如何在URL筛选管理器中过滤不需要的URL

互联网可以说是一把名副其实的双刃剑。一方面其可以提高工作效率、给企业提供充分的资源;另一方面如果管理不严,也会带来很多的隐患。如员工在上班时间玩游戏、炒股等等。为此现在很多企业希望对员工的网络行为进行限制。如禁止上班时间玩“偷菜”游戏等等。但是由于工作的需要,也不能够完全禁止用户访问网络。如下图所示,用户可以访问阿里巴巴等商业网站,但是QQ、新浪等网站则不允许访问。作为网络安全管理人员,该如何来实现这种区别待遇呢?笔者在这篇文章中,以Forefront产品为例,谈谈这方面的技巧与经验。
一、在URL筛选管理器中过滤不需要的URL

  在Forefront安全网关中提供了一种叫做“URL筛选器”的组件。简单的说,使用这个URL筛选器可以根据网站在URL筛选数据库中的分类来创建允许或者禁止访问网站的访问规则。如上图所示,假设现在企业内网有一个用户,想访问QQ网站下载一个QQ应用程序。此时请求先会发送到Forefront安全网关。然后安全网关中的URL筛选器会跟自己后台的URL筛选数据库进行对比,以判断整个URL是允许用户访问的,还是禁止用户访问。如果允许用户访问的话,则会将这个请求转发到相关的服务器上。相反,禁止访问的话,则这个请求就不会被转发出去。从而实现有差别的访问。

  当用户请求访问某个网站,而这个网络已经被加入到了Forefront安全网关的黑名单,则用户会收到一个拒绝的通知。这个通知中的相关信息,如拒绝请求的类别,可以帮助用户分析这个请求为什么会被拒绝。当然这个请求信息管理员还可以进行自定义,让用户能够一目了然的知道被拒绝的原因。当然如果用户觉得这个被拒绝的毫无道理, 也可以向管理员提出异议。此时管理员可以查看已经定义的URL策略是否有问题,还是用户提出了过分的要求等等。

二、如何查找已经定义的URL 类别?

  在讲这一步操作之前,笔者先需要说明的一点是,虽然这里这个工具的名字叫做URL筛选器。但是其针对的对象不仅仅是URL地址而已。也就是说,到目前为止,Forefront可以根据IP地址、域名等等进行过滤。有时候,各个过滤规则组合使用,往往能够起到出其不意的效果。

  当用户维护URL筛选数据库的时候,往往需要先查询当前数据库中是否有相关的设置。如需要增加一个策略(如禁止访问QQ网站),那么就需要先确认一下当前数据库中有没有这个跳设置。如果系统中有重复设置的话,会影响系统判断的效率,从而影响到用户上网的速度。为此一个总的原则就是数据库中每一条策略所包含的URL地址或者IP地址都是唯一的,特别是不能够有互相矛盾的内容。如第五条记录允许用户访问QQ网站,而第三十条记录则是禁止用户访问QQ网站。根据相关的规则,系统似乎从上到小查找过滤规则。当找到第五条记录,发现允许用户访问QQ网站之后,系统就不会再进行判断后续的条件,则认为管理员允许用户访问,就直接会将这个请求转发出去。也就是说,后续的条件已经没有任何用处。为此在更改某个策略的时候,不能够就是简单的加一条记录进去。而是应该先查询,确认以前是否存在相关的记录。如果有的话,可以在原有记录上进行更改,或者删除记录后重新创建。总之,查找已经定义的URL类别是首要的工作。那么具体来说,该如何进行更改呢?具体的步骤如下。
第一步:在Forefront安全网关管理控制台中,单击树中的Web访问策略。通常情况下,一般后续对安全网关的维护都是通过远程维护来完成的。为此笔者建议,除了要学会管理控制台之外,网络安全管理人员最好还需要掌握如何通过命令行的方式来访问安全网关。毕竟图形化界面在网络中传输比较慢,而且会占用比较多的带宽。在远程维护中,命令行方式是一个首选。

  第二步:在任务窗口中,单击“查询URL类别”。然后再类别查询选项卡上,输入URL地址或者IP地址(可见筛选器所针对的对象不止URL,还针对IP地址)。然后单击查询。如果在数据库中已经定义了相关的信息,则就可以查到相关的记录。

  第三步:进行后续的维护。找到相关的记录之后,就可以对其进行维护,如删除或者替换等等。在这个过程中,笔者认为需要注意一点,就是URL的格式。只有输入正确的URL格式才能够起到过滤的效果。一般URL格式必须包括主机名,并且可以包含路径、查询字符、转义字符等等,而且必须是以HTTP的等协议开头的。具体如何定义,管理员可以根据企业管理的需要来进行灵活的组合。

三、更改URL的类别

  有时候安全管理人员需要将某个地址从禁止转为允许,或者从允许转为禁止。此时管理人员就需要在安全网关上作一个转换的动作。具体的来说,可以按如下方式来进行操作。

  第一步:在Forefront安全网关管理控制台中,找到“Web访问策略”并单击打开。然后再任务窗口中,单击“配置URL筛选”。注意这里不是查找窗口,而是配置窗口。

  第二步:在URL类别替代窗口选项卡上,单击添加按钮。探后在打开的对话框中,在“替代该URL模式的默认URL类别”下,根据正确的格式输入URL地址。在这个操作的时候,需要注意更改URL类别与定义URL策略之间的差异。如在进行替代类别操作的时候,不需要在URL地址中包含协议的名称,即不要以HTTP等字符开头。这是需要特别注意的。另外在Forefront安全网关中,还不支持国际化的域名体系,这也是需要引起警觉的地方。

  第三步:在“将URL模式转移至此类别”下,选择新的URL类别。然后一路按确定即可。最后在“应用更改”中单击应用,所修改的策略马上就会生效。通常情况下,不需要重新启动,新作的修改就会起效。不过其只有针对通过安全网关的流量请求有效。

高配服务器:Intel Xeon E5-2650 2.6Ghz 双路 16核 64GB DDR3 2x 240GB SSD 5M独享国际带宽 2个IP 价格:3100元/月  老张QQ:2881064151

时间: 2024-10-07 00:19:50

如何在URL筛选管理器中过滤不需要的URL的相关文章

f2fs解析(七)node管理器中的 free_nid 结构体

除了node_info之外, node管理器中还有还有个重要的数据结构: 145 struct free_nid { 146 struct list_head list; /* for free node id list */ 147 nid_t nid; /* node id */ 148 int state; /* in use or not: NID_NEW or NID_ALLOC */ 149 }; 这个结构体体很简单,比刚才的node_info轻量级多了,仅仅是标识了当前可以使用的n

怎么做到在磁盘管理器中不显示盘

如下图: 在磁盘管理器中,只有H盘和C盘, 在资源管理器中,却有B.Y.Z等盘符,这是怎么做到的?

元数据管理器中存在错误。 实例化来自文件“\\?\C:\Program Files\Microsoft SQL Server\MSAS11.MSSQLSERVER\OLAP\Data\Tfs_Analysis.0.db\vDimTestCaseOverlay.874.dim.xml”的元数据对象时出错。

一.发现问题 启动SQLSERVER的数据分析服务失败 查看系统日志错误如下: 双击错误后显示详细错误: 元数据管理器中存在错误. 实例化来自文件“\\?\C:\Program Files\Microsoft SQL Server\MSAS11.MSSQLSERVER\OLAP\Data\Tfs_Analysis.0.db\vDimTestCaseOverlay.874.dim.xml”的元数据对象时出错. 二.解决问题-数据库 然后我手动尝试将“C:\Program Files\Microso

windows 进程管理器中的内存是什么意思?

*内存 - 工作集:私人工作集中的内存数量与进程正在使用且可以由其他进程共享的内存数量的总和. *内存 - 峰值工作集:进程所使用的工作集内存的最大数量. *内存 - 工作集增量:进程所使用的工作集内存中的更改量. *内存 - 私人工作集:工作集的子集,它专门描述了某个进程正在使用且无法与其他进程共享的内存数量. *内存 - 提交大小:为某进程使用而保留的虚拟内存的数量. *内存 - 页面缓冲池:由内核或驱动程序代表进程分配的可分页内核内存的数量.可分页内存是可写入其他存储媒体(例如硬盘)的内存

《BI项目笔记》SSAS部署时发生的问题——元数据管理器中存在错误 解决办法

原文:<BI项目笔记>SSAS部署时发生的问题--元数据管理器中存在错误 解决办法 在生成和部署期间出错.是否继续?解决办法: 用Microsoft SQL Server Management Studio 连接Analysis Services 然后删除多维数据库,重新布署.这样就OK的.

在“DNS管理器”中手工增加DNS主机(A)或者别名(CNAME)记录时,出现被拒绝的错误

问题现象: AD域控制器操作系统为Win2008R2,在"DNS管理器"中手工增加DNS主机(A)或者别名(CNAME)记录时,出现被拒绝的错误.但是将客户端加入域后,在"DNS管理器"中能看到对应的客户端的DNS主机(A)记录. 在系统日志中,能查看到ID为4015的错误日志: 事件类型:   错误 事件来源:   DNS 事件种类:   无 事件 ID:    4015 日期:       2016/4/1 事件:       1:06:53 用户:      

windowsf进程管理器中进程解释

(1)[system Idle Process] 进程文件: [system process] or [system process] 进程名称: Windows内存处理系统进程 描 述: Windows页面内存管理进程,拥有0级优先. 介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间.它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张. (2)[alg.exe] 进程文件: alg or alg.exe 进程名称: 应用层网关

java 通过接口在后台管理器中生成数据

需求:测试人员在后台批量添加数据很麻烦,特别是针对一款商品配置了英语,还需要手动添加法语.俄语.阿拉伯语,很麻烦,但是因为没有项目组配合,做个小工具批量生成数据就只有自己去研究了 第一步:通过抓包工具fiddler查看接口走向 第二步:模拟url,进行请求 第三步:验证结果 第一步:从接口中我了解到,我们需要获取原始语言的数据,如:标题.名称.文件标题.详细信息,在把数据取出来,取出来后,在调用商品增加的接口,把数据内容填充进去,进行提交,就完了 目前我们排除登录态的问题,默认是可以登录成功的,

在IIS管理器中什么是虚拟目录?

如果要从不在您主目录底下的任何目录发行文件,就必须建立一个虚拟目录. 虚拟目录 指的是实际上不在主目录内的目录,但在用户端浏览器看起来却好像在主目录内一样. 虚拟目录有一个 别名 ,这是一个Web浏览器用来存取该目录的名称.别名通常都比目录的路径名称短,因此便於让使用者键入.别名也较具有安全性,因为使用者不知道您的档案实际上是在伺服器的哪里,因此无法利用这种资讯来修改您的档案.有了别名,在网站上移动目录会比较方便,只需变更别名与目录实际位置的对应关系即可,而不需要变更该目录的URL. 假设您正在