HTTP过滤命令手册.docx
《HTTP过滤命令手册.docx》由会员分享,可在线阅读,更多相关《HTTP过滤命令手册.docx(21页珍藏版)》请在冰豆网上搜索。
HTTP过滤命令手册
HTTP过滤命令手册
目录
1简介3
1.1概述3
1.2功能描述3
1.2.1URL过滤3
1.2.2HTTP协议正确性校验3
1.2.3URL长度限制4
1.2.4HTTP文件类型过滤4
1.2.5HTTP响应内容的过滤4
1.2.6URL黑白名单库定期更新和导出4
2配置HTTP过滤6
3典型配置15
3.1配置解析15
3.2应用举例16
1简介
1.1概述
HTTP过滤主要用于限制从企业网内部前往Internet的web访问。
当前版本的HTTP过滤实现的主要技术是URL过滤、内容过滤和文件类型过滤:
•URL过滤通过检测HTTP请求头中的URL项,对照配置的站点和类型数据库策略来容许或拒绝请求。
对容许的请求,用户直接访问该站点,被禁止的请求,向用户发送一个禁止访问信息的信息。
URL过滤确保用户只能访问合适的站点。
•内容过滤是搜索HTTP响应中的HTML标记和HTTP头部实体类型而过滤恶意代码的过程。
在网关处阻止一些利用ActiveX、Java小程序和web脚本发起的攻击。
•文件类型过滤通过检测HTTP响应中的Content-type(媒体类型),阻止用户访问指定的媒体类型。
在HTTP响应报文的数据中,每种文件类型以特定的媒体类型来传送。
用户配置需要系统阻止的文件类型(文件扩展名),系统自动阻止与文件类型相对应的媒体类型。
支持URL黑白名库单定期更新。
1.2功能描述
1.2.1URL过滤
HTTP访问中,配制策略,对HTTP请求头中的URL与URL配置模板中的字符串进行匹配检查。
如果匹配,则按照配置的策略(通过或拒绝)对HTTP请求进行处理;如果不匹配,则采取缺省策略(通过或拒绝)对HTTP请求进行处理。
如果URL字符串类型是域名类型的,HTTP过滤能够解析该域名对应的IP地址,从而对域名也对IP地址进行过滤。
1.2.2HTTP协议正确性校验
通过检测HTTP的请求头,对HTTP协议正确性校验,对非HTTP协议进行阻断。
也可以阻断通过80端口启用的非HTTP应用也可以使用此功能。
1.2.3URL长度限制
可以对HTTP请求头中的URL长度进行限制,拒绝其中URL过长的请求
1.2.4HTTP文件类型过滤
在HTTP实体报头中有一种叫Content-type的实体报头,用于指明发送给接收者的实体正文的媒体类型。
用户可以配置需要阻止的文件类型(文件扩展名),如果是常见文件类型,则系统自动阻止与文件类型相对应的HTTP媒体类型。
用户配置的文件类型(文件扩展名),如果不是常见文件类型,用户还可以自定义对应的HTTP媒体类型。
当系统收到HTTP响应消息,如果消息中包含Content-type实体报头,而且其类型匹配指定需要阻止的媒体类型,则HTTP消息将被丢弃。
HTTP消息中Content-type实体报头的格式如下:
Content-type:
type/subtype;parameters
例如:
Content-Type:
text/html;charset=GB2312
文件类型过滤只关心type/subtype部分,不检查参数部分。
由于HTTP请求消息中URL是由主机,端口和文件路径三部分组成,路径中当然包含有文件名和文件扩展名。
所以,还可以通过配置关键词为文件扩展名的URL过滤来阻止对拥有特定扩展名的文件访问。
不过,文件扩展名不一定就是实际的文件类型。
1.2.5HTTP响应内容的过滤
如果HTTP响应内容的格式为html,而且非被压缩和被未加密,支持对HTTP响应内容的进行过滤。
可以过滤html中带有标记类型为:
APPLET,OBJECT和SCRIPT的HTTP响应。
支持过滤包含HTTP代理的HTTP请求。
支持过滤带有COOKIE的HTTP请求或响应。
1.2.6URL黑白名单库定期更新和导出
除了支持用户配置URL过滤项目,系统还支持定期更新URL黑白名单库。
URL黑白名单库保存在FTP服务器上,系统作为FTP客户端定期从FTP服务器取回URL黑名单库,然后保存在本地,然后自动把URL黑白名单库配置到系统中进行URL过滤。
用户需要配置URL黑白名单库的FTP服务器、用户名、口令、文件路径和更新时间间隔。
系统保留URL模板名字blacknamelist,用做URL黑名单库更新,whitenamelist用作白名单模板。
URL黑白名单库以明文格式文本保存FTP服务器上。
第一行记录URL黑白名单库版本。
以后每一行是一条\URL地址样式。
URL地址样式最大为99个字符。
系统进行URL黑名单库定期更新时忽略大于99个字符URL地址样式。
注意:
系统没有限制用于URL黑名单库的文件大小,但是要求URL黑名单库文件小于2M。
进行URL黑名单库定期更新时使用大于2M文件,可能导致意料之外的问题。
下面是一个例子:
version2
dns
dns
.js
dns
dns
dns
dns
dnsresolve
2配置HTTP过滤
命令
http-filter
使用模式
配置模式(config)#
功能
进入httpfilter配置模式,并使能httpfilter。
参数解释
命令
nohttp-filter
使用模式
配置模式(config)#
功能
关闭httpfilter功能。
清除httpfilter模式下的所有配置。
参数解释
命令
http-verify
使用模式
http-filter配置模式(config-http-filter)#
功能
验证http协议中请求头部信息的正确性。
对非法的请求头部信息或承载的非http协议进行阻断。
参数解释
命令
nohttp-verify
使用模式
http-filter配置模式(config-http-filter)#
功能
不验证http协议中请求头部信息的正确性。
放行非法的请求头部信息或承载的非http协议。
参数解释
命令
urldefault-policy(permit|drop)
使用模式
http-filter配置模式(config-http-filter)#
功能
设置防火墙缺省过滤策略。
当配置成permit模式(缺省方式)时,防火墙模块在启动URL过滤功能后将缺省通过所有的用户URL请求;当配置成drop模式时,防火墙模块在启动URL过滤功能后将缺省过滤所有的URL请求。
参数解释
drop表明缺省策略是拒绝所有URL请求。
permit表明缺省策略是通过所有URL请求。
命令
urldns-serverA.B.C.D[E.F.G.H]
使用模式
http-filter配置模式(config-http-filter)#
功能
设置防火墙解析域名的域名服务器地址。
如果输入两个域名服务器地址,原来配置的域名服务器地址会被替代。
如果输入一个域名服务器地址,而且原来配置有两个域名服务器地址,那么原来配置第二个域名服务器地址会被替代。
如果输入一个域名服务器地址,而且原来配置有一个域名服务器地址或者原来没有配置域名服务器地址,那么新的域名服务器地址会被添加上。
参数解释
A.B.C.D第一个域名服务器地址。
E.F.G.H第二个域名服务器地址。
命令
nourldns-server[A.B.C.D]
使用模式
http-filter配置模式(config-http-filter)#
功能
取消设置防火墙解析域名的域名服务器地址。
如果没有命令参数,会取消原来配置的域名服务器地址。
如果输入一个域名服务器地址,会取消原来配置的匹配输入参数的域名服务器地址。
参数解释
A.B.C.D取消的域名服务器地址。
命令
urlmax-len<10-2048>
使用模式
http-filter配置模式(config-http-filter)#
功能
设置防火墙允许通过的,HTTP请求头中最大url长度。
参数解释
命令
nourlmax-len
使用模式
http-filter配置模式(config-http-filter)#
功能
取消设置的防火墙允许通过的,HTTP请求头中最大url长度。
设置防火墙允许通过的,HTTP请求头中最大url长度为缺省值1024。
参数解释
命令
urlrefresh-dns<0-65535>
使用模式
http-filter配置模式(config-http-filter)#
功能
配置httpfilter中域名解析间隔时间。
参数解释
0-65535向域名服务器发出重解析间隔,单位分钟。
如果参数为0,则使用缺省的60分钟。
命令
nourlrefresh-dns
使用模式
http-filter配置模式(config-http-filter)#
功能
配置httpfilter中域名解析间隔时间为缺省值。
缺省为60分钟
参数解释
命令
url(permit|deny)templateNAME
使用模式
http-filter配置模式(config-http-filter)#
功能
启用URL过滤模板。
参数解释
Permit允许与URL模板中的模式字符串匹配的http请求通过。
Deny阻绝与URL模板中的模式字符串匹配的http请求通过。
NAME启动的模板名称,最大长度63个字符。
命令
url(permit|deny)templateNAMEtimerangeNAME
使用模式
http-filter配置模式(config-http-filter)#
功能
启用URL过滤模板。
同时将URL模板和某个时间对象相关联,使URL模板在由时间对象所限定的时间范围内被启用。
参数解释
Permit允许与URL模板中的模式字符串匹配的http请求通过。
Deny阻绝与URL模板中的模式字符串匹配的http请求通过。
NAME启动的模板名称,最大长度63个字符。
NAME选择和此模板相对应的时间段名称,最大长度63个字符。
命令
nourltemplateNAME
使用模式
http-filter配置模式(config-http-filter)#
功能
取消启用URL过滤模板。
参数解释
NAME被取消启动的模板名称,最大长度63个字符。
命令
block(applet|object|script|proxy|cookie)
使用模式
http-filter配置模式(config-http-filter)#
功能
对http响应进行内容过滤。
阻断内容中包含指定标记的http响应,或者http响应中包含指定类型的http头部实体(headerentity)。
内容过滤对非压缩和未加密的html文档有效
参数解释
script过滤返回给用户html中带有script标记的内容
object过滤返回给用户的html中带有object标记的内容
applet过滤返回给用户的html中带有applet标记的内容
proxy阻断http代理请求
cookie清除http请求和响应中的cookie头部实体(headerentitycookie)。
命令
noblock(applet|object|script|proxy|cookie)
使用模式
http-filter配置模式(config-http-filter)#
功能
取消对http响应进行内容过滤。
不再阻断内容中包含指定标记的http响应,或者http响应中包含指定类型的http头部实体(headerentity)。
内容过滤对非压缩和未加密的html文档有效。
参数解释
script过滤返回给用户html中带有script标记的内容
object过滤返回给用户的html中带有object标记的内容
applet过滤返回给用户的html中带有applet标记的内容
proxy阻断http代理请求。
Cookie清除http请求和响应中的cookie头部实体(headerentitycookie)。
命令
blockfile-type(|ai|aif|aifc|aiff|asc|au|avi|bcpio|bin|c|cc|ccad|cdf|class|cpio|cpt|csh
|css|dcr|dir|dms|doc|drw|dvi|dwg|dxf|dxr|eps|etx|exe|ez|f|f90|fli|gif|gtar|gz|h|hdf|hh
|hqx|htm|html|ice|ief|iges|igs|ips|ipx|jpe|jpeg|jpg|js|kar|latex|lha|lsp|lzh|m|man|me
|mesh|mid|midi|mif|mime|mov|movie|mp2|mp3|mpe|mpeg|mpg|mpga|ms|msh|nc|oda
|pbm|pdb|pdf|pgm|pgn|png|pnm|pot|ppm|pps|ppt|ppz|pre|prt|ps|qt|ra|ram|ras|rgb
|rm|roff|rpm|rtf|rtx|scm|set|sgm|sgml|sh|shar|silo|sit|skd|skm|skp|skt|smi|smil|snd
|sol|spl|src|step|stl|stp|sv4cpio|sv4crc|swf|t|tar|tcl|tex|texi|texinfo|tif|tiff|tr|tsi|tsp|tsv
|txt|unv|ustar|vcd|vda|viv|vivo|vrml|wav|wrl|xbm|xlc|xll|xlm|xls|xlw|xml|xpm|xwd
|xyz|zip|FILETYPE)
使用模式
http-filter配置模式(config-http-filter)#
功能
对http响应进行内容过滤。
阻断http响应中包含指定媒体类型的http头部实体(headerentity)。
参数解释
FILETYPE:
用户指定的文件类型
其它:
系统提供的常见文件类型
命令
blockfile-typeFILETYPEcont-typeCONTTYPE
使用模式
http-filter配置模式(config-http-filter)#
功能
自定义文件类型,对http响应进行内容过滤。
阻断http响应中包含指定媒体类型的http头部实体(headerentity)。
参数解释
FILETYPE:
用户指定的文件类型
CONTTYPE:
用户指定的媒体类型。
命令
noblockfile-type(|ai|aif|aifc|aiff|asc|au|avi|bcpio|bin|c|cc|ccad|cdf|class|cpio|cpt
|csh|css|dcr|dir|dms|doc|drw|dvi|dwg|dxf|dxr|eps|etx|exe|ez|f|f90|fli|gif|gtar|gz|h
|hdf|hh|hqx|htm|html|ice|ief|iges|igs|ips|ipx|jpe|jpeg|jpg|js|kar|latex|lha|lsp|lzh|m
|man|me|mesh|mid|midi|mif|mime|mov|movie|mp2|mp3|mpe|mpeg|mpg|mpga
|ms|msh|nc|oda|pbm|pdb|pdf|pgm|pgn|png|pnm|pot|ppm|pps|ppt|ppz|pre|prt|ps
|qt|ra|ram|ras|rgb|rm|roff|rpm|rtf|rtx|scm|set|sgm|sgml|sh|shar|silo|sit|skd|skm
|skp|skt|smi|smil|snd|sol|spl|src|step|stl|stp|sv4cpio|sv4crc|swf|t|tar|tcl|tex|texi
|texinfo|tif|tiff|tr|tsi|tsp|tsv|txt|unv|ustar|vcd|vda|viv|vivo|vrml|wav|wrl|xbm|xlc
|xll|xlm|xls|xlw|xml|xpm|xwd|xyz|zip|FILETYPE)
使用模式
http-filter配置模式(config-http-filter)#
功能
取消对http响应中包含指定媒体类型的http头部实体(headerentity)的阻断。
参数解释
FILETYPE:
用户指定的文件类型
其它:
系统提供的常见文件类型
命令
templateurlNAME
使用模式
配置模式(config)#
功能
创建URL过滤模板。
并进入URL过滤模板配置模式。
参数解释
NAME被创建的URL模板名称,最大长度63个字符。
命令
notemplateurlNAME
使用模式
配置模式(config)#
功能
删除URL过滤模板。
并删除URL过滤模板的模式字符串。
参数解释
NAME被删除的URL模板名称,最大长度63个字符。
命令
patternPATTERNSTR
使用模式
配置URL过滤模板模式(config-url-template)#
功能
在URL过滤模板中加入模式字符串。
参数解释
PATTERNSTR模式字符串名称,最大长度99个字符。
命令
[no]patternPATTERNSTRdnsresolve
使用模式
配置URL过滤模板模式(config-url-template)#
功能
[删除]在URL过滤模板中加入域名类型模式字符串。
参数解释
PATTERNSTR模式字符串名称,最大长度99个字符。
命令
[no]push-siteSITESTR
使用模式
配置URL过滤模板模式(config-http-filter)#
功能
[取消]配置页面推送
参数解释
SITESTR页面推送内容
命令
push-interval<60-86400>
使用模式
配置URL过滤模板模式(config-http-filter)#
功能
配置页面推送时间
参数解释
单位秒
命令
showtemplateurl
使用模式
使能模式
功能
显示所有的URL过滤模板和摸板中的模式字符串。
如果有域名类型的模式字符串并切已经被解析,也显示解析的结果。
参数解释
命令
httpf
使用模式
策略配置模式(config-policy)#
功能
对匹配策略的连接,启用http过滤功能
参数解释
命令
nohttpf
使用模式
策略配置模式(config-policy)#
功能
对匹配策略的连接,不启用http过滤功能
参数解释
命令
urlupdateSERVER-NAMEUSERPASSWORDREMOTE-FILE-NAME(black|white)<5-65535>
使用模式
配置模式(config)#
功能
配置URL黑名单库定期更新。
参数解释
SERVER-NAME:
FTP服务器
USER:
访问FTP服务器的用户名
PASSWORD:
访问FTP服务器的用户口令
REMOTE-FILE-NAME:
保存在FTP服务器的用户名
(black|white):
黑、白名单
<5-65535>:
更新时间间隔,单位分钟
命令
nourlupdate(black|white)
使用模式
配置模式(config)#
功能
停止URL黑白名单库定期更新。
参数解释
(black|white):
黑、白名单
命令
urlexportSERVER-NAMEUSERPASSWORDFILE-NAME(black|white)
使用模式
配置模式(enable)#
功能
配置URL黑名单库导出,导出的文件存放到ftp服务器上。
参数解释
SERVER-NAME:
FTP服务器
USER:
访问FTP服务器的用户名
PASSWORD:
访问FTP服务器的用户口令
FILE-NAME:
导出的黑白名单存放在ftp服务器上的文件名
(black|white):
黑、白名单
3典型配置
3.1配置解析
!
urlupdate172.32.7.100ydt12341111112222.txtblack5\\黑名单远程更新
urlupdate172.32.7.100ydt12341111111111.txtwhite5\\白名单远程更新
!
policy1vlan1eth0anyanyanyalwayspermit\\配置策略,指定vlan1到eth0端口启用过滤功能
enable\\策略使能
httpf\\开启内容过滤
!
!
!
http-filter
push-site\\配置页面推送
push-interval3600\\页面推送时间(单位s)
urldns-server202.106.0.20222.222.222.222\\dns配置
blockapplet\\内容过滤
blockcookie
blockproxy
http-verify\\HTTP校验
blockfile-typedoccont-typeapplication/msword\\文件类型过滤(.doc文件)
blockfile-typedmscont-typeapplication/octet-stream
urlpermittemplatewhitenamelisttimerangealways\\系统自动生成黑白名单策略
urldenytemplateblacknamelisttimerangealways
urldenytemplate1timerangealways
!
templateurl1\\自定义模板1
pattern