什么是URL过滤？

为什么URL过滤非常重要？

通过浏览网页快速获取信息已经深入你我的工作和生活。但是互联网本身是不安全的，网络资源在带给我们便利的同时，也带给我们前所未有的威胁。威胁包括网络安全层面的，也包括随意使用网络对业务造成的影响：

• 企业员工在工作时间随意访问社交、视频等与工作无关的网站，严重影响工作效率并且占用网络带宽；甚至存在访问非法网站违反法律的风险。
• 学校、图书馆等公共机构随意访问不健康网站，触犯法规。
• 员工无意间访问恶意网站、钓鱼网站，泄露企业或个人机密信息，甚至会带来病毒、木马等威胁攻击。

因此必须对上网行为进行管控，URL过滤就是解决以上问题的方法之一，可通过限制用户访问的URL达到限制网页访问的目的。管理员可以按网站分类禁止访问钓鱼、社交、视频类网站；还可以指定禁止或允许访问的具体URL。

URL过滤如何工作？

URL过滤的基本工作过程就是将URL请求中的URL信息与URL数据库或列表进行比对，如果匹配某条URL则执行对应的响应动作（允许/禁止）。 如果用户通过手动输入或单击搜索引擎链接来访问的URL被禁止，浏览器将被重定向到类似下图的阻止页面。

URL数据库或列表可以在设备本地，也可以在云端。一般情况下本地缓存频繁访问的URL，云端覆盖更多URL，当在本地未匹配到URL时再到云端查找，这样可以获得最小的延迟。另外URL数据库或列表的组织方式有多种，包括URL分类、单条URL黑名单、单条URL白名单，具体URL过滤处理流程如下图。

URL过滤 vs DNS过滤

URL过滤和DNS过滤都属于Web过滤，但是控制粒度和实现方式不同。URL过滤是通过提取用户URL请求中URL信息进行过滤，可以控制到网页级别；而DNS过滤是通过提取用户DNS请求中域名信息进行过滤，只能控制到整个域名级别。两者各有应用场景。

例如企业需要禁止员工访问域名为example.news.com的整个网站，就可以选择DNS过滤。但是如果只是想禁止此域名的娱乐版块example.news.com/entertainment，那么就需要使用URL过滤。

再例如，企业识别到一个经常引诱员工访问的恶意网址example.malicious.com/index，此时建议使用DNS过滤禁止example.malicious.com域名，因为所有网页可能都是不安全的。

可能有人会问，URL过滤也可以按域名禁止，但是DNS过滤在早于URL请求阶段的DNS查询阶段进行控制，对设备的性能影响小。另外DNS过滤与业务协议无关，而URL过滤局限在HTTP/HTTPS协议。

URL过滤 vs 应用控制

应用控制功能通过应用识别技术识别流量中的各类应用，从而对流量进行精细化的管控。这里的应用也包含一些Web类应用，例如Facebook应用就承载在www.facebook.com网站。那么应用控制和URL过滤两者的区别是什么呢？

对于Web应用，应用控制是从访问网页的流量中识别应用然后进行控制，URL过滤是从网页所属的URL来控制。也就是应用控制针对的是应用程序，可能多个网页对应同一个应用程序；URL过滤针对的是页面级访问行为。

应用控制更适合细粒度控制应用程序。针对Facebook这类网站，大家往往更熟悉Facebook浏览、Facebook视频、Facebook游戏等应用的名称，如果收集应用对应的URL可能比较困难，往往可能一个应用对应多个URL。此时使用应用控制更方便些，只需要基于Facebook视频、Facebook游戏等应用名字进行配置。

URL过滤更擅长控制用户访问某类网站，或者同一域名下的一批网址。例如，控制用户只能访问Facebook社交网站，不能访问其他社交网站，通过URL过滤更方便。如果使用应用控制，需要配置网站对应的全部应用。

因此应用控制和URL过滤两者各有应用场景，相辅相成。

URL过滤不足以防御所有Web攻击

URL过滤主要通过阻止对已知恶意软件和钓鱼网站的访问，来减少Web攻击事件。但是URL过滤不足以防御所有Web攻击，企业或组织需要考虑完整的Web安全解决方案防御已知和未知威胁。多种安全功能协同工作才能有效防御Web攻击，常用的部署方案如下：

• 部署集成多种安全功能的下一代防火墙，启用内容过滤功能检测网页内容；启用文件过滤功能控制文件上传下载；启用IPS功能检测木马、恶意软件等攻击；启用反病毒功能检测文件病毒。
• 与云端协同，实时掌握最新威胁信息，防御未知威胁。华为防火墙可以与云沙箱联动检测高级APT（Advanced Persistent Threat）攻击，检测结果反向刷新防火墙本地的恶意URL或恶意文件列表，提升后续检测效率。
• 配合SSL加密流量检测功能，对加密HTTPS流量进行检测。
• 内网终端安装防病毒等安全软件。