■孫華天

實施URL過濾的最佳十法

■孫華天

URL過濾能夠增強網(wǎng)絡(luò)安全，并強化公司資源的使用策略，對于多數(shù)工作場合是一項必需的措施。URL過濾的實施并不難，但如果企業(yè)遵循最佳方法就可以使其實施過程更容易和高效。

1.作為統(tǒng)一安全方案中的一種特性

企業(yè)當(dāng)然可以從專門的廠商購買URL過濾，作為一種獨立的服務(wù)，但是，如果企業(yè)選擇一種包含URL過濾的安全方案，就能夠獲得更大的好處。下一代高端防火墻和統(tǒng)一威脅管理(UTM)系統(tǒng)往往可以提供URL過濾特性。

將URL過濾包含在安全設(shè)備和方案中強調(diào)了其重要性。這種方法還可以使過濾功能更容易配置、控制、管理。使URL過濾成為總體安全方案的一部分可以減少不少麻煩并可以增加安全性。

2.簡單配置和管理

建立URL過濾方案應(yīng)當(dāng)簡潔明了。最有效的安全方案可以使管理員用簡單幾步就配置好Web過濾。最初的步驟可能只是保證防火墻和入侵防御系統(tǒng)(IPS)能夠直接從安全廠商取得非法的和可允許的URL清單。后續(xù)的步驟包括精細(xì)地調(diào)整企業(yè)需要阻止或允許的URL。

監(jiān)視Web過濾組件的活動應(yīng)當(dāng)同樣輕松。因為企業(yè)的過濾特性已經(jīng)成為統(tǒng)一安全方案的一部分，因而所有經(jīng)授權(quán)的管理員都能夠從唯一的中央控制臺輕松地監(jiān)視它。

3.廣泛的URL種類過濾

URL種類過濾是阻止大范圍非法URL的最簡單也最綜合的方法之一。這種方法一般可作為所有Web過濾活動的基礎(chǔ)，然而只有安全廠商能夠不斷地更新其種類清單才真正有效。企業(yè)不應(yīng)當(dāng)將經(jīng)常檢查更新的任務(wù)交給IT部門承擔(dān)，而應(yīng)當(dāng)由安全廠商來完成此工作。在種類清單有更新時，安全廠商不但應(yīng)當(dāng)向管理員發(fā)出警告，系統(tǒng)還應(yīng)當(dāng)盡快地部署更新。高端的安全方更案可以將動態(tài)更新作為總體安全程序包的一種特性。

4.手工過濾

基于預(yù)先定義清單的Web過濾是一個很好的開始，但最有效的過濾方案可以使企業(yè)有更大的靈活性和更多操作。預(yù)定義的清單依賴的是基于種類的過濾，從而阻止所有種類的非法網(wǎng)站。這種清單雖然提供了一種快捷的大范圍的過濾方法，但企業(yè)仍希望進(jìn)一步精細(xì)調(diào)整方案，以滿足企業(yè)的具體需要。

企業(yè)有可能需要阻止基于種類的選項所涉及的其它網(wǎng)站。企業(yè)還有可能希望一直允許訪問特定網(wǎng)站，即使這些網(wǎng)站碰巧屬于預(yù)定義的清單或類型。高端的Web過濾方案可以使企業(yè)使用基于種類的過濾，同時又允許用戶手工添加自己的白名單和黑名單選擇。

5.檢查規(guī)則

檢查規(guī)則可以使用戶進(jìn)一步精細(xì)調(diào)整Web過濾功能。由此，用戶可以確保阻止聯(lián)機應(yīng)用的某些部分，但仍允許整個應(yīng)用的訪問和使用。如果企業(yè)要阻止網(wǎng)站上的某些特定功能(例如，聊天、文件共享以及影響工作效率的其它功能)，這是一種非常關(guān)鍵的工具。

檢查規(guī)則可以使通信受到深度檢查。最強大的Web過濾功能可以在URL水平上檢查Web通信，并且解密、重新加密，確保非必要的或潛在的惡意通信無法通過。

6.用戶響應(yīng)

雖然向用戶警告URL是否匹配看似是一個小細(xì)節(jié)，卻是一個極重要的選項。讓用戶們知道某個站點被阻止有助于避免混亂，甚至可以避免一些向IT部門的求助。定制的用戶響應(yīng)可以向用戶發(fā)出警告或注意，告訴用戶他正試圖訪問的網(wǎng)站被阻止的真正原因。

創(chuàng)建用戶響應(yīng)也應(yīng)簡潔而直接，它一般涉及訪問配置菜單、構(gòu)建新用戶響應(yīng)，并給它起一個有意義的唯一的名字。管理員還可以從已有的響應(yīng)清單中選擇，也可以增加自己需要的其它細(xì)節(jié)。

7.綜合性策略

設(shè)置Web過濾策略是IT團(tuán)隊的職責(zé)，而且這應(yīng)當(dāng)成為盡可能高效且無縫執(zhí)行的任務(wù)。企業(yè)必須當(dāng)心為IT團(tuán)隊帶來更多工作的安全方案，如，有的方案要求為HTTPS和HTTP代理服務(wù)器分別設(shè)置獨立的策略，這就不太好。這不但會增加IT團(tuán)隊維護(hù)策略的時間，而且還增加了人為錯誤的風(fēng)險。

所以，企業(yè)應(yīng)選擇那種將URL過濾與其它技術(shù)整合起來的綜合性方案。將Web過濾、應(yīng)用程序識別和控制包含到單獨的策略中可以構(gòu)建起一種高效的強化方案。

8.合并多種技術(shù)的能力

即使企業(yè)并沒有在單獨一個策略中合并多種工具，管理員還可以選擇將幾種安全技術(shù)進(jìn)行合并。例如，假設(shè)貴公司希望阻止對外部Web郵件服務(wù)器的訪問。管理員可以借助一種可以同時使用應(yīng)用程序識別和URL過濾的安全方案，前者可以檢測私有Web郵件服務(wù)器，而后者可以發(fā)現(xiàn)公共的Web郵件服務(wù)器，企業(yè)應(yīng)確保在網(wǎng)絡(luò)中阻止這兩種服務(wù)器。合并兩種以上技術(shù)的能力可以提供一種完全強化的全面解決方案，從而有助于確保非法通信不會通過企業(yè)網(wǎng)絡(luò)。

9.強大的安全措施

由于有些系統(tǒng)不允許用戶同時進(jìn)行Web過濾和病毒掃描，所以管理員需要確保有一套強健的反病毒方案。同樣地，對于Web過濾和內(nèi)容檢查服務(wù)器的重定向問題，管理員還需要有一套外部的內(nèi)容檢查方案。

在Web過濾是下一代防火墻或全局的統(tǒng)一威脅管理系統(tǒng)的一部分時，核心基礎(chǔ)架構(gòu)服務(wù)器的重定向就成為一種無縫的過程。此過程一般涉及到配置適當(dāng)?shù)姆床《净蚝诵幕A(chǔ)架構(gòu)服務(wù)器的重定向設(shè)置，以確保所有的通信都受到徹底檢查。此外，保證企業(yè)的反病毒方案對不同的應(yīng)用程序、不同類型的通信、不同的協(xié)議都有效也是至關(guān)重要的。

10.避免過度阻止

URL過濾當(dāng)然并非多多益善，尤其是阻止策略有可能無意中給用戶帶來問題。例如，某些應(yīng)用程序可能要求特定的商業(yè)間諜程序才能正確地實現(xiàn)功能。阻止所有的商業(yè)間諜軟件可能導(dǎo)致這種應(yīng)用程序無法運行，或者使需要這些程序的用戶無法訪問。

過渡阻止的另一個問題是有可能增加IT團(tuán)隊的負(fù)擔(dān)，IT會被要求頻繁地進(jìn)行修復(fù)，解決過渡阻止造成的無法使用的問題。這種情況會增加資源的負(fù)擔(dān)，浪費用戶和IT團(tuán)隊的時間。經(jīng)常檢查企業(yè)的Web過濾策略、在需要時進(jìn)行手工更新、經(jīng)常細(xì)微地調(diào)整策略有助于消除策略的例外情況，同時確保企業(yè)網(wǎng)絡(luò)的安全性。