本文档介绍F1000-C8102设备URL过滤配置举例，包括自定义对象URL过滤和预定义对象URL过滤。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解URL过滤特性。

·     网页中链接引用的情况非常普遍，同一个网页上的Flash、嵌入视频和图片等内容可能分别对应不同的URL，此时只允许其中某个URL通过，无法保证网页全部完整可用。

如图1所示，某公司内网存在研发网段和财务网段，IP地址分别为192.168.3.0/24和172.16.2.0/24。使用F1000-C8102设备的ge2和ge3接口作为透明桥，串接部署在核心交换机和出口路由器之间，启用URL过滤功能，具体应用需求如下：

·     针对研发网段，不允许访问在线音乐和BBS站点类网站，允许访问其它类网站，并过滤恶意URL。

·     针对财务网段，阻止访问网易（包括网易新闻、网易娱乐等所有网易主站和子网站）网站，其它网站访问全部允许访问。

图1 URL过滤配置组网图

·     针对某一类别的URL过滤需求，通过预定义URL对象过滤实现。

·     针对具体某一个网站的URL过滤需求，通过自定义URL对象过滤实现。

·     在进行URL过滤匹配时，先进行自定义URL的匹配，匹配算法为在报文携带的URL中从前向后取自定义URL字符串，如果可以取到即匹配规则并返回结果，不再继续匹配。例如配置拒绝自定义对象“baidu”和允许自定义对象“com”，当URL是www.baidu.com时，从前到后先取到baidu字符串则拒绝，而其它com网页将被允许，继续进行预定义URL对象过滤规则匹配。

·     自定义URL对象过滤规则匹配完成后，将进行预定义URL对象过滤规则匹配，此时报文携带的URL将会遍历所有预定义URL对象过滤规则，如果匹配到阻断策略则会拒绝访问URL。

·     如果报文携带的URL在先后匹配了自定义和预定义URL对象过滤后都没有被阻断，那么最终URL将被放行。

如图2所示，使用http或https的方式登录设备的Web网管，默认的用户名和密码是admin/admin，输入验证码，并点击按钮。

图2 登录Web网管

如图3所示，进入“资源管理>地址>IPv4地址对象”，点击，IP地址配置为192.168.3.0/24，创建研发网段地址对象，点击。按照同样的方法配置财务网段地址对象。

图3 配置地址对象

如图4所示，创建成功的地址对象配置如下：

图4 地址对象配置成功

如图5所示，进入“资源管理> URL >自定义URL”，点击，配置自定义URL对象网易，“内容”配置为163，点击。

图5 配置自定义URL对象网易

如图6所示，创建成功的自定义URL对象如下：

图6 自定义URL对象配置成功

如图7所示，进入“防火墙>安全策略> IPv4安全策略”，点击，“源地址”配置为研发网段，接着配置“URL过滤”部分。

图7 配置研发网段IPv4策略

如图8所示，在IPV4策略页面的“URL过滤”标签页，将“过滤恶意URL”点击为，点击，“URL分类”配置为在线音乐和BBS站点，“处理动作”配置为拒绝，“日志级别”配置为信息，点击。

图8 配置“在线音乐”和“BBS站点”类URL阻断

如图9所示，创建成功的研发网段URL过滤策略配置如下：

图9 研发网段URL过滤策略配置成功

如图10所示，进入“防火墙>安全策略> IPv4安全策略”，点击，“源地址”配置为财务网段，接着配置“URL过滤”部分。

图10 配置财务网段IPv4策略

如图11所示，在“URL过滤”标签页中，点击，“URL分类”配置为网易，“处理动作”配置为拒绝，“日志级别”配置为信息，点击。

图11 配置网易URL阻断

如图12所示，创建成功的研发网段URL过滤策略配置如下：

图12 财务网段URL过滤策略配置成功

(1)     验证研发网段URL过滤效果

如图13所示，测试研发网段无法打开虾米音乐等在线音乐类网站。

图13 研发网段访问虾米音乐网站失败

如图14所示，测试研发网段无法打开天涯论坛等BBS站点类网站。

图14 研发网段访问天涯论坛网站失败

如图15所示，测试研发网段无法访问恶意URL页面。

图15 研发网段访问恶意URL失败

(2)     验证财务网段URL过滤效果

如图16所示，测试财务网段无法访问网易主页。

图16 财务网段访问网易主页失败

如图17所示，财务网段无法访问网易体育页面。

图17 财务网段访问网易体育页面失败

!

address 研发网段

 ip subnet 192.168.3.0/24

!       

address 财务网段

 ip subnet 172.16.2.0/24

!

url-category 网易

  url 163

!

policy any any 研发网段 any any any any always audit 1

 website-policy malware enable

 website-policy 1 music,BBS, deny info FilterUrl 

  website-policy enable 1

policy any any 财务网段 any any any any always  audit 2

 app-policy 1 application any any any keyword include any accept info FilterIMLoginAction 

  app-policy enable 1

 website-policy malware disable

 website-policy 1 网易, deny info FilterUrl 

  website-policy enable 1

policy default-action permit

policy white-list enable

!

·     《H3C SecPath F1000-C8102安全产品管理平台Web配置手册》中的“URL过滤”

·     《H3C SecPath F1000-C8102安全产品管理平台配置指导》中的“URL分类与网站策略配置指导”