Web 过滤概述
借助 Web 过滤,您可以通过防止访问不适当的 Web 内容来管理 Internet 使用情况。Web 过滤解决方案有三种类型:
重定向 Web 过滤 — 重定向 Web 过滤解决方案拦截 HTTP 和 HTTPS 请求,并将其发送到 Websense 提供的外部 URL 过滤服务器,以确定是否阻止请求。
重定向 Web 过滤不需要许可证。
本地 Web 过滤 — 本地 Web 过滤解决方案拦截 TCP 连接中的每个 HTTP 请求和 HTTPS 请求。在这种情况下,决策是在设备查找 URL 以根据其用户定义的类别确定它是否在允许列表或阻止列表中之后完成的。
本地 Web 过滤不需要许可证或远程类别服务器。
增强型 Web 过滤 — 增强型 Web 过滤解决方案拦截 HTTP 和 HTTPS 请求,并将 HTTP URL 或 HTTPS 源 IP 发送到 Websense ThreatSeeker Cloud (TSC)。TSC 将 URL 分类为预定义的 151 个或更多类别之一,并提供站点信誉信息。TSC 进一步将 URL 类别和站点信誉信息返回给设备。设备根据 TSC 提供的信息确定是否可以允许或阻止请求。
Websense 重定向支持 IPv6 流量。
Web 过滤使用 JDPI-Decoder 支持来处理应用程序数据。必须启用 JDPI 解码器才能强制执行 Web 过滤功能。JDPI 解码器需要 AppID 来处理应用程序数据。
您可以将 Web 过滤配置文件和/或防病毒配置文件绑定到防火墙策略。当两者都绑定到防火墙策略时,首先应用 Web 过滤,然后应用防病毒。如果 URL 被 Web 过滤阻止,则 TCP 连接将关闭,并且不需要防病毒扫描。如果允许 URL,则事务内容将传递到防病毒扫描进程。
Web 过滤按 TCP 端口号应用。
Web 过滤支持 HTTPS 协议。Web 过滤解决方案使用 HTTPS 数据包的 IP 地址来做出阻止列表、允许列表、允许或阻止决策。
在阻止决策期间,Web 过滤解决方案不会生成阻止页面,因为明文不可用于 HTTPS 会话。但是,该解决方案会终止会话,并将重置发送到被阻止的 HTTPS 会话的客户端和服务器。
HTTP 的 Web 过滤配置也适用于 HTTPS 会话。
session-per-client limit CLI 命令不支持 Web 过滤,该命令会施加会话限制以防止恶意用户同时生成大量流量。
Web 过滤和内容安全功能支持 HTTP、HTTPS、FTP、SMTP、POP3、IMAP 协议的 IPv6 直通流量。
服务器名称指示 (SNI) 支持
SNI 是 SSL/TLS 协议的扩展,用于指示客户端通过 HTTPS 连接联系的服务器名称。在 SSL 握手完成之前,SNI 以明文格式在“Client Hello”消息中插入目标服务器的实际主机名。Web 过滤在查询中包括 SNI 信息。在此实现中,SNI 仅包含服务器名称,而不包括服务器的完整 URL。支持 SNI 可增强 Web 过滤功能,因为在查询中仅使用目标 IP 地址可能会导致结果不准确,因为多个 HTTP 服务器可能共享相同的主机 IP 地址。
借助 SNI 支持,Web 过滤将 HTTPS 流量的第一个数据包分析为“客户端 Hello”消息,并从 SNI 扩展中提取服务器名称,并使用服务器名称和目标 IP 地址来维护/运行查询。如果此数据包没有 SNI 扩展名,或者在解析过程中遇到错误,Web 过滤将恢复为仅使用目标 IP 地址。
在 Web 过滤 (EWF) 中,如果启用了使用 SSL 转发代理的 HTTPS 会话,则会在 Web 过滤之前获取服务器名称指示 (SNI),并用于预检查查询、站点信誉和类别作为响应。如果启用了缓存,则这些响应将填充缓存,而不执行任何作。 EWF 提取完整路径并检查是否存在缓存。如果缓存中的完整路径不匹配,则 EWF 会发送查询。
默认情况下,所有类型的 Web 过滤都会启用 SNI 功能,因此不需要使用 CLI 进行其他配置。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。