应用场景:

     NGFW通过配置URL屏蔽功能,禁止或允许内网用户访问某些非网站。

     关键字过滤是一套功能强大且容易使用的内容监控系统。一直以来,由于一些不法分子利用网络来传播一些色情、反动等非法信息,这些大量非法信息,会给人们的精神生活带来不利的影响。NGFW的关键字过滤主要是针对网页内容文字的过滤。控制用户对非法内容的访问,管理员能够通过页面配置被禁止的文字。例如,禁止用户打开任何带有“法轮功”的见面。

     随着Internet的迅猛发展,网页的内容日益丰富,各种网页控件越来越被广泛的应用,不仅仅占用网络及系统资源,而且给互联网以及使用者带来了很大的安全隐患。NGFW设备能够对Java Applet、Cookie、Script、Object这四种控件进行过滤,保证上网者放心使用网络。 

 

功能原理:

     随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,企业需要对网络进行多层、深层的防护来有效保证其网络安全,入侵防御系统(IPS)功能正是为网络提供深层防护。

     NGFW设备开启应用层过滤功能(包括:入侵防护、病毒防护、应用控制、应用过滤)后,所有进入设备的数据包均要通过IPS子系统进行分析、检测、防护以及告警。

     数据包首先协议分析模块,进行协议识别,包括TCP、UDP、ICMP,常见应用协议可识别:HTTP、FTP、SMTP、POP3、IMAP以及其他,部分协议分析事件此时就可以识别完成,上报告警信息。

     如果配置了其他应用功能,则数据包会根据配置进入各个应用防护流程:

     入侵防护:数据包根据已分析出来的协议特性与系统已有的入侵防护特征库进行模式匹配,匹配到相应特征后,根据规则设置进行放行、阻断和日志上报;

     病毒防护:系统调用第三方的动态库对数据包进行病毒检测;

     应用控制:数据包根据已分析出来的协议特性与系统已有的应用控制特征库进行模式匹配,匹配到相应特征后,根据规则设置进行放行、阻断和日志上报;

     Web过滤:对于符合条件的HTTP协议数据进行过滤和替换;

     邮件过滤:对于符合条件的SMTP、POP3、IMAP协议数据进行过滤。

 

     WEB过滤模块功能针对HTTP协议为用户提供应用级的安全防护和访问限制。 WEB过滤大致分为两个方面,一方面是对HTTP请求的过滤,主要是对URL的过滤,另一方面是对HTTP响应的过滤,主要是对HTTP内容过滤。 

     NGFW设备中URL过滤的基本过程是:首先在URL列表中添加模式字符串,然后在安全防护表模板中启用web过滤功能并选择URL列表类型,最后在策略中引用该安全防护表模板并启用策略。 

      系统中有屏蔽和免屏蔽两个URL列表,每个列表中可以添加多个模式字符串。屏蔽列表的过滤行为是deny,即匹配上该列表中的模式字符串的流要被过滤掉,否则放行;免屏蔽列表的过滤行为是accept,即匹配上该列表中的模式字符串的流可以通过,否则被过滤。 

      对于用户的URL请求,首先查找URL中是否包含列表中的模式字符串,从而执行列表的过滤规则。