URL過(guò)濾是一種針對(duì)用戶的URL請(qǐng)求進(jìn)行上網(wǎng)控制的技術(shù)，通過(guò)允許或禁止用戶訪問(wèn)某些網(wǎng)頁(yè)資源，達(dá)到規(guī)范上網(wǎng)行為和降低安全風(fēng)險(xiǎn)的目的。

URL過(guò)濾可以基于URL分類、特定URL等多種方式限制URL訪問(wèn)。URL過(guò)濾的主要作用如下：

1、限制訪問(wèn)業(yè)務(wù)無(wú)關(guān)網(wǎng)站，提升企業(yè)工作效率、減少帶寬濫用。

2、限制訪問(wèn)非法或包含不健康內(nèi)容的網(wǎng)站，使上網(wǎng)行為合法合規(guī)。

3、限制訪問(wèn)包含惡意軟件以及釣魚類不安全網(wǎng)站，避免網(wǎng)絡(luò)遭受攻擊。

為什么URL過(guò)濾非常重要？

通過(guò)瀏覽網(wǎng)頁(yè)快速獲取信息已經(jīng)深入你我的工作和生活。但是互聯(lián)網(wǎng)本身是不安全的，網(wǎng)絡(luò)資源在帶給我們便利的同時(shí)，也帶給我們前所未有的威脅。威脅包括網(wǎng)絡(luò)安全層面的，也包括隨意使用網(wǎng)絡(luò)對(duì)業(yè)務(wù)造成的影響：

因此必須對(duì)上網(wǎng)行為進(jìn)行管控，URL過(guò)濾就是解決以上問(wèn)題的方法之一，可通過(guò)限制用戶訪問(wèn)的URL達(dá)到限制網(wǎng)頁(yè)訪問(wèn)的目的。管理員可以按網(wǎng)站分類禁止訪問(wèn)釣魚、社交、視頻類網(wǎng)站；還可以指定禁止或允許訪問(wèn)的具體URL。

URL過(guò)濾如何工作？

URL過(guò)濾的基本工作過(guò)程就是將URL請(qǐng)求中的URL信息與URL數(shù)據(jù)庫(kù)或列表進(jìn)行比對(duì)，如果匹配某條URL則執(zhí)行對(duì)應(yīng)的響應(yīng)動(dòng)作（允許/禁止）。 如果用戶通過(guò)手動(dòng)輸入或單擊搜索引擎鏈接來(lái)訪問(wèn)的URL被禁止，瀏覽器將被重定向到類似下圖的阻止頁(yè)面。

禁止訪問(wèn)未授權(quán)網(wǎng)站

URL數(shù)據(jù)庫(kù)或列表可以在設(shè)備本地，也可以在云端。一般情況下本地緩存頻繁訪問(wèn)的URL，云端覆蓋更多URL，當(dāng)在本地未匹配到URL時(shí)再到云端查找，這樣可以獲得最小的延遲。另外URL數(shù)據(jù)庫(kù)或列表的組織方式有多種，包括URL分類、單條URL黑名單、單條URL白名單，具體URL過(guò)濾處理流程如下圖。

URL過(guò)濾工作過(guò)程

URL黑白名單

URL黑白名單用于允許或禁止某些特定的URL，處理簡(jiǎn)單直接，白名單允許訪問(wèn)、黑名單禁止訪問(wèn)。此種方式通常用于對(duì)一些已知網(wǎng)站的控制，例如將企業(yè)正常使用的IT網(wǎng)站加入白名單、將禁止員工上班時(shí)間瀏覽的論壇加入黑名單。

URL分類

URL分類是URL過(guò)濾的核心管控方式。管理員按URL分類指定響應(yīng)動(dòng)作，例如禁止訪問(wèn)購(gòu)物類網(wǎng)站、社交類網(wǎng)站。當(dāng)用戶訪問(wèn)的URL隸屬于對(duì)應(yīng)URL分類時(shí)，則按該分類的響應(yīng)動(dòng)作進(jìn)行處理。

URL分類分為預(yù)定義URL分類、自定義URL分類兩種：

預(yù)定義URL分類

預(yù)定義URL分類是URL過(guò)濾功能提供商整理好的URL分類信息，并且定期更新。海量的URL預(yù)先劃分好歸類，例如博彩類、釣魚類、購(gòu)物類等等。

預(yù)定義URL分類中包含的URL條目數(shù)量巨大，逐條查找會(huì)影響效率，一般采取“兩步走”的方式。第一步，將常用URL及對(duì)應(yīng)的URL分類信息存儲(chǔ)到設(shè)備本地，先在這些URL中進(jìn)行查詢；如果沒(méi)有查詢到，再進(jìn)行第二步，遠(yuǎn)程查詢?cè)贫说腢RL分類服務(wù)器中的分類信息，URL分類服務(wù)器中的信息更全面。

另外本地存儲(chǔ)的URL信息是不斷學(xué)習(xí)更新的，不經(jīng)常訪問(wèn)的URL被老化，并且從URL分類服務(wù)器中獲取的查詢結(jié)果也將添加到本地。這種機(jī)制減少遠(yuǎn)程查詢，加快URL過(guò)濾處理速度。

自定義URL分類

URL新增頻繁，預(yù)定義分類的更新速度可能無(wú)法滿足企業(yè)的需求；另外企業(yè)可能有自己的URL分類策略，希望基于定制的URL分類進(jìn)行管控。此時(shí)管理員就可以創(chuàng)建自定義URL分類，然后在分類中加入U(xiǎn)RL。

定制URL過(guò)濾策略

基于前文所述的工作機(jī)制，管理員根據(jù)實(shí)際需求定制本企業(yè)URL過(guò)濾策略，常見(jiàn)思路如下：

URL過(guò)濾 vs DNS過(guò)濾

URL過(guò)濾和DNS過(guò)濾都屬于Web過(guò)濾，但是控制粒度和實(shí)現(xiàn)方式不同。URL過(guò)濾是通過(guò)提取用戶URL請(qǐng)求中URL信息進(jìn)行過(guò)濾，可以控制到網(wǎng)頁(yè)級(jí)別；而DNS過(guò)濾是通過(guò)提取用戶DNS請(qǐng)求中域名信息進(jìn)行過(guò)濾，只能控制到整個(gè)域名級(jí)別。兩者各有應(yīng)用場(chǎng)景。

例如企業(yè)需要禁止員工訪問(wèn)域名為的整個(gè)網(wǎng)站，就可以選擇DNS過(guò)濾。但是如果只是想禁止此域名的娛樂(lè)版塊/，那么就需要使用URL過(guò)濾。

再例如，企業(yè)識(shí)別到一個(gè)經(jīng)常引誘員工訪問(wèn)的惡意網(wǎng)址/index，此時(shí)建議使用DNS過(guò)濾禁止域名，因?yàn)樗芯W(wǎng)頁(yè)可能都是不安全的。

可能有人會(huì)問(wèn)，URL過(guò)濾也可以按域名禁止，但是DNS過(guò)濾在早于URL請(qǐng)求階段的DNS查詢階段進(jìn)行控制，對(duì)設(shè)備的性能影響小。另外DNS過(guò)濾與業(yè)務(wù)協(xié)議無(wú)關(guān)，而URL過(guò)濾局限在HTTP/HTTPS協(xié)議。

URL過(guò)濾 vs 應(yīng)用控制

應(yīng)用控制功能通過(guò)應(yīng)用識(shí)別技術(shù)識(shí)別流量中的各類應(yīng)用，從而對(duì)流量進(jìn)行精細(xì)化的管控。這里的應(yīng)用也包含一些Web類應(yīng)用，例如應(yīng)用就承載在網(wǎng)站。那么應(yīng)用控制和URL過(guò)濾兩者的區(qū)別是什么呢？

對(duì)于Web應(yīng)用，應(yīng)用控制是從訪問(wèn)網(wǎng)頁(yè)的流量中識(shí)別應(yīng)用然后進(jìn)行控制，URL過(guò)濾是從網(wǎng)頁(yè)所屬的URL來(lái)控制。也就是應(yīng)用控制針對(duì)的是應(yīng)用程序，可能多個(gè)網(wǎng)頁(yè)對(duì)應(yīng)同一個(gè)應(yīng)用程序；URL過(guò)濾針對(duì)的是頁(yè)面級(jí)訪問(wèn)行為。

應(yīng)用控制更適合細(xì)粒度控制應(yīng)用程序。針對(duì)這類網(wǎng)站，大家往往更熟悉瀏覽、視頻、游戲等應(yīng)用的名稱，如果收集應(yīng)用對(duì)應(yīng)的URL可能比較困難，往往可能一個(gè)應(yīng)用對(duì)應(yīng)多個(gè)URL。此時(shí)使用應(yīng)用控制更方便些，只需要基于視頻、游戲等應(yīng)用名字進(jìn)行配置。

URL過(guò)濾更擅長(zhǎng)控制用戶訪問(wèn)某類網(wǎng)站，或者同一域名下的一批網(wǎng)址。例如，控制用戶只能訪問(wèn)社交網(wǎng)站，不能訪問(wèn)其他社交網(wǎng)站，通過(guò)URL過(guò)濾更方便。如果使用應(yīng)用控制，需要配置網(wǎng)站對(duì)應(yīng)的全部應(yīng)用。

因此應(yīng)用控制和URL過(guò)濾兩者各有應(yīng)用場(chǎng)景，相輔相成。

URL過(guò)濾不足以防御所有Web攻擊

URL過(guò)濾主要通過(guò)阻止對(duì)已知惡意軟件和釣魚網(wǎng)站的訪問(wèn)，來(lái)減少Web攻擊事件。但是URL過(guò)濾不足以防御所有Web攻擊，企業(yè)或組織需要考慮完整的Web安全解決方案防御已知和未知威脅。多種安全功能協(xié)同工作才能有效防御Web攻擊，常用的部署方案如下：