随着网络技术的不断应用,越来越多的企事业单位允许员工对因特网进行内容访问。目前因特网鱼龙混杂,存在着大量不健康或者反动的站点,如何有效的管理对因特网的访问呢?使用防火墙,根据URL地址对数据包进行过滤,是数据过滤的一种常用且实用的方法,可以有效实现对一些黄色、反动站点或信息的过滤,同时此方法在一定程度上也可以防范一些黑客攻击。
目前,传统的防火墙URL过滤技术基本上是在应用层实现,相应的防火墙也只有作为应用层代理时,才可以进行URL过滤。而对于最常用的企业、政府和网站应用环境,传统的防火墙在链路层或网络层做包过滤和数据转发时,却不具备URL过滤的功能。此外,当前的代理型URL过滤技术对每一个到达应用层的数据包都要进行拆包检查过滤,这种技术一方面受限于代理的处理性能而严重影响过滤速度,另一方面由于URL搜索匹配过滤也同时降低了代理的性能。
联想网御2000防火墙将URL过滤模块内嵌在网御安全操作系统内核数据链路层协议栈中,不仅能够对防火墙应用层代理功能实现URL过滤,而且能够对防火墙工作在链路层桥下转发、网络层路由、NAT(网络地址转换)伪装模式提供URL过滤功能,并且提供包过滤级的URL过滤速度,这是传统防火墙代理型URL过滤技术远远达不到的功能和处理性能。
联想网御2000防火墙采用基于状态检测机制的链路层URL智能过滤技术,主要技术特点如下:
● 解决了目前绝大多数防火墙不能对链路层和网络层转发的超文本传输协议(Hypertext Transfer Protocol,简称HTTP)数据包进行URL过滤的问题;其实现了链路层透明转发、网络层路由、NAT(网络地址转换)伪装、应用层代理四种情况下对数据包进行URL过滤功能,从而为各种网络环境下的用户全面隔离不良网站信息。
● 联想网御2000防火墙URL过滤模块基于面向连接的状态检测控制技术,将穿过防火墙的属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态、各种协议类型(甚至各种应用协议)等因素加以识别和进行访问控制。基于这种状态检测技术,使得防火墙能够在允许报文进入URL过滤引擎之前精确定位HTTP请求类型数据包,从而避免了对其他类型数据报文的重复过滤检查,在极大地提高了URL过滤效率的同时,保证了防火墙对数据报文转发的很高的吞吐能力。
● 联想网御2000防火墙URL过滤模块采用一种自行开发的快速URL过滤匹配算法,可以极大地提高URL过滤的效率。与传统的串匹配方法相比,这种过滤技术避免了搜索时间随着黑/白名单URL数目的增加而呈线性增长的缺点,因此更能够满足在高速网络环境下大吞吐量URL过滤的性能需要。
● 根据用户所需过滤内容,联想网御2000防火墙内置3种过滤类型库,并且提供自定义规则库,用户可以根据实际情况随意组合,方便管理,做到量体裁衣,突出重点。同时,为用户预先提供的URL入侵攻击特征串信息库,可以有效防范基于URL访问的入侵攻击,比如,可以封杀利用IIS漏洞进行的URL入侵攻击。
● 联想网御2000防火墙的管理员可以根据不同时间段内的实际需要设定不同的URL过滤规则集,实现灵活的URL过滤时间控制,以满足政府、企业、ICP网站服务商等用户对多种URL过滤方案的需要。
● 保证高速网络环境下日志信息处理的可靠性和稳定性问题一直是业界难题。联想网御2000防火墙采用深层的URL访问日志记录功能,其独有的日志分析和提取技术,能够保证在不影响防火墙工作性能的前提下,向系统管理员提供细致和全面的URL访问记录。
联想网御2000 防火墙URL过滤技术是针对用户的客观需求开发的新一代防火墙URL过滤技术,可满足政府、企业、ICP网站服务商等用户对多种URL信息进行过滤的需求,为用户网络的可管理性提供了一个高效的技术功能。
【责编:Yoyo】
阅读(537) | 评论(0) | 转发(0) |