互聯網可以說是一把名副其實的雙刃劍。一方面其可以提高工作效率、給企業提供充分的資源;另一方面如果管理不嚴,也會帶來很多的隱患。如員工在上班時間玩游戲、炒股等等。為此現在很多企業希望對員工的網絡行為進行限制。如禁止上班時間玩“偷菜”游戲等等。但是由於工作的需要,也不能夠完全禁止用戶訪問網絡。如下圖所示,用戶可以訪問阿里巴巴等商業網站,但是QQ、新浪等網站則不允許訪問。作為網絡安全管理人員,該如何來實現這種區別待遇呢?筆者在這篇文章中,以Forefront產品為例,談談這方面的技巧與經驗。
一、在URL篩選管理器中過濾不需要的URL
在Forefront安全網關中提供了一種叫做“URL篩選器”的組件。簡單的說,使用這個URL篩選器可以根據網站在URL篩選數據庫中的分類來創建允許或者禁止訪問網站的訪問規則。如上圖所示,假設現在企業內網有一個用戶,想訪問QQ網站下載一個QQ應用程序。此時請求先會發送到Forefront安全網關。然后安全網關中的URL篩選器會跟自己后台的URL篩選數據庫進行對比,以判斷整個URL是允許用戶訪問的,還是禁止用戶訪問。如果允許用戶訪問的話,則會將這個請求轉發到相關的服務器上。相反,禁止訪問的話,則這個請求就不會被轉發出去。從而實現有差別的訪問。
當用戶請求訪問某個網站,而這個網絡已經被加入到了Forefront安全網關的黑名單,則用戶會收到一個拒絕的通知。這個通知中的相關信息,如拒絕請求的類別,可以幫助用戶分析這個請求為什么會被拒絕。當然這個請求信息管理員還可以進行自定義,讓用戶能夠一目了然的知道被拒絕的原因。當然如果用戶覺得這個被拒絕的毫無道理, 也可以向管理員提出異議。此時管理員可以查看已經定義的URL策略是否有問題,還是用戶提出了過分的要求等等。
二、如何查找已經定義的URL 類別?
在講這一步操作之前,筆者先需要說明的一點是,雖然這里這個工具的名字叫做URL篩選器。但是其針對的對象不僅僅是URL地址而已。也就是說,到目前為止,Forefront可以根據IP地址、域名等等進行過濾。有時候,各個過濾規則組合使用,往往能夠起到出其不意的效果。
當用戶維護URL篩選數據庫的時候,往往需要先查詢當前數據庫中是否有相關的設置。如需要增加一個策略(如禁止訪問QQ網站),那么就需要先確認一下當前數據庫中有沒有這個跳設置。如果系統中有重復設置的話,會影響系統判斷的效率,從而影響到用戶上網的速度。為此一個總的原則就是數據庫中每一條策略所包含的URL地址或者IP地址都是唯一的,特別是不能夠有互相矛盾的內容。如第五條記錄允許用戶訪問QQ網站,而第三十條記錄則是禁止用戶訪問QQ網站。根據相關的規則,系統似乎從上到小查找過濾規則。當找到第五條記錄,發現允許用戶訪問QQ網站之后,系統就不會再進行判斷后續的條件,則認為管理員允許用戶訪問,就直接會將這個請求轉發出去。也就是說,后續的條件已經沒有任何用處。為此在更改某個策略的時候,不能夠就是簡單的加一條記錄進去。而是應該先查詢,確認以前是否存在相關的記錄。如果有的話,可以在原有記錄上進行更改,或者刪除記錄后重新創建。總之,查找已經定義的URL類別是首要的工作。那么具體來說,該如何進行更改呢?具體的步驟如下。
第一步:在Forefront安全網關管理控制台中,單擊樹中的Web訪問策略。通常情況下,一般后續對安全網關的維護都是通過遠程維護來完成的。為此筆者建議,除了要學會管理控制台之外,網絡安全管理人員最好還需要掌握如何通過命令行的方式來訪問安全網關。畢竟圖形化界面在網絡中傳輸比較慢,而且會占用比較多的帶寬。在遠程維護中,命令行方式是一個首選。
第二步:在任務窗口中,單擊“查詢URL類別”。然后再類別查詢選項卡上,輸入URL地址或者IP地址(可見篩選器所針對的對象不止URL,還針對IP地址)。然后單擊查詢。如果在數據庫中已經定義了相關的信息,則就可以查到相關的記錄。
第三步:進行后續的維護。找到相關的記錄之后,就可以對其進行維護,如刪除或者替換等等。在這個過程中,筆者認為需要注意一點,就是URL的格式。只有輸入正確的URL格式才能夠起到過濾的效果。一般URL格式必須包括主機名,並且可以包含路徑、查詢字符、轉義字符等等,而且必須是以HTTP的等協議開頭的。具體如何定義,管理員可以根據企業管理的需要來進行靈活的組合。
三、更改URL的類別
有時候安全管理人員需要將某個地址從禁止轉為允許,或者從允許轉為禁止。此時管理人員就需要在安全網關上作一個轉換的動作。具體的來說,可以按如下方式來進行操作。
第一步:在Forefront安全網關管理控制台中,找到“Web訪問策略”並單擊打開。然后再任務窗口中,單擊“配置URL篩選”。注意這里不是查找窗口,而是配置窗口。
第二步:在URL類別替代窗口選項卡上,單擊添加按鈕。探后在打開的對話框中,在“替代該URL模式的默認URL類別”下,根據正確的格式輸入URL地址。在這個操作的時候,需要注意更改URL類別與定義URL策略之間的差異。如在進行替代類別操作的時候,不需要在URL地址中包含協議的名稱,即不要以HTTP等字符開頭。這是需要特別注意的。另外在Forefront安全網關中,還不支持國際化的域名體系,這也是需要引起警覺的地方。
第三步:在“將URL模式轉移至此類別”下,選擇新的URL類別。然后一路按確定即可。最后在“應用更改”中單擊應用,所修改的策略馬上就會生效。通常情況下,不需要重新啟動,新作的修改就會起效。不過其只有針對通過安全網關的流量請求有效。
高配服務器:Intel Xeon E5-2650 2.6Ghz 雙路 16核 64GB DDR3 2x 240GB SSD 5M獨享國際帶寬 2個IP 價格:3100元/月 老張QQ:2881064151