Web过滤技术实例-网络安全技术与实例

在传统的网络安全方案中，对网络入侵的防范主要针对来自外部的各种攻击。随着网络在各行业的普及，来自局域网内部的攻击也越来越多，这就要求防火墙设备能够应对构建安全内部网络的需求，增加内部网络应用的安全。

防火墙的Web过滤功能可以阻止内部用户访问非法的网址，对网页内的Java或ActiveX程序进行阻断。

1.Web过滤方式

（1）网站地址过滤 使用网站地址过滤可以阻止内部用户访问非法和不健康的网页，或者只允许用户访问某些特定的网页，如图2.73所示。

图2.73 网站地址过滤

当接收到HTTP请求时，防火墙会检测报文中URL网站地址。如果该地址是允许通过的，那么，该Web请求可以通过；如果该网站地址是不允许通过的，那么，该Web请求将被拒绝。

（2）URL参数过滤 目前，网页一般都是动态的，与数据库相连接，通过Web请求去数据库中查询或修改所需要的数据。这就使得攻击者可以通过Web网页中构造特殊的SQL语句窃取数据库中的机密信息，或不断修改数据库的信息导致数据库瘫痪。这种攻击方式被称为SQL注入攻击。

为此，用SQL语句中关键字以及其他可能产生SQL语句的字符与HTTP请求报文进行匹配。如果匹配成功，则认为是SQL注入攻击，禁止其通过，这种过滤方式称为URL参数过滤。如图2.74所示。

图2.74 URL参数过滤

Web传输参数的方式有很多种，其中最常用的是Get，Post方式。参数传输的方式决定了参数所在的位置，根据参数所在的位置获取参数，然后进行匹配过滤。目前，设备支持Web参数过滤的传输方式为Get，Post和Put方式。

当防火墙接收到包含URL参数的HTTP请求报文时，根据Web传输参数方式，从报文中获取URL参数。非Get、Post和Put方式的HTTP请求报文不做处理，直接通过。如果是Get，Post或Put方式的HTTP请求报文，则将其URL参数与防火墙上已配置的过滤参数条目进行匹配过滤，如果匹配成功，则拒绝该请求，否则允许报文通过。

URL过滤关键字可由用户自定义，不区分大小写，且只能由数字、英文字母、通配符以及其他ASCLL字符组成。其中，通配符的具体含义见表2.2。

表2.2 通配符含义

如果过滤关键字的开头有“”或结尾有“＄”，表示精确匹配。例如，“webfilter”表示以“webfilter”开头的网址（如webfilter.com.cn）或类似于cmm.webfilter－any.com的网址将被过滤掉。关键字“webfilter＄”表示过滤包含独立词语“webfilter”的网址，比如www.webfilter.com，但是类似www.webfilter－china.com的网址将不会被过滤；如果过滤关键字的开头和结尾都没有通配符，表示模糊匹配。对于模糊匹配，只要网址中包含了该关键字就会被过滤；当“＊”位于过滤关键字的开头时，必须以“＊其他关键字”的形式出现，例如“＊.com”或者“＊.webfilter.com”；不支持纯数字的过滤地址。如果需要过滤类似www.123.com的网站，使用“123”作为过滤地址是不合法的，但可以使用“123＄”、“www.123.com”和“123.com”等作为过滤地址。因此，对于数字作为网页地址的网页，建议采用精确匹配方式进行过滤。

（3）Java Applet过滤 嵌入在Web页面中的Java Applet应用程序是入侵内网系统的途径之一，通过对Web页面中的＊.class文件和＊.Jar文件阻断，可以保护网络不受有害的Java Applets的破坏，如图2.75所示。

图2.75 Java Applet过滤

Java阻断功能启动后，所有对Web页面中的Java Applet程序的请求将被过滤掉。如果用户仍然希望能够获取部分Web页面的Java Applet程序，必须配置ACL规则，如果ACL规则允许访问，则用户对该Web页面的Java Applet程序的请求可以通过。

处理过程如下：

①使能Java Applet阻断功能后，如果没有配置ACL规则，则将所有HTTP请求报文中的“.class”、“.jar”等文件名后缀都换为“.block”，并允许该请求报文通过；

②使能Java Applet阻断功能后，如果配置有ACL规则，则根据ACL过滤规则决定HTTP请求报文中的“.class”、“.jar”是否用“.block”替代。如果HTTP请求的目的服务器为ACL允许访问的服务器，则不做替代，报文正常通过；否则将后缀替换为“.block”，然后允许该请求报文通过；

③Java阻断过滤后缀，即HTTP请求报文中需要替换的文件名后缀，可通过命令行配置，添加除“.class”、“.jar”之外的阻断后缀关键字。

（4）ActiveX过滤 ActiveX是一种可以嵌入在Web页面中的小程序，通常用于动画或其他应用程序中。通过对Web请求中的“＊.ocx”文件进行阻断，可以有效防止ActiveX控件对服务器的潜在攻击，如图2.76所示。

图2.76 ActiveX过滤

ActiveX阻断功能启动后，所有对Web页面中的ActiveX插件的请求将被过滤掉。如果用户仍然希望能够获取部分Web页面的ActiveX插件，必须配置ACL规则，如果ACL规则允许访问，则用户可以获取该Web页面的ActiveX插件。

处理过程如下：

①使用ActiveX阻断功能后，如果没有配置ACL规则，则将所有HTTP请求报文中的文件名后缀“.ocx”都替换为“.block”，然后允许该报文通过；

②使用ActiveX阻断功能后，如果配置有ACL规则，则根据ACL过滤规则决定HTTP请求报文中的“.ocx”是否用“.block”替代。如果HTTP请求的目的服务器为ACL允许访问的服务器，则不做替代，报文正常通过；否则将后缀替换为“.block”，然后允许该请求报文通过；

③ActiveX阻断过滤后缀，即HTTP请求报文中需要替换的文件名后缀，可通过命令行配置，添加除“.ocx”之外的阻断后缀关键字。

2.Web过滤典型配置示例

（1）组网需求 局域网192.168.1.0／24网段内的主机通过SecPath访问Internet，如图2.77所示。

图2.77 Web过滤配置组网图

①启用URL参数过滤功能，使用用户自定义的参数group过滤HTTP请求报文。

②启用Java阻断功能，添加后缀名为“.js”的过滤项，同时只允许网站IP地址为5.5.5.5的Java Applet请求通过。

（2）配置步骤

①配置设备各接口IP地址（略）。

②配置设备出接口的NAT策略：

●在导航栏中选择“防火墙”→“ACL”，单击【新建】按钮。

●输入访问控制列表ID为“2200”。

●单击【确定】按钮完成操作。

●单击访问控制列表ID“2200”对应的图标，单击【新建】按钮。

●选择操作为“允许”。

●选中“源IP地址”前的复选框。(www.xing528.com)

●输入源IP地址为“192.168.1.0”。

●输入源IP地址通配符为“0.0.0.255”。

●单击【确定】按钮完成操作。

●单击【新建】按钮。

●选择操作为“禁止”。

●单击【确定】按钮完成操作。

●在导航栏中选择“防火墙”→“NAT”→“动态地址转换”，在“地址池”中单击【新建】按钮。

●输入地址池索引为“1”。

●输入开始IP地址为“2.2.2.10”。

●输入结束IP地址为“2.2.2.11”。

●单击【确定】按钮完成操作。

●在“地址转换关联”中单击【新建】按钮。

●选择接口为“GigabitEthernet0／1”。

●输入ACL为“2200”。

●选择地址转换方式为“PAT”。

●输入地址池索引为“1”。

●单击【确定】按钮完成操作。

③启用URL参数过滤功能：

●在导航栏中选择“应用控制”→“Web过滤”，单击“URL参数过滤”页签。

●选中“启用URL参数过滤功能”前的复选框。

●单击【确定】按钮完成操作。

添加URL过滤关键字group：

●在“关键字设置”中单击【新建】按钮。

●输入关键字为“group”。

●单击【确定】按钮完成操作。

④配置Java阻断所引用的ACL：

●在导航栏中选择“防火墙”→“ACL”，单击【新建】按钮。

●输入访问控制列表ID“2100”。

●单击【确定】按钮完成操作。

●输入访问控制列表ID“2100”对应的图标，单击【新建】按钮。

●选择操作为“允许”

●选中“源IP地址”前的复选框。

●选中源IP地址为“5.5.5.5”。

●输入源IP地址通配符为“0.0.0.0”。

●单击【确定】按钮完成操作。

●单击【新建】按钮。

●选择操作为“禁止”。

●单击【确定】按钮完成操作。

⑤启用Java阻断功能，并配置根据ACL规则进行阻断。

●在导航栏中选择“应用控制”→“Web过滤”，单击“Java阻断”页签。

●选中“启用Java阻断功能”前的复选框。

●选中“指定过滤规则ID”前的复选框，输入ACL ID为“2100”。

●单击【确定】按钮完成操作。

⑥添加Java阻断后缀关键字.js：

●在“关键字”设置中单击【新建】按钮。

●输入关键字为“.js”.

●单击【确定】按钮完成操作。