Web过滤
Web过滤支持: ?
URL过滤
URL过滤功能对用户的HTTP请求进行访问控制,允许或禁止用户访问某些网络资源,可以达到规范上网行为的目的。设备通过分析用户的上网请求中的URL,将URL和黑白名单、URL分类进行比较,根据策略对HTTP请求进行放行或阻断。
URL过滤只对HTTP协议的URL请求进行过滤。URL过滤的匹配优先级顺序为:白名单、黑名单、自定义分类、预定义分类。当URL与某项匹配后,不会再进行后续的匹配。 ?
黑白名单
设备将HTTP上网请求的URL与黑白名单进行匹配,如果匹配白名单则允许该HTTP请求,如果匹配黑名单则阻止该HTTP请求。
当上网请求的URL与白名单匹配时,不会再进行后续的处理(包括AV、IPS等)。设置白名单有利于提高匹配效率。 ?
URL自定义分类
URL自定义分类由用户自行配置和维护。URL自定义分类将具有相同特征的URL进行分类,用户可以根据业务配置策略,允许或拒绝各个分类URL的访问。相对于预定义URL分类,用户可以使用自定义分类对URL进行更为精细化的控制。 ?
URL预定义分类 ?
远程URL过滤
URL预定义分类由安全服务中心提供并维护。URL预定义分类中定义了各种URL的分类,例如教育类URL、新闻类URL,用户可以根据业务使用策略,允许或拒绝各个分类网站的访问。使用URL预定义分类的情况下,需要建立到安全服务中心的连接。相对于需要用户自行配置的自定义分类,预定义分类已经预先对大量常见的URL进行了分类,用户可以根据这些分类轻松地控制内网用户禁止访问哪些类别的URL、允许访问哪些类别的URL。
注意:
URL预定义分类只能在所适用法律法规允许的目的和范围内使用。
?
URL热点库
URL热点库中保存了热点网站分类信息。通过启用URL热点库功能,可以减少远程查询分类的次数,提升URL查询的效率。
?
搜索关键字过滤
搜索关键字过滤是指对指定搜索关键字进行过滤,控制内网用户的搜索内容,防止用户获得敏感信息。 ?
Web内容过滤
Web内容过滤可以对HTTP协议传输的Web页面内容进行控制,过滤选项有:
? ? ? ? ? ?
网页浏览关键字:过滤网页上的内容。 HTTP POST过滤:过滤HTTP POST操作。
HTTP POST文件过滤:过滤HTTP POST文件操作。
上传/下载文件名关键字:根据上传或下载的文件名进行过滤。 上传/下载文件类型关键字:根据上传或下载的文件类型进行过滤。 文件大小过滤:根据上传或下载的文件大小进行过滤。 说明:
HTTP POST一般用于向网页、BBS、邮件群组和数据库发送信息,例如发帖、上传内容
等。
邮件过滤
邮件过滤支持: ?
RBL(Real-time Blackhole List)过滤,即反垃圾邮件
RBL通过定义一个黑名单列表,在该列表中的IP地址对外发布的邮件即为垃圾邮件。同时,提供RBL服务的机构会实时更新黑名单列表来保证可以过滤最新的垃圾邮件。
设备检测到SMTP连接请求后,提取SMTP连接的源IP地址,与第三方组织提供的动态更新的远程实时黑名单以及本地黑白名单进行比对,对列入黑名单的邮件进行阻断。 ?
邮件内容过滤
当内网用户通过SMTP/POP3客户端收发电子邮件时,邮件内容过滤对邮件地址、主题(标题)、正文、附件大小和数量、附件名或附件扩展名等进行监控,防止数据泄漏或敏感信息传输。
说明:
邮件内容过滤与RBL过滤的区别在于: ? ?
邮件内容过滤支持对通过SMTP/POP3传输的邮件进行过滤,而RBL过滤只过滤SMTP传输的邮件。
邮件内容过滤对邮件内容进行过滤,而RBL过滤根据SMTP连接的源IP地址进行过滤。
FTP过滤
FTP文件传输是网络信息共享非常重要的内容,如果FTP操作和通过FTP上传/下载的文件不受控,那么网络会存在较多的不可控威胁。通过FTP过滤,可以对FTP操作(上传、下载、删除)、上传/下载的文件名、文件类型、文件大小进行控制。
应用控制
通过对数据流进行深度检测,设备可以识别几乎所有的应用层业务,并对指定类型的数据流量进行控制。通过分析设备收到的数据包并和知识库进行比对,对P2P、IM、VoIP等类型的网络数据流量进行分类,并对不同类型的协议进行相应的控制。
UTM虚拟化
UTM虚拟化即在虚拟防火墙中配置UTM。通过绑定虚拟防火墙,可以在不同的虚拟防火墙上实现不同的UTM需求。以下特性支持在不同的虚拟防火墙上进行自定义配置: ? ? ? ? ?
公共模式组 Web过滤 邮件内容过滤 FTP过滤 应用控制
以下特性不支持在虚拟防火墙中进行自定义配置,只能使用根防火墙上的配置: ? ? ? ?
IPS AV RBL
各类特征库(AV病毒库、IPS签名库、URL热点库、知识库) 注意:
目前不支持跨虚拟防火墙配置UTM。
AV简介
介绍AV(Anti-Virus)的原理、支持处理的文件、扫描方式、处理顺序和处理策略。
注意:
使用AV功能前,请确认已购买支持AV升级服务的License,并在USG上激活。
原理
病毒是一种可执行代码,可感染或附在其他可执行代码上。有些病毒可直接导致删除文件或锁住系统;有些病毒感染其他文件后,使这些文件在传播时产生大量的伪造数据来耗尽受感染主机或网络的资源。
USG将接收到需要进行病毒扫描的文件的内容与病毒特征库进行比较,判断扫描内容中是否含匹配病毒特征的信息。如果检测到病毒,USG根据AV策略进行响应,对含病毒的内容进行删除或告警。如果没有检测到病毒,则USG放行该文件。
支持处理的文件
USG能够对使用以下协议进行传输的文件进行病毒扫描和相应处理: ? ? ? ?
HTTP(Hypertext Transfer Protocol),超文本传输协议 FTP(File Transfer Protocol),文件传输协议
SMTP(Simple Mail Transfer Protocol),简单邮件传输协议 POP3(Post Office Protocol 3),邮局协议版本3
扫描方式
USG对文件进行扫描的方式分为两种: ?
智能扫描
根据文件的真实类型进行扫描。 此方式下USG扫描所有文件。 ?
指定扩展名扫描
根据文件扩展名表示的文件类型进行扫描。
此方式下USG只扫描带系统预定义的扩展名和用户自定义的扩展名的文件,不扫描其他文件。
处理顺序
AV功能对文件的处理顺序如下: 1. 文件大小检查
2. 密码保护、压缩文件层数、文件损坏检查 3. 病毒扫描
例如,当文件过大且策略定义了丢弃超大文件时,AV功能不会检查该文件的压缩层数、是否加密、是否损坏或对该文件进行扫描病毒。如图1中的流程所示。
图1 AV处理流程
特殊文件的处理策略
对于超大文件、密码保护文件、多层压缩文件、格式损坏文件,不同协议的处理策略请参见表1。
表1 特殊文件处理策略 协议类型 HTTP ? 处理策略允许(permit):设备不对文件进行处理,直接转发并? 拒绝(deny):设备断开与HTTP服务器的连接并阻断文? FTP 允许(permit):设备不对文件进行处理。针对超大文