Huawei Technologies Co

IPS URL 过 滤 典 型 配 置 关 键 词 :URL 摘 要 : 本 文 主 要 介 绍 IPS 系 列 产 品 URL 的 典 型 配 置 缩 略 语 : 缩 略 语 英 文 全 名 中 文 解 释 IPS Intrusion Prevention System 入 侵 防 御 系 统 URL Uniform Resource Locator 统 一 资 源 定 位 符 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 1 页, 共 20 页

目 录 1 特 性 简 介... 3 2 应 用 场 合... 3 3 注 意 事 项... 3 4 配 置 举 例... 3 4.1 组 网 需 求... 3 4.2 配 置 思 路... 4 4.3 配 置 步 骤... 4 4.3.1 登 录 Web... 4 4.3.2 创 建 安 全 区 域... 5 4.3.3 新 建 段... 7 4.3.4 时 间 表 的 配 置... 8 4.3.5 创 建 一 个 URL 过 滤 策 略 A URL policy... 10 4.3.6 为 URL 过 滤 策 略 创 建 一 个 规 则 abc... 11 4.3.7 配 置 其 它 URL 规 则... 15 4.3.8 在 段 上 应 用 URL 过 滤 策 略... 15 4.3.9 将 配 置 激 活... 18 4.3.10 将 配 置 保 存... 19 4.3.11 验 证 结 果...19 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 2 页, 共 20 页

1 特 性 简 介 URL 过 滤 模 块 是 IPS 设 备 的 一 个 非 常 重 要 的 功 能 模 块, 它 能 够 识 别 阻 断 某 些 内 网 用 户 对 某 个 或 某 些 特 定 网 站 的 访 问 URL 过 滤 模 块 提 供 了 固 定 字 符 串 和 正 则 表 达 式 两 种 匹 配 方 式, 使 用 固 定 字 符 串 方 式 可 以 根 据 实 际 需 要 针 对 某 些 网 站 地 址 的 具 体 字 符 进 行 匹 配, 使 用 正 则 表 达 式 方 式 则 可 以 针 对 某 些 网 站 地 址 进 行 模 糊 匹 配 2 应 用 场 合 URL 过 滤 模 块 可 以 帮 助 网 管 控 制 内 网 用 户 对 某 些 网 站 的 访 问 : 阻 断 内 网 用 户 对 非 法 网 站 黄 色 网 站 和 游 戏 网 站 等 的 访 问 ; 分 时 段 阻 断 内 网 用 户 对 游 戏 休 闲 网 站 的 访 问, 例 如 : 工 作 时 间 禁 止 访 问 游 戏 等 网 站, 休 息 时 间 则 允 许 访 问 3 注 意 事 项 T1000 系 列 IPS 适 用 于 E1218 及 以 上 版 本 ;T200-A/M/S 产 品 适 用 于 E1206 及 以 上 版 本 ;IPS 插 卡 适 用 于 E2109P02 及 以 上 版 本 4 配 置 举 例 4.1 组 网 需 求 如 图 1 所 示,IPS 设 备 在 线 (Inline) 部 署 到 公 司 内 网 的 出 口 链 路 上 内 部 用 户 访 问 Internet 的 请 求 首 先 需 要 经 过 IPS 设 备 的 URL 模 块,URL 模 块 会 根 据 预 先 配 置 的 策 略 对 用 户 访 问 外 网 的 某 些 网 站 进 行 检 测 阻 断 本 例 在 IPS 设 备 上 配 置 URL 过 滤 策 略 和 规 则, 禁 止 公 司 A 研 发 部 门 的 用 户 (IP 网 段 为 10.0.0.0/8,IP 地 址 10.0.0.1 除 外 ) 在 上 班 时 间 (8:00~18:00) 访 问 网 站 www.abc.com, 其 它 时 间 可 以 访 问 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 3 页, 共 20 页

图 1 URL 过 滤 典 型 配 置 组 网 图 4.2 配 置 思 路 (1) 创 建 时 间 表, 即 设 置 可 以 访 问 网 站 www.abc.com 的 时 间 段 (8:00~18:00) (2) 配 置 URL 特 性 : 先 配 置 链 路 上 的 URL 策 略, 然 后 配 置 规 则 来 检 测 阻 断 某 些 网 站, 最 后 将 配 置 激 活 4.3 配 置 步 骤 4.3.1 登 录 Web IPS 设 备 支 持 Web 网 管 功 能, 管 理 员 可 以 使 用 Web 界 面 方 便 直 观 地 管 理 和 维 护 IPS 设 备 IPS 设 备 出 厂 时 已 经 设 置 默 认 的 Web 登 录 信 息, 用 户 可 以 直 接 使 用 该 默 认 信 息 登 录 IPS 设 备 的 Web 界 面 如 果 IPS 设 备 以 前 被 配 置 过, 则 以 现 有 的 配 置 启 动 默 认 的 Web 登 录 信 息 包 括 : 用 户 名 : admin 密 码 : admin IPS 设 备 管 理 口 的 IP 地 址 : 192.168.1.1/24 采 用 默 认 Web 方 式 登 录 IPS 设 备 的 步 骤 如 下 : (1) 搭 建 配 置 环 境 用 交 叉 以 太 网 线 将 PC 的 网 口 和 IPS 设 备 的 管 理 口 相 连 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 4 页, 共 20 页

(2) 为 PC 的 网 口 配 置 IP 地 址, 保 证 能 与 IPS 设 备 的 管 理 口 互 通 配 置 PC 的 IP 地 址 为 192.168.1.0/24( 除 192.168.1.1), 例 如 :192.168.1.2 (3) 启 动 浏 览 器, 输 入 登 录 信 息 在 PC 上 启 动 IE 浏 览 器 ( 建 议 使 用 Microsoft Internet Explorer 6.0 SP2 及 以 上 版 本 ), 在 地 址 栏 中 输 入 https://192.168.1.1 ( 缺 省 情 况 下,HTTPS 服 务 处 于 启 动 状 态 ) 后 单 击 <Enter> 键, 即 可 进 入 如 图 2 所 示 的 Web 网 管 登 录 页 面 单 击 登 录 页 面 上 的 中 文 或 者 English, 选 择 Web 网 管 的 语 言 种 类, 输 入 系 统 缺 省 的 用 户 名 admin 密 码 admin 和 验 证 码, 单 击 < 登 录 > 按 钮 即 可 进 入 Web 网 管 并 进 行 管 理 操 作 图 2 登 录 WEB 网 管 4.3.2 创 建 安 全 区 域 在 导 航 栏 中 选 择 系 统 管 理 > 网 络 管 理 > 安 全 区 域, 进 入 安 全 区 域 显 示 页 面, 如 图 3 所 示 图 3 安 全 区 域 显 示 页 面 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 5 页, 共 20 页

单 击 < 创 建 安 全 区 域 > 按 钮, 进 入 创 建 安 全 区 域 的 配 置 页 面, 如 图 4 所 示 图 4 创 建 安 全 区 域 分 别 将 g-ethernet0/0/0 加 入 内 部 域 in,g-ethernet0/0/1 加 入 外 部 域 out, 如 图 5 和 图 6 所 示 图 5 将 接 口 加 入 内 部 域 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 6 页, 共 20 页

图 6 将 接 口 加 入 外 部 域 图 7 安 全 区 域 创 建 情 况 4.3.3 新 建 段 在 导 航 栏 中 选 择 系 统 管 理 > 网 络 管 理 > 段 配 置, 进 入 段 的 显 示 页 面, 如 图 8 所 示 图 8 段 的 显 示 页 面 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 7 页, 共 20 页

单 击 < 新 建 段 > 按 钮, 进 入 新 建 段 的 配 置 页 面, 创 建 一 个 段 ( 这 里 为 段 0), 将 内 网 和 外 网 链 路 连 通, 文 章 后 面 再 在 此 链 路 上 配 置 URL 过 滤 策 略, 如 图 9 和 图 10 所 示 图 9 新 建 段 图 10 新 建 段 成 功 4.3.4 时 间 表 的 配 置 进 入 系 统 管 理 > 时 间 表 管 理 页 面, 我 们 可 以 看 到 系 统 预 定 义 的 两 个 时 间 表 :work( 周 一 到 周 五 的 8:00 到 18:00) 和 weekend( 除 了 work 的 时 间 ) 在 本 文 中 我 们 采 用 系 统 预 定 义 的 时 间 表 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 8 页, 共 20 页

图 11 时 间 表 管 理 页 面 我 们 也 可 以 自 己 根 据 需 要 创 建 特 定 的 时 间 表, 如 选 定 周 一 和 周 二 的 上 午 8:30-12:00 点 击 图 11 的 < 创 建 时 间 表 > 按 钮, 在 名 称 栏 中 输 入 time_table1, 用 鼠 标 点 中 如 图 12 所 示 的 蓝 色 区 域 ( 即 为 周 一 和 周 二 的 上 午 8:30-12:00), 点 击 < 确 定 > 按 钮 : 图 12 创 建 时 间 表 页 面 自 动 跳 转 到 图 13, 时 间 表 time_table1 创 建 成 功 : 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 9 页, 共 20 页

图 13 时 间 表 创 建 成 功 4.3.5 创 建 一 个 URL 过 滤 策 略 A URL policy 在 导 航 栏 中 选 择 URL 过 滤 > 策 略 管 理, 进 入 如 图 14 所 示 的 策 略 管 理 页 面, 然 后 点 击 < 创 建 策 略 应 用 > 按 钮, 进 入 如 图 15 所 示 创 建 策 略 应 用 页 面 图 14 进 入 策 略 管 理 页 面 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 10 页, 共 20 页

图 15 创 建 策 略 应 用 在 创 建 策 略 页 签 : 输 入 名 称 为 A URL policy 输 入 描 述 为 URL policy for A 4.3.6 为 URL 过 滤 策 略 创 建 一 个 规 则 abc 1. 固 定 字 符 串 匹 配 方 式 在 创 建 策 略 应 用 页 面, 继 续 点 开 自 定 义 URL 规 则 页 签, 然 后 点 击 < 添 加 > 按 钮, 进 入 添 加 自 定 义 URL 规 则 页 面, 如 图 16 所 示 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 11 页, 共 20 页

图 16 进 入 添 加 自 定 义 URL 规 则 页 面 输 入 名 称 为 abc 选 择 域 名 中 的 过 滤 类 型 为 固 定 字 符 串 输 入 固 定 字 符 串 www.abc.com 选 择 阻 断 时 间 表 为 work 可 以 按 照 需 求 记 录 日 志, 这 里 我 们 选 择 从 不 单 击 < 确 定 > 按 钮 完 成 操 作 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 12 页, 共 20 页

图 17 固 定 字 符 串 方 式 创 建 URL 过 滤 规 则 固 定 字 符 串 方 式 只 能 够 精 确 匹 配 HTTP 请 求 的 完 整 内 容 :www.abc.com, 前 后 多 一 些 内 容 就 不 会 再 匹 配 了 例 如 :www.abc.com.cn 就 不 会 进 行 匹 配 若 想 模 糊 匹 配, 必 须 使 用 正 则 表 达 式 方 式 2. 正 则 表 达 式 匹 配 方 式 在 创 建 策 略 应 用 页 面, 继 续 点 开 自 定 义 URL 规 则 页 签, 并 点 击 < 添 加 > 按 钮 输 入 名 称 为 abc 选 择 域 名 中 的 过 滤 类 型 为 正 则 表 达 式 输 入 正 则 表 达 式.*abc.* 选 择 阻 断 时 间 表 为 work 可 以 按 照 需 求 记 录 日 志, 这 里 我 们 选 择 从 不 单 击 < 确 定 > 按 钮 完 成 操 作 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 13 页, 共 20 页

图 18 正 则 表 达 式 方 式 创 建 URL 过 滤 规 则 正 则 表 达 式 可 以 实 现 模 糊 匹 配, 在 本 例 中, 只 要 是 HTTP 请 求 中 含 有 字 符 abc 就 会 进 行 匹 配 如 下 是 两 个 采 用 正 则 表 达 式 的 URL 配 置 举 例 : 例 一 : 同 时 阻 断 news.sina.com.cn 和 sports.sina.com.cn 网 站 : 在 域 名 框 中 输 入 :(news sports)\.sina\.com\.cn 需 要 注 意 的 是 : 字 符. 需 要 用 右 斜 杠 进 行 转 义, 否 则 系 统 会 误 认 为 是 正 则 表 达 式 中 的 通 配 字 符, 而 导 致 系 统 误 报 例 二 : 阻 断 所 有 的 qq 网 页, 但 不 阻 断 内 网 的 sqq 网 页 在 域 名 框 中 输 入 :.*[^s]qq.* 表 1 正 则 表 达 式 使 用 说 明 字 符 说 明. 匹 配 除 "\n" 之 外 的 任 何 单 个 字 符.* 匹 配 所 有 字 符 \ 将 下 一 个 字 符 标 记 为 一 个 原 义 字 符 \. 匹 配 字 符. [^] 定 义 字 符 集 合, 能 够 匹 配 其 中 字 符 之 外 的 任 意 一 个 字 符 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 14 页, 共 20 页

单 击 图 18 中 的 域 名 正 则 表 达 式 后 面 的 帮 助 链 接, 会 弹 出 正 则 表 达 式 使 用 说 明 页 面, 指 导 您 如 何 配 置 正 则 表 达 式 关 于 正 则 表 达 式 的 配 置 效 果, 请 参 见 H3C IPS 入 侵 防 御 系 统 Web 配 置 手 册 中 的 URL 过 滤 模 块 资 料 4.3.7 配 置 其 它 URL 规 则 在 图 15 的 创 建 策 略 应 用 页 面, 继 续 点 开 其 他 URL 规 则 页 签 按 照 需 求 对 除 了 自 定 义 的 规 则 ( 即 原 来 的 default 规 则 ) 之 外 的 规 则 进 行 配 置 本 例 配 置 阻 断 时 间 为 work, 记 录 日 志 时 间 为 从 不 图 19 配 置 其 它 URL 规 则 4.3.8 在 段 上 应 用 URL 过 滤 策 略 在 创 建 策 略 应 用 页 面 的 策 略 应 用 范 围 页 签 中, 点 击 < 添 加 > 按 钮 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 15 页, 共 20 页

图 20 进 入 策 略 应 用 范 围 页 面 选 择 要 关 联 的 段 为 0 在 IP 地 址 列 表 中 添 加 IP 地 址 10.0.0.0/8 在 例 外 IP 地 址 列 表 中 添 加 IP 地 址 10.0.0.1/32 单 击 < 确 定 > 按 钮 完 成 操 作 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 16 页, 共 20 页

图 21 应 用 URL 过 滤 策 略 内 部 域 IP 地 址 和 内 部 域 例 外 IP 地 址 可 以 配 置 的 数 量, 以 设 备 实 际 情 况 为 准 回 到 创 建 策 略 应 用 页 面, 然 后 点 击 最 下 面 的 < 确 认 > 按 钮, 完 成 URL 策 略 基 本 配 置, 如 图 22 所 示 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 17 页, 共 20 页

图 22 创 建 策 略 应 用 完 成 4.3.9 将 配 置 激 活 完 成 上 述 的 配 置 后, 页 面 会 自 动 跳 转 到 如 图 23 所 示 的 策 略 管 理 页 面, 单 击 < 激 活 > 按 钮, 在 图 24 所 示 的 确 认 对 话 框 中 点 击 < 确 定 > 按 钮 图 23 激 活 配 置 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 18 页, 共 20 页

图 24 确 认 激 活 配 置 4.3.10 将 配 置 保 存 完 成 以 上 操 作 后, 为 了 保 证 IPS 设 备 重 启 后 配 置 不 丢 失, 需 要 对 上 述 配 置 进 行 配 置 保 存 操 作 在 导 航 栏 中 选 择 系 统 管 理 > 设 备 管 理 > 配 置 维 护, 在 保 存 当 前 配 置 页 签 中 点 击 < 保 存 > 按 钮 并 确 认 图 25 保 存 配 置 4.3.11 验 证 结 果 在 上 班 时 间, 所 有 用 户 ( 除 了 10.0.0.1) 都 不 能 访 问 www.abc.com 网 址 : 图 26 访 问 被 阻 断 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 19 页, 共 20 页

下 班 时 间 可 以 正 常 访 问 www.abc.com Copyright 2010 杭 州 华 三 通 信 技 术 有 限 公 司 版 权 所 有, 保 留 一 切 权 利 非 经 本 公 司 书 面 许 可, 任 何 单 位 和 个 人 不 得 擅 自 摘 抄 复 制 本 文 档 内 容 的 部 分 或 全 部, 并 不 得 以 任 何 形 式 传 播 本 文 档 中 的 信 息 可 能 变 动, 恕 不 另 行 通 知 杭 州 华 三 通 信 技 术 有 限 公 司 www.h3c.com.cn 第 20 页, 共 20 页