互聯(lián)網(wǎng)可以說是一把名副其實的雙刃劍。一方面其可以提高工作效率、給企業(yè)提供充分的資源;另一方面如果管理不嚴，也會帶來很多的隱患。如員工在上班時間玩游戲、炒股等等。為此現(xiàn)在很多企業(yè)希望對員工的網(wǎng)絡行為進行限制。如禁止上班時間玩“偷菜”游戲等等。但是由于工作的需要，也不能夠完全禁止用戶訪問網(wǎng)絡。如下圖所示，用戶可以訪問阿里巴巴等商業(yè)網(wǎng)站，但是QQ、新浪等網(wǎng)站則不允許訪問。作為網(wǎng)絡安全管理人員，該如何來實現(xiàn)這種區(qū)別待遇呢?筆者在這篇文章中，以Forefront產(chǎn)品為例，談談這方面的技巧與經(jīng)驗。
一、在URL篩選管理器中過濾不需要的URL

　　在Forefront安全網(wǎng)關中提供了一種叫做“URL篩選器”的組件。簡單的說，使用這個URL篩選器可以根據(jù)網(wǎng)站在URL篩選數(shù)據(jù)庫中的分類來創(chuàng)建允許或者禁止訪問網(wǎng)站的訪問規(guī)則。如上圖所示，假設現(xiàn)在企業(yè)內網(wǎng)有一個用戶，想訪問QQ網(wǎng)站下載一個QQ應用程序。此時請求先會發(fā)送到Forefront安全網(wǎng)關。然后安全網(wǎng)關中的URL篩選器會跟自己后臺的URL篩選數(shù)據(jù)庫進行對比，以判斷整個URL是允許用戶訪問的，還是禁止用戶訪問。如果允許用戶訪問的話，則會將這個請求轉發(fā)到相關的服務器上。相反，禁止訪問的話，則這個請求就不會被轉發(fā)出去。從而實現(xiàn)有差別的訪問。

　　當用戶請求訪問某個網(wǎng)站，而這個網(wǎng)絡已經(jīng)被加入到了Forefront安全網(wǎng)關的黑名單，則用戶會收到一個拒絕的通知。這個通知中的相關信息，如拒絕請求的類別，可以幫助用戶分析這個請求為什么會被拒絕。當然這個請求信息管理員還可以進行自定義，讓用戶能夠一目了然的知道被拒絕的原因。當然如果用戶覺得這個被拒絕的毫無道理， 也可以向管理員提出異議。此時管理員可以查看已經(jīng)定義的URL策略是否有問題，還是用戶提出了過分的要求等等。

二、如何查找已經(jīng)定義的URL 類別？

　　在講這一步操作之前，筆者先需要說明的一點是，雖然這里這個工具的名字叫做URL篩選器。但是其針對的對象不僅僅是URL地址而已。也就是說，到目前為止，F(xiàn)orefront可以根據(jù)IP地址、域名等等進行過濾。有時候，各個過濾規(guī)則組合使用，往往能夠起到出其不意的效果。

　　當用戶維護URL篩選數(shù)據(jù)庫的時候，往往需要先查詢當前數(shù)據(jù)庫中是否有相關的設置。如需要增加一個策略(如禁止訪問QQ網(wǎng)站)，那么就需要先確認一下當前數(shù)據(jù)庫中有沒有這個跳設置。如果系統(tǒng)中有重復設置的話，會影響系統(tǒng)判斷的效率，從而影響到用戶上網(wǎng)的速度。為此一個總的原則就是數(shù)據(jù)庫中每一條策略所包含的URL地址或者IP地址都是唯一的，特別是不能夠有互相矛盾的內容。如第五條記錄允許用戶訪問QQ網(wǎng)站，而第三十條記錄則是禁止用戶訪問QQ網(wǎng)站。根據(jù)相關的規(guī)則，系統(tǒng)似乎從上到小查找過濾規(guī)則。當找到第五條記錄，發(fā)現(xiàn)允許用戶訪問QQ網(wǎng)站之后，系統(tǒng)就不會再進行判斷后續(xù)的條件，則認為管理員允許用戶訪問，就直接會將這個請求轉發(fā)出去。也就是說，后續(xù)的條件已經(jīng)沒有任何用處。為此在更改某個策略的時候，不能夠就是簡單的加一條記錄進去。而是應該先查詢，確認以前是否存在相關的記錄。如果有的話，可以在原有記錄上進行更改，或者刪除記錄后重新創(chuàng)建。總之，查找已經(jīng)定義的URL類別是首要的工作。那么具體來說，該如何進行更改呢?具體的步驟如下。
第一步：在Forefront安全網(wǎng)關管理控制臺中，單擊樹中的Web訪問策略。通常情況下，一般后續(xù)對安全網(wǎng)關的維護都是通過遠程維護來完成的。為此筆者建議，除了要學會管理控制臺之外，網(wǎng)絡安全管理人員最好還需要掌握如何通過命令行的方式來訪問安全網(wǎng)關。畢竟圖形化界面在網(wǎng)絡中傳輸比較慢，而且會占用比較多的帶寬。在遠程維護中，命令行方式是一個首選。

　　第二步：在任務窗口中，單擊“查詢URL類別”。然后再類別查詢選項卡上，輸入URL地址或者IP地址(可見篩選器所針對的對象不止URL，還針對IP地址)。然后單擊查詢。如果在數(shù)據(jù)庫中已經(jīng)定義了相關的信息，則就可以查到相關的記錄。

　　第三步：進行后續(xù)的維護。找到相關的記錄之后，就可以對其進行維護，如刪除或者替換等等。在這個過程中，筆者認為需要注意一點，就是URL的格式。只有輸入正確的URL格式才能夠起到過濾的效果。一般URL格式必須包括主機名，并且可以包含路徑、查詢字符、轉義字符等等，而且必須是以HTTP的等協(xié)議開頭的。具體如何定義，管理員可以根據(jù)企業(yè)管理的需要來進行靈活的組合。

三、更改URL的類別

　　有時候安全管理人員需要將某個地址從禁止轉為允許，或者從允許轉為禁止。此時管理人員就需要在安全網(wǎng)關上作一個轉換的動作。具體的來說，可以按如下方式來進行操作。

　　第一步：在Forefront安全網(wǎng)關管理控制臺中，找到“Web訪問策略”并單擊打開。然后再任務窗口中，單擊“配置URL篩選”。注意這里不是查找窗口，而是配置窗口。

　　第二步：在URL類別替代窗口選項卡上，單擊添加按鈕。探后在打開的對話框中，在“替代該URL模式的默認URL類別”下，根據(jù)正確的格式輸入URL地址。在這個操作的時候，需要注意更改URL類別與定義URL策略之間的差異。如在進行替代類別操作的時候，不需要在URL地址中包含協(xié)議的名稱，即不要以HTTP等字符開頭。這是需要特別注意的。另外在Forefront安全網(wǎng)關中，還不支持國際化的域名體系，這也是需要引起警覺的地方。

　　第三步：在“將URL模式轉移至此類別”下，選擇新的URL類別。然后一路按確定即可。最后在“應用更改”中單擊應用，所修改的策略馬上就會生效。通常情況下，不需要重新啟動，新作的修改就會起效。不過其只有針對通過安全網(wǎng)關的流量請求有效。

高配服務器：IntelXeonE5-2650 2.6Ghz 雙路 16核 64GBDDR3 2x240GBSSD 5M獨享國際帶寬 2個IP 價格：3100元/月 老張QQ：2881064151

總結

以上是生活随笔為你收集整理的如何在URL筛选管理器中过滤不需要的URL的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。