■孫華天

實(shí)施URL過(guò)濾的最佳十法

■孫華天

URL過(guò)濾能夠增強(qiáng)網(wǎng)絡(luò)安全，并強(qiáng)化公司資源的使用策略，對(duì)于多數(shù)工作場(chǎng)合是一項(xiàng)必需的措施。URL過(guò)濾的實(shí)施并不難，但如果企業(yè)遵循最佳方法就可以使其實(shí)施過(guò)程更容易和高效。

1.作為統(tǒng)一安全方案中的一種特性

企業(yè)當(dāng)然可以從專門(mén)的廠商購(gòu)買(mǎi)URL過(guò)濾，作為一種獨(dú)立的服務(wù)，但是，如果企業(yè)選擇一種包含URL過(guò)濾的安全方案，就能夠獲得更大的好處。下一代高端防火墻和統(tǒng)一威脅管理(UTM)系統(tǒng)往往可以提供URL過(guò)濾特性。

將URL過(guò)濾包含在安全設(shè)備和方案中強(qiáng)調(diào)了其重要性。這種方法還可以使過(guò)濾功能更容易配置、控制、管理。使URL過(guò)濾成為總體安全方案的一部分可以減少不少麻煩并可以增加安全性。

2.簡(jiǎn)單配置和管理

建立URL過(guò)濾方案應(yīng)當(dāng)簡(jiǎn)潔明了。最有效的安全方案可以使管理員用簡(jiǎn)單幾步就配置好Web過(guò)濾。最初的步驟可能只是保證防火墻和入侵防御系統(tǒng)(IPS)能夠直接從安全廠商取得非法的和可允許的URL清單。后續(xù)的步驟包括精細(xì)地調(diào)整企業(yè)需要阻止或允許的URL。

監(jiān)視Web過(guò)濾組件的活動(dòng)應(yīng)當(dāng)同樣輕松。因?yàn)槠髽I(yè)的過(guò)濾特性已經(jīng)成為統(tǒng)一安全方案的一部分，因而所有經(jīng)授權(quán)的管理員都能夠從唯一的中央控制臺(tái)輕松地監(jiān)視它。

3.廣泛的URL種類過(guò)濾

URL種類過(guò)濾是阻止大范圍非法URL的最簡(jiǎn)單也最綜合的方法之一。這種方法一般可作為所有Web過(guò)濾活動(dòng)的基礎(chǔ)，然而只有安全廠商能夠不斷地更新其種類清單才真正有效。企業(yè)不應(yīng)當(dāng)將經(jīng)常檢查更新的任務(wù)交給IT部門(mén)承擔(dān)，而應(yīng)當(dāng)由安全廠商來(lái)完成此工作。在種類清單有更新時(shí)，安全廠商不但應(yīng)當(dāng)向管理員發(fā)出警告，系統(tǒng)還應(yīng)當(dāng)盡快地部署更新。高端的安全方更案可以將動(dòng)態(tài)更新作為總體安全程序包的一種特性。

4.手工過(guò)濾

基于預(yù)先定義清單的Web過(guò)濾是一個(gè)很好的開(kāi)始，但最有效的過(guò)濾方案可以使企業(yè)有更大的靈活性和更多操作。預(yù)定義的清單依賴的是基于種類的過(guò)濾，從而阻止所有種類的非法網(wǎng)站。這種清單雖然提供了一種快捷的大范圍的過(guò)濾方法，但企業(yè)仍希望進(jìn)一步精細(xì)調(diào)整方案，以滿足企業(yè)的具體需要。

企業(yè)有可能需要阻止基于種類的選項(xiàng)所涉及的其它網(wǎng)站。企業(yè)還有可能希望一直允許訪問(wèn)特定網(wǎng)站，即使這些網(wǎng)站碰巧屬于預(yù)定義的清單或類型。高端的Web過(guò)濾方案可以使企業(yè)使用基于種類的過(guò)濾，同時(shí)又允許用戶手工添加自己的白名單和黑名單選擇。

5.檢查規(guī)則

檢查規(guī)則可以使用戶進(jìn)一步精細(xì)調(diào)整Web過(guò)濾功能。由此，用戶可以確保阻止聯(lián)機(jī)應(yīng)用的某些部分，但仍允許整個(gè)應(yīng)用的訪問(wèn)和使用。如果企業(yè)要阻止網(wǎng)站上的某些特定功能(例如，聊天、文件共享以及影響工作效率的其它功能)，這是一種非常關(guān)鍵的工具。

檢查規(guī)則可以使通信受到深度檢查。最強(qiáng)大的Web過(guò)濾功能可以在URL水平上檢查Web通信，并且解密、重新加密，確保非必要的或潛在的惡意通信無(wú)法通過(guò)。

6.用戶響應(yīng)

雖然向用戶警告URL是否匹配看似是一個(gè)小細(xì)節(jié)，卻是一個(gè)極重要的選項(xiàng)。讓用戶們知道某個(gè)站點(diǎn)被阻止有助于避免混亂，甚至可以避免一些向IT部門(mén)的求助。定制的用戶響應(yīng)可以向用戶發(fā)出警告或注意，告訴用戶他正試圖訪問(wèn)的網(wǎng)站被阻止的真正原因。

創(chuàng)建用戶響應(yīng)也應(yīng)簡(jiǎn)潔而直接，它一般涉及訪問(wèn)配置菜單、構(gòu)建新用戶響應(yīng)，并給它起一個(gè)有意義的唯一的名字。管理員還可以從已有的響應(yīng)清單中選擇，也可以增加自己需要的其它細(xì)節(jié)。

7.綜合性策略

設(shè)置Web過(guò)濾策略是IT團(tuán)隊(duì)的職責(zé)，而且這應(yīng)當(dāng)成為盡可能高效且無(wú)縫執(zhí)行的任務(wù)。企業(yè)必須當(dāng)心為IT團(tuán)隊(duì)帶來(lái)更多工作的安全方案，如，有的方案要求為HTTPS和HTTP代理服務(wù)器分別設(shè)置獨(dú)立的策略，這就不太好。這不但會(huì)增加IT團(tuán)隊(duì)維護(hù)策略的時(shí)間，而且還增加了人為錯(cuò)誤的風(fēng)險(xiǎn)。

所以，企業(yè)應(yīng)選擇那種將URL過(guò)濾與其它技術(shù)整合起來(lái)的綜合性方案。將Web過(guò)濾、應(yīng)用程序識(shí)別和控制包含到單獨(dú)的策略中可以構(gòu)建起一種高效的強(qiáng)化方案。

8.合并多種技術(shù)的能力

即使企業(yè)并沒(méi)有在單獨(dú)一個(gè)策略中合并多種工具，管理員還可以選擇將幾種安全技術(shù)進(jìn)行合并。例如，假設(shè)貴公司希望阻止對(duì)外部Web郵件服務(wù)器的訪問(wèn)。管理員可以借助一種可以同時(shí)使用應(yīng)用程序識(shí)別和URL過(guò)濾的安全方案，前者可以檢測(cè)私有Web郵件服務(wù)器，而后者可以發(fā)現(xiàn)公共的Web郵件服務(wù)器，企業(yè)應(yīng)確保在網(wǎng)絡(luò)中阻止這兩種服務(wù)器。合并兩種以上技術(shù)的能力可以提供一種完全強(qiáng)化的全面解決方案，從而有助于確保非法通信不會(huì)通過(guò)企業(yè)網(wǎng)絡(luò)。

9.強(qiáng)大的安全措施

由于有些系統(tǒng)不允許用戶同時(shí)進(jìn)行Web過(guò)濾和病毒掃描，所以管理員需要確保有一套強(qiáng)健的反病毒方案。同樣地，對(duì)于Web過(guò)濾和內(nèi)容檢查服務(wù)器的重定向問(wèn)題，管理員還需要有一套外部的內(nèi)容檢查方案。

在Web過(guò)濾是下一代防火墻或全局的統(tǒng)一威脅管理系統(tǒng)的一部分時(shí)，核心基礎(chǔ)架構(gòu)服務(wù)器的重定向就成為一種無(wú)縫的過(guò)程。此過(guò)程一般涉及到配置適當(dāng)?shù)姆床《净蚝诵幕A(chǔ)架構(gòu)服務(wù)器的重定向設(shè)置，以確保所有的通信都受到徹底檢查。此外，保證企業(yè)的反病毒方案對(duì)不同的應(yīng)用程序、不同類型的通信、不同的協(xié)議都有效也是至關(guān)重要的。

10.避免過(guò)度阻止

URL過(guò)濾當(dāng)然并非多多益善，尤其是阻止策略有可能無(wú)意中給用戶帶來(lái)問(wèn)題。例如，某些應(yīng)用程序可能要求特定的商業(yè)間諜程序才能正確地實(shí)現(xiàn)功能。阻止所有的商業(yè)間諜軟件可能導(dǎo)致這種應(yīng)用程序無(wú)法運(yùn)行，或者使需要這些程序的用戶無(wú)法訪問(wèn)。

過(guò)渡阻止的另一個(gè)問(wèn)題是有可能增加IT團(tuán)隊(duì)的負(fù)擔(dān)，IT會(huì)被要求頻繁地進(jìn)行修復(fù)，解決過(guò)渡阻止造成的無(wú)法使用的問(wèn)題。這種情況會(huì)增加資源的負(fù)擔(dān)，浪費(fèi)用戶和IT團(tuán)隊(duì)的時(shí)間。經(jīng)常檢查企業(yè)的Web過(guò)濾策略、在需要時(shí)進(jìn)行手工更新、經(jīng)常細(xì)微地調(diào)整策略有助于消除策略的例外情況，同時(shí)確保企業(yè)網(wǎng)絡(luò)的安全性。