中国领先的IT技术网站
|
|

实施URL过滤的最佳十法

URL过滤能够增强网络安全,并强化公司资源的使用策略,对于多数工作场合是一项必需的措施。其实施并不难,但如果企业遵循最佳方法就可以使其实施过程更容易和高效。

作者:赵长林来源:TechTarget中国|2014-11-27 09:09


URL过滤是一种可以允许或阻止用户访问特定网站的内容过滤。这种方法已成为企业网络上的一种基本方法,其目标是阻止雇员访问可能损害效率或公司利益的内容。被阻止的网站可能是那些威胁到企业安全或包含恶意内容的网站,也可能是耗用大量带宽的网站。

实施URL过滤的最佳十法

URL过滤能够增强网络安全,并强化公司资源的使用策略,对于多数工作场合是一项必需的措施。URL过滤的实施并不难,但如果企业遵循最佳方法就可以使其实施过程更容易和高效。

1.将URL过滤作为统一安全方案中的一种特性

企业当然可以从专门的厂商购买URL过滤,作为一种独立的服务,但是,如果企业选择一种包含URL过滤的安全方案,就能够获得更大的好处。下一代高端防火墙和统一威胁管理(UTM)系统往往可以提供URL过滤特性。

将URL过滤包含在安全设备和方案中强调了其重要性。这种方法还可以使过滤功能更容易配置、控制、管理。使URL过滤成为总体安全方案的一部分可以减少不少麻烦并可以增加安全性。

2.简单配置和管理

建立URL过滤方案应当简洁明了。最有效的安全方案可以使管理员用简单几步就配置好Web过滤。最初的步骤可能只是保证防火墙和入侵防御系统(IPS)能够直接从安全厂商取得非法的和可允许的URL清单。后续的步骤包括精细地调整企业需要阻止或允许的URL。

监视Web过滤组件的活动应当同样轻松。因为企业的过滤特性已经成为统一安全方案的一部分,因而所有经授权的管理员都能够从唯一的中央控制台轻松地监视它。

3.广泛的URL种类过滤

URL种类过滤是阻止大范围非法URL的最简单也最综合的方法之一。这种方法一般可作为所有Web过滤活动的基础,然而只有安全厂商能够不断地更新其种类清单才真正有效。企业不应当将经常检查更新的任务交给IT部门承担,而应当由安全厂商来完成此工作。在种类清单有更新时,安全厂商不但应当向管理员发出警告,系统还应当尽快地部署更新。高端的安全方更案可以将动态更新作为总体安全程序包的一种特性。

最高级的过滤方案还拥有大量的种类清单和URL清单。对于高端的过滤方案来说,包含80个及以上的种类并不罕见,再加上大量的URL清单,就可以构建起一个可以阻止海量URL的解决方案。

4.手工过滤

基于预先定义清单的Web过滤是一个很好的开始,但最有效的过滤方案可以使企业有更大的灵活性和更多操作。预定义的清单依赖的是基于种类的过滤,从而阻止所有种类的非法网站。这种清单虽然提供了一种快捷的大范围的过滤方法,但企业仍希望进一步精细调整方案,以满足企业的具体需要。

企业有可能需要阻止基于种类的选项所涉及的其它网站。企业还有可能希望一直允许访问特定网站,即使这些网站碰巧属于预定义的清单或类型。高端的Web过滤方案可以使企业使用基于种类的过滤,同时又允许用户手工添加自己的白名单和黑名单选择。

5.检查规则

检查规则可以使用户进一步精细调整Web过滤功能。由此,用户可以确保阻止联机应用的某些部分,但仍允许整个应用的访问和使用。如果企业要阻止网站上的某些特定功能(例如,聊天、文件共享以及影响工作效率的其它功能),这是一种非常关键的工具。

检查规则可以使通信受到深度检查。最强大的Web过滤功能可以在URL水平上检查Web通信,并且解密、重新加密,确保非必要的或潜在的恶意通信无法通过。

6.用户响应

虽然向用户警告URL是否匹配看似是一个小细节,却是一个极重要的选项。让用户们知道某个站点被阻止有助于避免混乱,甚至可以避免一些向IT部门的求助。定制的用户响应可以向用户发出警告或注意,告诉用户他正试图访问的网站被阻止的真正原因。

创建用户响应也应简洁而直接,它一般涉及访问配置菜单、构建新用户响应,并给它起一个有意义的唯一的名字。管理员还可以从已有的响应清单中选择,也可以增加自己需要的其它细节。

7.综合性策略

设置Web过滤策略是IT团队的职责,而且这应当成为尽可能高效且无缝执行的任务。企业必须当心为IT团队带来更多工作的安全方案,如,有的方案要求为HTTPS和HTTP代理服务器分别设置独立的策略,这就不太好。这不但会增加IT团队维护策略的时间,而且还增加了人为错误的风险。

所以,企业应选择那种将URL过滤与其它技术整合起来的综合性方案。将Web过滤、应用程序识别和控制包含到单独的策略中可以构建起一种高效的强化方案。

8.合并多种技术的能力

即使企业并没有在单独一个策略中合并多种工具,管理员还可以选择将几种安全技术进行合并。例如,假设贵公司希望阻止对外部Web邮件服务器的访问。管理员可以借助一种可以同时使用应用程序识别和URL过滤的安全方案,前者可以检测私有Web邮件服务器,而后者可以发现公共的Web邮件服务器,企业应确保在网络中阻止这两种服务器。合并两种以上技术的能力可以提供一种完全强化的全面解决方案,从而有助于确保非法通信不会通过企业网络。

9.强大的安全措施

由于有些系统不允许用户同时进行Web过滤和病毒扫描,所以管理员需要确保有一套强健的反病毒方案。同样地,对于Web过滤和内容检查服务器的重定向问题,管理员还需要有一套外部的内容检查方案。

在Web过滤是下一代防火墙或全局的统一威胁管理系统(其中包括反病毒等)的一部分时,核心基础架构服务器的重定向就成为一种无缝的过程。此过程一般涉及到配置适当的反病毒或核心基础架构服务器的重定向设置,以确保所有的通信都受到彻底检查。此外,保证企业的反病毒方案对不同的应用程序、不同类型的通信、不同的协议都有效也是至关重要的。

10.避免过度阻止

URL过滤当然并非多多益善,尤其是阻止策略有可能无意中给用户带来问题。例如,某些应用程序可能要求特定的商业间谍程序才能正确地实现功能。阻止所有的商业间谍软件可能导致这种应用程序无法运行,或者使需要这些程序的用户无法访问。

过渡阻止的另一个问题是有可能增加IT团队的负担,IT会被要求频繁地进行修复,解决过渡阻止造成的无法使用的问题。这种情况会增加资源的负担,浪费用户和IT团队的时间。经常检查企业的Web过滤策略、在需要时进行手工更新、经常细微地调整策略有助于消除策略的例外情况,同时确保企业网络的安全性。

【编辑推荐】

  1. web安全自动化运维
  2. Web安全扫描器Netsparker v3.5发布
【责任编辑:蓝雨泪 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

《ASP.NET AJAX Web 应用开发秘诀(VB版)》

本书详细介绍了AJAX在Web开发上的应用。主要内容包括:ASP.NET AJAX技术概述、实现异步局部更新页面、UpdatePanel编程功能、PageRequestMan...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× 学习达标赢Beats耳机