任务引言

互联网上的信息良莠不齐，存在很多宣扬色情、暴力、迷信等的网站。控制对这些网站的访问，保护人们的身心健康成为现代网络发展趋势。

学习目标

了解防火墙过滤网页内容的原理；

掌握防火墙过滤网页内容配置。

知识引入

网页内容过滤是对网页文件进行监控，防止某些特定网页内容在网络上进行传输的技术。网页内容过滤分析网页的内容，对关键字进行搜索，根据限制设定可对网页进行灵活过滤。

网页内容过滤的优势：

（1）过滤目标明确，易操作。

（2）限制范围广泛。

【工作任务】——网页内容过滤配置

1．工作任务背景

公安部门发出通知，要求企业、单位限制员工在公司访问色情网站。千山公司深圳总公司为响应这一举措，要求网络配置过滤员工访问内容中含“色情”3次或3次以上的网页。网页内容过滤如图5-10-1所示。

图5-10-1　网页内容过滤

2．工作任务分析

环境设备如表5-10-1和表5-10-2所示。

表5-10-1　深圳总公司部门网络信息

表5-10-2　网络参数设置

在PC3上配置Web服务，发布一个测试网站。在防火墙配置网页内容过滤，如果访问的网页内容包含3次或3次以上的“色情”字样，则将该网页过滤掉，不允许PC1或PC2访问。

【任务实现】

1．根据所学知识完成交换机s1 VLAN划分、端口添加及IP地址配置

s1（config）#vlan 80

s1（Config-Vlan80）#switchport interface ethernet 0/0/1-10

s1（Config-Vlan80）#exit

s1（config）#int vlan 1

s1（Config-if-Vlan1）#ip address 192.168.1.1 255.255.255.0

s1（Config-if-Vlan1）#no shutdown

s1（Config-if-Vlan1）#exit

s1（config）#int vlan 80

s1（Config-if-Vlan80）#ip address 192.168.80.1 255.255.255.0

s1（Config-if-Vlan80）#no shutdown

s1（Config-if-Vlan80）#exit

s1（config）#router ospf 1

s1（config-router）#network 192.168.1.0/24 area 0

s1（config-router）#network 192.168.80.0/24 area 0

s1（config-router）#exit

2．根据所学知识完成交换机s2 VLAN划分、端口添加及IP地址配置

s2（config）#vlan 10

s2（Config-Vlan10）#switchport interface ethernet 0/0/1-4

s2（Config-Vlan10）#exit

s2（config）#vlan 20

s2（Config-Vlan20）#switchport interface ethernet 0/0/5-8

s2（Config-Vlan20）#exit

s2（config）#int vlan 1

s2（Config-if-Vlan1）#ip address 192.168.1.2 255.255.255.0

s2（Config-if-Vlan1）#exit

s2（config）#int vlan 10

s2（Config-if-Vlan10）#ip address 192.168.10.1 255.255.255.0

s2（Config-if-Vlan10）#no shutdown

s2（Config-if-Vlan10）#int vlan 20

s2（Config-if-Vlan20）#ip address 192.168.20.1 255.255.255.0

s2（Config-if-Vlan20）#no shutdown

s2（Config-if-Vlan20）#exit

s2（config）#router ospf 1

s2（config-router）#network 192.168.1.0/24 area 0(www.xing528.com)

s2（config-router）#network 192.168.10.0/24 area 0

s2（config-router）#network 192.168.20.0/24 area 0

s2（config-router）#exit

3．根据所学知识完成防火墙端口与基本策略配置

（1）接口配置，如图5-10-2所示。

图5-10-2　接口配置列表

（2）配置安全策略，如图5-10-3所示。

图5-10-3　安全策略配置

4．根据验证环境配置防火墙外网接口IP和策略，使内网用户能访问Internet

（1）添加一条外出默认路由，如图5-10-4所示。

图5-10-4　默认路由配置

（2）添加源NAT出外网都转换成接口IP地址，如图5-10-5所示。

图5-10-5　SNAT配置

5．在PC3上配置Web服务

因为Web服务在其他课程体系有介绍，这里不再赘述。

6．初步测试

制作一个网页，网页内容含9处“色情”字样，这时PC1和PC2能访问，如图5-10-6所示。

图5-10-6　Web访问

7．在内容过滤中创建类别

选择“应用”，单击内容过滤下的“类别”，在类别列表中单击“新建”，在新建内容过滤类别界面中输入“content”，如图5-10-7所示。

图5-10-7　创建类别

8．指定要过滤的关键字并设置属性

选择“应用”，单击内容过滤下的“关键字”，在关键字列表单击“新建”，在弹出的新建内容过滤关键字界面中关键字输入“色情”，类别选择“content”，信任值为“300”，单击“应用”即可，如图5-10-8所示。

图5-10-8　设置关键字属性

9．创建类别组，添加类别成员并设置警戒值

选择“应用”，单击内容过滤下的“类别组”，在类别组列表下单击“新建”，在弹出的新建内容过滤类别组中输入“content类别组”。编辑“content类别组”，单击“添加”，在弹出的添加类别组成员界面中输入类别为“content”，行为为“拒绝”，警戒值为“100”，如图5-10-9所示。

图5-10-9　创建类别组

10．创建内容过滤Profile，并添加类别组

选择“应用”，单击内容过滤下的“Profile”，在内容Profile列表中单击“新建”，弹出新建内容Profile界面，Profile输入“content过滤profile”，类别组选择“content类别组”，单击“添加”，如图5-10-10所示。

图5-10-10　添加类别组

11．创建一个Profile组，将内容过滤Profile加入到该Profile组

选择“对象”，单击“Profile组”，在Profile组列表中单击“新建”，弹出Profile组名称界面，名称输入“content过滤profile组”，将“content过滤profile”添加到组成员中，单击“确认”即可，如图5-10-11所示。

图5-10-11　创建Profile组

12．在策略中引用Profile组

选择“防火墙”，单击“策略”，新建trust到untrust策略，在安全策略中勾选“Profile组”，选择“content过滤profile组”，单击“确认”即可，如图5-10-12所示。

图5-10-12　引用Profile组

13．验证配置

PC1访问PC3中做好的网站网页，观察效果。

PC2访问PC3中做好的网站网页，观察效果。

【问题探究】

（1）内容过滤的应用。

（2）信任值与警戒值的关系。

【知识拓展】

若出现的次数为N，则N>=警戒值/信任值。

【任务拓展】

公安部门发出通知，要求企业、单位限制员工在公司访问暴力网站。千山公司深圳总公司为响应这一举措，要求网络配置过滤员工访问内容中含“暴力”10次或10次以上的网页。请在图5-10-1所示的拓扑图内完成。