上期我们谈到了解决软件合规准入问题,通过配置软件合规准入功能,可以有效防止运营商办公网用户"被动"影响办公网的网络安全以及业务风险。但对于用户网络活动中主动访问互联网中非法内容,比如病毒网站等对办公网的网络影响,仅实现用户合规准入基本束手无策,而且事后防护的效果显然没有事先禁止用户访问的效果明显。网康科技NS-ICG产品通过全球中文网址规模最大的网址预定义分类库,结合网址访问控制功能可以有效实现对非法网页的访问遏制。
技术原理:
目前网页URL数目数以千万计。传统的网页过滤通过预设的关键字,对网页内容进行匹配,效率很低,而且误封率居高不下,已经退出应用的主流。另外一种方法是预先设置需要封堵的URL列表,对URL进行实时的匹配过滤,这也存在很大的缺陷,由于URL数量巨大,依靠手工添加方式不可能实现完整的过滤,而且对URL列表的更新管理几乎不可能。网康科技NS-ICG的技术方式是先将URL按照基于网址内容的制定标准进行预分类,在结合网址访问策略实现对类别的过滤,既解决了过滤效率的问题,又保证了过滤的完整性与实效性。
配置实战:
前提条件是NS-ICG通过透明桥接模式部署在运营商办公网络中。目标是实现对指定用户在指定时间内所浏览的网页进行审计和控制,包括访问网站类型(如股票、色情)、网址类型(如聊天室)、文件类型(如mp3)、网址,标题,内容,请求数及流量等。
登录NS-ICG系统管理界面,通过点击【策略管理】→【审计策略设置】-【HTTP应用审计策略】-【网页浏览策略】进入如下图所示页面:
在"名称"中输入策略名称,如上图所示:"对不良网站的访问阻塞并报警","描述"项是指针对该策略的进一步说明,可选输入。"优先级"是为了应对多个策略的复合作用而定的,从下拉框中选择策略的优先级,数值越低优先级越高,优先级可选范围随现有HTTP应用审计策略条数而变化。
网康NS-ICG可以针对多种条件维度进行设置,以满足网络管理员的实际业务需求,为防止运营商办公网内用户访问非法网址,可以配置针对指定的网站分类,办公网内用户不容许访问。
通过网址分类选择界面,设定"不良网站"的具体范围,如下图:
然后,在"策略动作"中勾选"设置控制动作",这时右侧"策略内容"中会刷新出现相关操作说明,其中带下划线的蓝色文字通过点击可修改。调整操作内容为"阻塞该请求"。
点击"确认"按钮后,则新建一条非法网站过滤的策略。
目前整个策略还没有真正生效,若需要立刻生效,还缺少最后一步,点击右上方"立刻生效"按钮完成生效配置。