首页 理论教育 Web过滤技术实例-网络安全技术与实例

Web过滤技术实例-网络安全技术与实例

时间:2023-10-27 理论教育 版权反馈
【摘要】:防火墙的Web过滤功能可以阻止内部用户访问非法的网址,对网页内的Java或ActiveX程序进行阻断。图2.73 网站地址过滤当接收到HTTP请求时,防火墙会检测报文中URL网站地址。目前,设备支持Web参数过滤的传输方式为Get,Post和Put方式。表2.2 通配符含义如果过滤关键字的开头有“”或结尾有“$”,表示精确匹配。图2.76 ActiveX过滤ActiveX阻断功能启动后,所有对Web页面中的ActiveX插件的请求将被过滤掉。

Web过滤技术实例-网络安全技术与实例

在传统的网络安全方案中,对网络入侵的防范主要针对来自外部的各种攻击。随着网络在各行业的普及,来自局域网内部的攻击也越来越多,这就要求防火墙设备能够应对构建安全内部网络的需求,增加内部网络应用的安全。

防火墙的Web过滤功能可以阻止内部用户访问非法的网址,对网页内的Java或ActiveX程序进行阻断。

1.Web过滤方式

(1)网站地址过滤 使用网站地址过滤可以阻止内部用户访问非法和不健康的网页,或者只允许用户访问某些特定的网页,如图2.73所示。

图2.73 网站地址过滤

当接收到HTTP请求时,防火墙会检测报文中URL网站地址。如果该地址是允许通过的,那么,该Web请求可以通过;如果该网站地址是不允许通过的,那么,该Web请求将被拒绝。

(2)URL参数过滤 目前,网页一般都是动态的,与数据库相连接,通过Web请求去数据库中查询或修改所需要的数据。这就使得攻击者可以通过Web网页中构造特殊的SQL语句窃取数据库中的机密信息,或不断修改数据库的信息导致数据库瘫痪。这种攻击方式被称为SQL注入攻击。

为此,用SQL语句中关键字以及其他可能产生SQL语句的字符与HTTP请求报文进行匹配。如果匹配成功,则认为是SQL注入攻击,禁止其通过,这种过滤方式称为URL参数过滤。如图2.74所示。

图2.74 URL参数过滤

Web传输参数的方式有很多种,其中最常用的是Get,Post方式。参数传输的方式决定了参数所在的位置,根据参数所在的位置获取参数,然后进行匹配过滤。目前,设备支持Web参数过滤的传输方式为Get,Post和Put方式。

当防火墙接收到包含URL参数的HTTP请求报文时,根据Web传输参数方式,从报文中获取URL参数。非Get、Post和Put方式的HTTP请求报文不做处理,直接通过。如果是Get,Post或Put方式的HTTP请求报文,则将其URL参数与防火墙上已配置的过滤参数条目进行匹配过滤,如果匹配成功,则拒绝该请求,否则允许报文通过。

URL过滤关键字可由用户自定义,不区分大小写,且只能由数字、英文字母、通配符以及其他ASCLL字符组成。其中,通配符的具体含义见表2.2。

表2.2 通配符含义

如果过滤关键字的开头有“”或结尾有“$”,表示精确匹配。例如,“webfilter”表示以“webfilter”开头的网址(如webfilter.com.cn)或类似于cmm.webfilter-any.com的网址将被过滤掉。关键字“webfilter$”表示过滤包含独立词语“webfilter”的网址,比如www.webfilter.com,但是类似www.webfilter-china.com的网址将不会被过滤;如果过滤关键字的开头和结尾都没有通配符,表示模糊匹配。对于模糊匹配,只要网址中包含了该关键字就会被过滤;当“*”位于过滤关键字的开头时,必须以“*其他关键字”的形式出现,例如“*.com”或者“*.webfilter.com”;不支持纯数字的过滤地址。如果需要过滤类似www.123.com的网站,使用“123”作为过滤地址是不合法的,但可以使用“123$”、“www.123.com”和“123.com”等作为过滤地址。因此,对于数字作为网页地址的网页,建议采用精确匹配方式进行过滤。

(3)Java Applet过滤 嵌入在Web页面中的Java Applet应用程序是入侵内网系统的途径之一,通过对Web页面中的*.class文件和*.Jar文件阻断,可以保护网络不受有害的Java Applets的破坏,如图2.75所示。

图2.75 Java Applet过滤

Java阻断功能启动后,所有对Web页面中的Java Applet程序的请求将被过滤掉。如果用户仍然希望能够获取部分Web页面的Java Applet程序,必须配置ACL规则,如果ACL规则允许访问,则用户对该Web页面的Java Applet程序的请求可以通过。

处理过程如下:

①使能Java Applet阻断功能后,如果没有配置ACL规则,则将所有HTTP请求报文中的“.class”、“.jar”等文件名后缀都换为“.block”,并允许该请求报文通过;

②使能Java Applet阻断功能后,如果配置有ACL规则,则根据ACL过滤规则决定HTTP请求报文中的“.class”、“.jar”是否用“.block”替代。如果HTTP请求的目的服务器为ACL允许访问的服务器,则不做替代,报文正常通过;否则将后缀替换为“.block”,然后允许该请求报文通过;

③Java阻断过滤后缀,即HTTP请求报文中需要替换的文件名后缀,可通过命令行配置,添加除“.class”、“.jar”之外的阻断后缀关键字。

(4)ActiveX过滤 ActiveX是一种可以嵌入在Web页面中的小程序,通常用于动画或其他应用程序中。通过对Web请求中的“*.ocx”文件进行阻断,可以有效防止ActiveX控件对服务器的潜在攻击,如图2.76所示。

图2.76 ActiveX过滤

ActiveX阻断功能启动后,所有对Web页面中的ActiveX插件的请求将被过滤掉。如果用户仍然希望能够获取部分Web页面的ActiveX插件,必须配置ACL规则,如果ACL规则允许访问,则用户可以获取该Web页面的ActiveX插件。

处理过程如下:

①使用ActiveX阻断功能后,如果没有配置ACL规则,则将所有HTTP请求报文中的文件名后缀“.ocx”都替换为“.block”,然后允许该报文通过;

②使用ActiveX阻断功能后,如果配置有ACL规则,则根据ACL过滤规则决定HTTP请求报文中的“.ocx”是否用“.block”替代。如果HTTP请求的目的服务器为ACL允许访问的服务器,则不做替代,报文正常通过;否则将后缀替换为“.block”,然后允许该请求报文通过;

③ActiveX阻断过滤后缀,即HTTP请求报文中需要替换的文件名后缀,可通过命令行配置,添加除“.ocx”之外的阻断后缀关键字。

2.Web过滤典型配置示例

(1)组网需求 局域网192.168.1.0/24网段内的主机通过SecPath访问Internet,如图2.77所示。

图2.77 Web过滤配置组网图

①启用URL参数过滤功能,使用用户自定义的参数group过滤HTTP请求报文。

②启用Java阻断功能,添加后缀名为“.js”的过滤项,同时只允许网站IP地址为5.5.5.5的Java Applet请求通过。

(2)配置步骤

①配置设备各接口IP地址(略)。

②配置设备出接口的NAT策略:

●在导航栏中选择“防火墙”→“ACL”,单击【新建】按钮

●输入访问控制列表ID为“2200”。

●单击【确定】按钮完成操作。

●单击访问控制列表ID“2200”对应的图标,单击【新建】按钮。

●选择操作为“允许”。

●选中“源IP地址”前的复选框。(www.xing528.com)

●输入源IP地址为“192.168.1.0”。

●输入源IP地址通配符为“0.0.0.255”。

●单击【确定】按钮完成操作。

●单击【新建】按钮。

●选择操作为“禁止”。

●单击【确定】按钮完成操作。

●在导航栏中选择“防火墙”→“NAT”→“动态地址转换”,在“地址池”中单击【新建】按钮。

●输入地址池索引为“1”。

●输入开始IP地址为“2.2.2.10”。

●输入结束IP地址为“2.2.2.11”。

●单击【确定】按钮完成操作。

●在“地址转换关联”中单击【新建】按钮。

●选择接口为“GigabitEthernet0/1”。

●输入ACL为“2200”。

●选择地址转换方式为“PAT”。

●输入地址池索引为“1”。

●单击【确定】按钮完成操作。

③启用URL参数过滤功能:

●在导航栏中选择“应用控制”→“Web过滤”,单击“URL参数过滤”页签。

●选中“启用URL参数过滤功能”前的复选框。

●单击【确定】按钮完成操作。

添加URL过滤关键字group:

●在“关键字设置”中单击【新建】按钮。

●输入关键字为“group”。

●单击【确定】按钮完成操作。

④配置Java阻断所引用的ACL:

●在导航栏中选择“防火墙”→“ACL”,单击【新建】按钮。

●输入访问控制列表ID“2100”。

●单击【确定】按钮完成操作。

●输入访问控制列表ID“2100”对应的图标,单击【新建】按钮。

●选择操作为“允许”

●选中“源IP地址”前的复选框。

●选中源IP地址为“5.5.5.5”。

●输入源IP地址通配符为“0.0.0.0”。

●单击【确定】按钮完成操作。

●单击【新建】按钮。

●选择操作为“禁止”。

●单击【确定】按钮完成操作。

⑤启用Java阻断功能,并配置根据ACL规则进行阻断。

●在导航栏中选择“应用控制”→“Web过滤”,单击“Java阻断”页签。

●选中“启用Java阻断功能”前的复选框。

●选中“指定过滤规则ID”前的复选框,输入ACL ID为“2100”。

●单击【确定】按钮完成操作。

⑥添加Java阻断后缀关键字.js:

●在“关键字”设置中单击【新建】按钮。

●输入关键字为“.js”.

●单击【确定】按钮完成操作。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈