URL 过滤
URL 过滤
什么是 URL 过滤
在 Web 过滤中,除了根据 FortiGuard 分类执行监控或阻断动作外,还可以使用 URL 过滤来手动指定哪些网站被允许,哪些网站被阻断。
URL 过滤与 WebFilter 的执行顺序
- 如果 URL 过滤的动作是允许或监视器,那么将继续执行 WebFilter 分类过滤(如果 WebFilter 通过查询 FortiGuard 的分类的匹配动作是拒绝,那么该 URL 仍然会被拒绝)。
- 如果 URL 过滤的动作是拒绝,那么该 URL 将被直接拒绝。
- 如果 URL 过滤的动作是例外,那么该 URL 直接放通,不会执行 WebFilter 分类过滤。
URL 过滤类型
简单:URL 过滤器将执行完整的匹配;
如果网址设置为 support.fortinet.com.cn,那么 URL 过滤器将匹配 support.fortinet.com.cn,不会匹配 www.fortinet.com.cn ;
如果网址设置为 fortinet.com.cn, 那么 URL 过滤器将匹配 support.fortinet.com.cn,www.fortinet.com.cn ,fortinet.com.cn,不会匹配 fortinetxxx.com.cn。
正则表达式:URL 过滤器根据正则表达式执行匹配;
如果网址设置为 fortinet(即.*fortinet.*),那么 URL 过滤器将匹配包含 fortinet 字符的网址,如 www.fortinet.com,www.xxxfortinetyyy.com 等;
如果网址设置为 forti.*\.com,那么 URL 过滤器将匹配 support.fortinet.com,www.fortiguard.com 等。
通配符:URL 过滤器根据通配符执行匹配;
如果网址设置为 *,那么 URL 过滤器将匹配所有网址;
如果网址设置为 *.fortinet.com,那么 URL 过滤器将匹配 support.fortinet.com,www.fortinet.com 等;
URL 过滤动作
例外:该 UR 直接被 URL 过滤器允许,不再执行后续的 FortiGate 过滤器,内容过滤器等;
阻断:该 URL 被 URL 过滤器阻断;
允许:该 URL 被 URL 过滤器允许,但仍然要执行 FortiGuard 过滤器,内容过滤器等;
监视器:动作和允许一样,但记录日志。
##网络拓扑
PC-----------(port5:192.168.0.2/24)FGT(port2:100.1.1.2)-------------Internet
配置步骤
1.基本配置
配置接口 IP 和路由。
2.配置 Web 过滤配置文件
这里直接使用 Default 配置文件,并使用 URL 过滤器只允许 fortinet.com.cn 域名的网站,阻止其他所有网站。
请勾选”当发生分级错误时允许的网站“。这是为了防止因网络延迟,丢包等原因导致 FortiGate 不能与 FortiGuard webfilter 通信而引起 web 站点无法评估,进而导致该站点不能访问;勾选后如果是由于无法评估引起的错误,将允许访问该站点。
重要
在浏览器访问一个网站中,浏览器不仅仅只是访问该域名本身。网站中有很多图片,js 脚本等等都是需要加载的,因此在 URL 放通网站的时候,需要连那些浏览器内部访问的请求都要放通。浏览器访问一个域名时,通过 F12,点击 network 可以查看到该域名加载了哪些内容。
URL 过滤测试
PC 访问 support.fortinet.com.cn 是允许的。
查看 web 过滤日志。
PC 访问 www.qq.com 被 URL 过滤器阻止。
查看 webfilter 日志。
