网络安全之URL过滤

知识改变命运,技术就是要分享,有问题随时联系,免费答疑,欢迎联系!    

URL过滤是一种针对用户的URL请求进行上网控制的技术,通过允许或禁止用户访问某些网页资源,达到规范上网行为和降低安全风险的目的。
URL过滤可以基于URL分类、特定URL等多种方式限制URL访问。URL过滤的主要作用如下:
1、限制访问业务无关网站,提升企业工作效率、减少带宽滥用。
2、限制访问非法或包含不健康内容的网站,使上网行为合法合规。
3、限制访问包含恶意软件以及钓鱼类不安全网站,避免网络遭受攻击。

为什么URL过滤非常重要?

通过浏览网页快速获取信息已经深入你我的工作和生活。但是互联网本身是不安全的,网络资源在带给我们便利的同时,也带给我们前所未有的威胁。威胁包括网络安全层面的,也包括随意使用网络对业务造成的影响:

  • 企业员工在工作时间随意访问社交、视频等与工作无关的网站,严重影响工作效率并且占用网络带宽;甚至存在访问非法网站违反法律的风险。
  • 学校、图书馆等公共机构随意访问不健康网站,触犯法规。
  • 员工无意间访问恶意网站、钓鱼网站,泄露企业或个人机密信息,甚至会带来病毒、木马等威胁攻击。

因此必须对上网行为进行管控,URL过滤就是解决以上问题的方法之一,可通过限制用户访问的URL达到限制网页访问的目的。管理员可以按网站分类禁止访问钓鱼、社交、视频类网站;还可以指定禁止或允许访问的具体URL。

URL过滤如何工作?

URL过滤的基本工作过程就是将URL请求中的URL信息与URL数据库或列表进行比对,如果匹配某条URL则执行对应的响应动作(允许/禁止)。 如果用户通过手动输入或单击搜索引擎链接来访问的URL被禁止,浏览器将被重定向到类似下图的阻止页面。


禁止访问未授权网站

URL数据库或列表可以在设备本地,也可以在云端。一般情况下本地缓存频繁访问的URL,云端覆盖更多URL,当在本地未匹配到URL时再到云端查找,这样可以获得最小的延迟。另外URL数据库或列表的组织方式有多种,包括URL分类、单条URL黑名单、单条URL白名单,具体URL过滤处理流程如下图。


URL过滤工作过程

URL黑白名单

URL黑白名单用于允许或禁止某些特定的URL,处理简单直接,白名单允许访问、黑名单禁止访问。此种方式通常用于对一些已知网站的控制,例如将企业正常使用的IT网站加入白名单、将禁止员工上班时间浏览的论坛加入黑名单。

URL分类

URL分类是URL过滤的核心管控方式。管理员按URL分类指定响应动作,例如禁止访问购物类网站、社交类网站。当用户访问的URL隶属于对应URL分类时,则按该分类的响应动作进行处理。

URL分类分为预定义URL分类、自定义URL分类两种:

预定义URL分类

预定义URL分类是URL过滤功能提供商整理好的URL分类信息,并且定期更新。海量的URL预先划分好归类,例如博彩类、钓鱼类、购物类等等。

预定义URL分类中包含的URL条目数量巨大,逐条查找会影响效率,一般采取“两步走”的方式。第一步,将常用URL及对应的URL分类信息存储到设备本地,先在这些URL中进行查询;如果没有查询到,再进行第二步,远程查询云端的URL分类服务器中的分类信息,URL分类服务器中的信息更全面。

另外本地存储的URL信息是不断学习更新的,不经常访问的URL被老化,并且从URL分类服务器中获取的查询结果也将添加到本地。这种机制减少远程查询,加快URL过滤处理速度。

自定义URL分类

URL新增频繁,预定义分类的更新速度可能无法满足企业的需求;另外企业可能有自己的URL分类策略,希望基于定制的URL分类进行管控。此时管理员就可以创建自定义URL分类,然后在分类中加入URL。

定制URL过滤策略

基于前文所述的工作机制,管理员根据实际需求定制本企业URL过滤策略,常见思路如下:

  • 确定允许的网站:通过白名单或自定义URL分类的方式,维护企业固定允许访问的一些网站,例如企业门户网站、软件升级网站等。确保URL过滤不会意外禁止业务正常所需的网站。
  • 明令禁止的网站:通过黑名单或自定义URL分类的方式,维护企业明确禁止访问的一些网站。确保这些网站不会因为在URL分类中不存在或划分错误等原因,未被禁止。
  • 分类控制:通过预定义URL分类,控制允许、禁止访问的网站分类。尤其恶意软件、钓鱼网站必须禁止,降低安全风险。其他就是根据企业需求控制员工的上网行为,禁止一些不健康网站、影响工作效率的网站等。
  • 细化控制:基于时间段、用户身份等细粒度控制网站访问,例如控制上班时间不允许访问的网站、只允许某个部门员工访问的网站。

URL过滤 vs DNS过滤

URL过滤和DNS过滤都属于Web过滤​,但是控制粒度和实现方式不同。URL过滤是通过提取用户URL请求中URL信息进行过滤,可以控制到网页级别;而DNS过滤是通过提取用户DNS请求中域名信息进行过滤,只能控制到整个域名级别。两者各有应用场景。

例如企业需要禁止员工访问域名为example.news.com的整个网站,就可以选择DNS过滤。但是如果只是想禁止此域名的娱乐版块example.news.com/entertainment,那么就需要使用URL过滤。

再例如,企业识别到一个经常引诱员工访问的恶意网址example.malicious.com/index,此时建议使用DNS过滤禁止example.malicious.com域名,因为所有网页可能都是不安全的。

可能有人会问,URL过滤也可以按域名禁止,但是DNS过滤在早于URL请求阶段的DNS查询阶段进行控制,对设备的性能影响小。另外DNS过滤与业务协议无关,而URL过滤局限在HTTP/HTTPS协议。

URL过滤 vs 应用控制

应用功能功能通过应用识别技术识别流量中的各类应用,从而对流量进行精细化的管控。这里的应用也包含一些Web类应用,例如Facebook应用就承载在www.facebook.com网站。那么应用控制和URL过滤两者的区别是什么呢?

对于Web应用,应用控制是从访问网页的流量中识别应用然后进行控制,URL过滤是从网页所属的URL来控制。也就是应用控制针对的是应用程序,可能多个网页对应同一个应用程序;URL过滤针对的是页面级访问行为。

应用控制更适合细粒度控制应用程序。针对Facebook这类网站,大家往往更熟悉Facebook浏览、Facebook视频、Facebook游戏等应用的名称,如果收集应用对应的URL可能比较困难,往往可能一个应用对应多个URL。此时使用应用控制更方便些,只需要基于Facebook视频、Facebook游戏等应用名字进行配置。

URL过滤更擅长控制用户访问某类网站,或者同一域名下的一批网址。例如,控制用户只能访问Facebook社交网站,不能访问其他社交网站,通过URL过滤更方便。如果使用应用控制,需要配置网站对应的全部应用。

因此应用控制和URL过滤两者各有应用场景,相辅相成。

URL过滤不足以防御所有Web攻击

URL过滤主要通过阻止对已知恶意软件和钓鱼网站的访问,来减少Web攻击事件。但是URL过滤不足以防御所有Web攻击,企业或组织需要考虑完整的Web安全解决方案防御已知和未知威胁。多种安全功能协同工作才能有效防御Web攻击,常用的部署方案如下:

部署集成多种安全功能的下一代防火墙,启用内容过滤功能检测网页内容;启用文件过滤功能控制文件上传下载;启用IPS功能检测木马、恶意软件等攻击;启用反病毒功能检测文件病毒。
与云端协同,实时掌握最新威胁信息,防御未知威胁。华为防火墙可以与云沙箱联动检测高级APT(Advanced Persistent Threat)攻击,检测结果反向刷新防火墙本地的恶意URL或恶意文件列表,提升后续检测效率。
配合SSL加密流量检测功能,对加密HTTPS流量进行检测。
内网终端安装防病毒等安全软件。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/459853.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

前端项目(vue3)自动化部署(Gitlab CI/CD)

天行健,君子以自强不息;地势坤,君子以厚德载物。 每个人都有惰性,但不断学习是好好生活的根本,共勉! 文章均为学习整理笔记,分享记录为主,如有错误请指正,共同学习进步。…

VUE 运行NPM 报错:npm ERR! code CERT_HAS_EXPIRED 解决方案

现象 由于各种原因需要调试一下VUE代码,用Git拉下来运行不了(之前是可以正常运行的),报错为:npm ERR! code CERT_HAS_EXPIRED........... 原因 NPM 证书签名过期了 解决方法 第一步:CMD 命令 查看NPM代理源…

计算机设计大赛 题目:基于卷积神经网络的手写字符识别 - 深度学习

文章目录 0 前言1 简介2 LeNet-5 模型的介绍2.1 结构解析2.2 C1层2.3 S2层S2层和C3层连接 2.4 F6与C5层 3 写数字识别算法模型的构建3.1 输入层设计3.2 激活函数的选取3.3 卷积层设计3.4 降采样层3.5 输出层设计 4 网络模型的总体结构5 部分实现代码6 在线手写识别7 最后 0 前言…

文件操作与IO流

文章目录 File文件操作类IO流原理及流的分类节点流FileInputStreamFileOutputStreamFileReaderFileWriter 处理流BufferedReaderBufferedWriterBufferedInputStreamBufferedOutputStreamObjectInputStreamObjectOutputStreamPrintStreamPrintWriter 标准输入输出流 Properties …

Sublime Text简介、下载、安装、汉化、常用插件和激活——《跟老吕学Python编程》附录资料

Sublime Text简介、下载、安装、汉化、常用插件和激活——《跟老吕学Python编程》附录资料 Sublime Text 简介Sublime Text 下载、安装、汉化、常用插件和激活Sublime Text 官网Sublime Text 下载Sublime Text 安装1.安装2.右键菜单3.启动安装4.耐心等待5.安装完成 Sublime Tex…

实验一:关联规则 (见U盘)

实验名称 关联规则 实验时间 3月 14 日星期 四 第3.4节 实验目的 利用 Python 对关联规则算法进行调用。能够使用 Python 调用关联规则算法。首先使用apriori ,fpgrowth 或者 fpmax 函数来找出频繁项集,然后使用 association_rules …

vivado Placement、时钟和I/O放置、全局布局、详细布局和布局后优化

安置 Vivado Design Suite放置程序将网表中的单元放置到目标AMD中的特定站点上装置与其他实现命令一样,Vivado放置程序工作于并更新,内存中的设计。 设计布局优化 Vivado砂矿器同时优化了以下方面的设计布局: •定时松弛:选择…

不囤货不进货的“抖音小店”,到底靠啥盈利?内行人道出背后原因

大家好,我是电商花花。 在互联网的快速发展下,网购给人们带来了很大的便利,而网络下的电商也是发展迅速,带动了很多人想要创业做电商,找副业的想法。 随着抖音直播电商的快速崛起,抖音小店和无货源运营的…

如何把Spring的Bean注入到Quartz中

前言 今天写Quartz定时调度的时候遇到了想调用增删改查操作数据库的情况 这时候在Quartz容器中 直接注入bean 但是会出现bean为空的情况, 一、为什么为空 这种情况是因为Quartz容器 中 它读取不到Spring 容器中的bean,所以我们需要加一些方法让他读到 …

2024年【危险化学品经营单位安全管理人员】考试及危险化学品经营单位安全管理人员考试题

题库来源:安全生产模拟考试一点通公众号小程序 危险化学品经营单位安全管理人员考试根据新危险化学品经营单位安全管理人员考试大纲要求,安全生产模拟考试一点通将危险化学品经营单位安全管理人员模拟考试试题进行汇编,组成一套危险化学品经…

[JavaWeb学习日记]Vue工程,springboot工程整合Mybatis,数据库索引

目录 一.Vue工程 安装NodeJS与Vue-cli Vue项目创建 启动Vue项目:点击npm脚本serve 改端口:在vue.config.js下 Vue文件组成:templatescriptstyle 使用element 前端服务器当前使用Ngix 主要编写的文件 二.SpringBoot的Web工程 启动带…

Spring boot java: 无效的目标发行版: 18

idea 搭建spring boot 报错java: 无效的目标发行版: 18 本人jdk 1.8 解决方案如下:

Filter实现请求日志记录

将锁有得外部访问都记录在日志文件里面,设计这个功能是为了(为什么): 1. 在不引入Promentheus进行接口监控时,基于日志文件就可以实现整个项目得监控。 2. 当出现问题时,可以基于此进行流量重放。 效果如…

HNU-计算机系统-实验1-原型机vspm1.0-(二周目玩家视角)

前言 二周目玩家,浅试一下这次的原型机实验。总体感觉跟上一年的很相似,但还是有所不同。 可以比较明显地感觉到,这个界面越来越好看了,可操作与可探索的功能也越来越多了。 我们HNU的SYSTEM真的越来越好了!&#x…

图像处理与视觉感知---期末复习重点(3)

文章目录 一、空间域和频率域二、傅里叶变换三、频率域图像增强 一、空间域和频率域 1. 空间域:即所说的像素域,在空间域的处理就是在像素级的处理,如在像素级的图像叠加。通过傅立叶变换后,得到的是图像的频谱,表示图…

ElasticSearch 看这一篇就够了,详解!!!

目录 核心概念 索引 映射 文档 基本操作 索引 创建 查询 删除 映射 创建 查询 文档 添加文档 查询文档 删除文档 更新文档 批量操作 高级查询 说明 语法 常见检索 查询所有[match_all] 关键词查询(term) 范围查询[range] 前缀查询[prefix] 通配符查询…

【智能算法】人工水母搜索算法(JS)原理及实现

目录 1.背景2.算法原理2.1算法思想2.2算法过程 3.代码实现4.参考文献 1.背景 2020年,Chou 等人受到水母运动行为启发,提出了人工水母搜索算法(Artificial Jellyfish Search Optimizer, JS)。 2.算法原理 2.1算法思想 JS模拟了水母的搜索行为&#xf…

要将镜像推送到GitLab的Registry中的步骤

1、通过cli 模式登录gitlab (命令行模式) docker login git.asc-dede.de Username: haiyang Password: Login Succeeded 2、查看我的本地镜像: 3,推送镜像apollo_core到对应的gitlab项目的Registry 中 docker push registry.gi…

汽车电子零部件(4):行泊一体ADAS

前言: 现阶段智能汽车行业正在大规模力推无限接近于L3的L2++或L2.9自动驾驶量产落地,类似于当初智能手机替换传统手机的行业机会期。智能汽车常见的智能驾驶功能包括: 行车场景:自适应巡航控制ACC;自动变道辅助ALC;交通拥堵辅助TJA;车道居中LCC;领航辅助NOA; 泊车场…

基于R语言的水文、水环境模型优化技术及快速率定方法与多模型教程

原文链接:基于R语言的水文、水环境模型优化技术及快速率定方法与多模型教程https://mp.weixin.qq.com/s?__bizMzUzNTczMDMxMg&mid2247597847&idx7&snd71869f1290d0ef9dd7fd3f74dd7ca33&chksmfa823ef0cdf5b7e655af5e773a3d3a1b200632a5981f99fe72f0…