 |
『组网需求』:
要求"192.168.1.100"不可访问外部的www.163.com、www.sohu.com网址,而且载入"123.txt"文件过滤掉网页内容,并将缺省的SQL攻击防范开启。
『配置实例』:
1.要求参考"ASPF配置",开启"HTTP、TCP"检测,并在"trust和untrust"域中开启报文统计功能。
2.在系统视图分别开启Web地址、内容过滤功能及SQL注入攻击防范。
[Secpath]firewall url-filter host enable
[Secpath]firewall webdata-filter enable
[Secpath]firewall url-filter parameter enable
3.在系统视图下配置网址过滤。
[Secpath]firewall url-filter host add deny www.163.com
[Secpath]firewall url-filter host add deny www.sohu.com
[Secpath]dis firewall url-filter host item-all
SN Match-Times Keywords
----------------------------------------------
1 0
2 0
4.在系统视图下配置WEB内容过滤。
[Secpath]firewall webdata-filter load-file 123.txt
[Secpath]dis fir webdata-filter item-all
SN Match-Times Keywords
----------------------------------------------
1 0 gogo
2 0 安全
5.在系统视图下配置缺省的SQL攻击防范开启,也可手动添加。
[Secpath]firewall url-filter parameter add-default
[Secpath]dis firewall url-filter parameter item-all
SN Match-Times Keywords
----------------------------------------------
1 0 ^select^
2 0 ^insert^
3 0 ^update^
4 0 ^delete^
5 0 ^drop^
6 0 --
7 0 '
8 0 ^exec^
9 0 %27
『注意事项』:
1、开启Web地址、内容过滤功能及SQL注入攻击防范功能之前,要先配置ASPF策略,detect http,detect tcp,才能使Web地址和Web内容过滤功能生效。
2、在配置Web地址过滤时,可以设置默认规则,如果规则是"permit",则配置的过滤表项都是"deny",反之亦然。
3、目前SECPATH产品支持中英文过滤,对于中文必须通过文件方式载入。
4、防火墙还提供了对Web中SQL(Structure Query Language,结构化查询语言)注入攻击进行防范的功能。目前缺省情况下,系统预定义了以下关键字:^select^、^insert^、^update^、^delete^、^drop^、--、'、^exec^和%27。
5、目前SECPATH系列产品,路由和透明模式均支持内容过滤。对于web-filter规则,目前可配置2K个,而"*"可匹配0~4个字符或2个汉字。
