如何在URL筛选管理器中过滤不需要的URL

互联网可以说是一把名副其实的双刃剑。一方面其可以提高工作效率、给企业提供充分的资源;另一方面如果管理不严，也会带来很多的隐患。如员工在上班时间玩游戏、炒股等等。为此现在很多企业希望对员工的网络行为进行限制。如禁止上班时间玩“偷菜”游戏等等。但是由于工作的需要，也不能够完全禁止用户访问网络。如下图所示，用户可以访问阿里巴巴等商业网站，但是QQ、新浪等网站则不允许访问。作为网络安全管理人员，该如何来实现这种区别待遇呢?笔者在这篇文章中，以Forefront产品为例，谈谈这方面的技巧与经验。
一、在URL筛选管理器中过滤不需要的URL

　　在Forefront安全网关中提供了一种叫做“URL筛选器”的组件。简单的说，使用这个URL筛选器可以根据网站在URL筛选数据库中的分类来创建允许或者禁止访问网站的访问规则。如上图所示，假设现在企业内网有一个用户，想访问QQ网站下载一个QQ应用程序。此时请求先会发送到Forefront安全网关。然后安全网关中的URL筛选器会跟自己后台的URL筛选数据库进行对比，以判断整个URL是允许用户访问的，还是禁止用户访问。如果允许用户访问的话，则会将这个请求转发到相关的服务器上。相反，禁止访问的话，则这个请求就不会被转发出去。从而实现有差别的访问。

　　当用户请求访问某个网站，而这个网络已经被加入到了Forefront安全网关的黑名单，则用户会收到一个拒绝的通知。这个通知中的相关信息，如拒绝请求的类别，可以帮助用户分析这个请求为什么会被拒绝。当然这个请求信息管理员还可以进行自定义，让用户能够一目了然的知道被拒绝的原因。当然如果用户觉得这个被拒绝的毫无道理， 也可以向管理员提出异议。此时管理员可以查看已经定义的URL策略是否有问题，还是用户提出了过分的要求等等。

二、如何查找已经定义的URL 类别？

　　在讲这一步操作之前，笔者先需要说明的一点是，虽然这里这个工具的名字叫做URL筛选器。但是其针对的对象不仅仅是URL地址而已。也就是说，到目前为止，Forefront可以根据IP地址、域名等等进行过滤。有时候，各个过滤规则组合使用，往往能够起到出其不意的效果。

　　当用户维护URL筛选数据库的时候，往往需要先查询当前数据库中是否有相关的设置。如需要增加一个策略(如禁止访问QQ网站)，那么就需要先确认一下当前数据库中有没有这个跳设置。如果系统中有重复设置的话，会影响系统判断的效率，从而影响到用户上网的速度。为此一个总的原则就是数据库中每一条策略所包含的URL地址或者IP地址都是唯一的，特别是不能够有互相矛盾的内容。如第五条记录允许用户访问QQ网站，而第三十条记录则是禁止用户访问QQ网站。根据相关的规则，系统似乎从上到小查找过滤规则。当找到第五条记录，发现允许用户访问QQ网站之后，系统就不会再进行判断后续的条件，则认为管理员允许用户访问，就直接会将这个请求转发出去。也就是说，后续的条件已经没有任何用处。为此在更改某个策略的时候，不能够就是简单的加一条记录进去。而是应该先查询，确认以前是否存在相关的记录。如果有的话，可以在原有记录上进行更改，或者删除记录后重新创建。总之，查找已经定义的URL类别是首要的工作。那么具体来说，该如何进行更改呢?具体的步骤如下。
第一步：在Forefront安全网关管理控制台中，单击树中的Web访问策略。通常情况下，一般后续对安全网关的维护都是通过远程维护来完成的。为此笔者建议，除了要学会管理控制台之外，网络安全管理人员最好还需要掌握如何通过命令行的方式来访问安全网关。毕竟图形化界面在网络中传输比较慢，而且会占用比较多的带宽。在远程维护中，命令行方式是一个首选。

　　第二步：在任务窗口中，单击“查询URL类别”。然后再类别查询选项卡上，输入URL地址或者IP地址(可见筛选器所针对的对象不止URL，还针对IP地址)。然后单击查询。如果在数据库中已经定义了相关的信息，则就可以查到相关的记录。

　　第三步：进行后续的维护。找到相关的记录之后，就可以对其进行维护，如删除或者替换等等。在这个过程中，笔者认为需要注意一点，就是URL的格式。只有输入正确的URL格式才能够起到过滤的效果。一般URL格式必须包括主机名，并且可以包含路径、查询字符、转义字符等等，而且必须是以HTTP的等协议开头的。具体如何定义，管理员可以根据企业管理的需要来进行灵活的组合。

三、更改URL的类别

　　有时候安全管理人员需要将某个地址从禁止转为允许，或者从允许转为禁止。此时管理人员就需要在安全网关上作一个转换的动作。具体的来说，可以按如下方式来进行操作。

　　第一步：在Forefront安全网关管理控制台中，找到“Web访问策略”并单击打开。然后再任务窗口中，单击“配置URL筛选”。注意这里不是查找窗口，而是配置窗口。

　　第二步：在URL类别替代窗口选项卡上，单击添加按钮。探后在打开的对话框中，在“替代该URL模式的默认URL类别”下，根据正确的格式输入URL地址。在这个操作的时候，需要注意更改URL类别与定义URL策略之间的差异。如在进行替代类别操作的时候，不需要在URL地址中包含协议的名称，即不要以HTTP等字符开头。这是需要特别注意的。另外在Forefront安全网关中，还不支持国际化的域名体系，这也是需要引起警觉的地方。

　　第三步：在“将URL模式转移至此类别”下，选择新的URL类别。然后一路按确定即可。最后在“应用更改”中单击应用，所修改的策略马上就会生效。通常情况下，不需要重新启动，新作的修改就会起效。不过其只有针对通过安全网关的流量请求有效。

高配服务器：Intel Xeon E5-2650 2.6Ghz 双路 16核 64GB DDR3 2x 240GB SSD 5M独享国际带宽 2个IP 价格：3100元/月  老张QQ：2881064151