HTTP过滤命令手册.docVIP

HTTP过滤命令手册 目 录 1 简介 3 1.1 概述 3 1.2 功能描述 3 1.2.1 URL过滤 3 1.2.2 HTTP协议正确性校验 3 1.2.3 URL长度限制 4 1.2.4 HTTP文件类型过滤 4 1.2.5 HTTP响应内容的过滤 4 1.2.6 URL黑白名单库定期更新和导出 4 2 配置HTTP过滤 6 3 典型配置 15 3.1 配置解析 15 3.2 应用举例 16 简介 概述 HTTP过滤限制从前往Internet访问。过滤实现主要技术是URL过滤URL过滤通过请求URL项，对照站点数据库来容许请求。容许的请求用户直接访问该站点，禁止的请求向用户发送一个禁止访问信息的信息。URL过滤确保用户只能访问合适的站点。 搜索恶意代码的过程。 在网关处阻止一些利用攻击。请求URL与URL配置模板中的字符串进行匹配检查。如果匹配，则按照配置的策略（通过或拒绝）对HTTP请求请求过滤请求请求报报指明发送给接收者的实体正文的媒体类型报媒体类型报subtype;parameters 例如：Content-Type: text/html;charset=GB2312 文件类型过滤只关心type/subtype部分，不检查参数部分。 由于HTTP请求消息中URL是由主机，端口和文件路径三部分组成，路径中当然包含有文件名和文件扩展名。所以，还可以通过配置关键词为文件扩展名的URL过滤来阻止对拥有特定扩展名的文件访问。 不过，文件扩展名不一定就是实际的文件类型。 HTTP响应内容的过滤 如果HTTP响应内容的格式为html，而且非被压缩和被未加密，支持对HTTP响应内容的进行过滤。可以过滤html 中带有标记类型为: APPLET, OBJECT和SCRIPT的HTTP响应。 支持过滤包含HTTP代理的HTTP请求请求version 2 dns dns .js dns dns dns dns dnsresolve  配置HTTP过滤 命令 http-filter 使用模式 配置模式(config)# 功能 进入http filter配置模式，并使能http filter。 参数解释 命令 no http-filter 使用模式 配置模式(config)# 功能 关闭http filter功能。清除httpfilter模式下的所有配置。 参数解释 命令 http-verify 使用模式 http-filter配置模式(config-http-filter)# 功能 验证http协议中请求头部信息的正确性。对非法的请求头部信息或承载的非http协议进行阻断。 参数解释 命令 no http-verify 使用模式 http-filter配置模式(config-http-filter)# 功能 不验证http协议中请求头部信息的正确性。 放行非法的请求头部信息或承载的非http协议。 参数解释 命令 url default-policy （permit|drop） 使用模式 http-filter配置模式(config-http-filter)# 功能 设置防火墙缺省过滤策略。 当配置成permit模式（缺省方式）时，防火墙模块在启动URL过滤功能后将缺省通过所有的用户URL请求；当配置成drop模式时，防火墙模块在启动URL过滤功能后将缺省过滤所有的URL请求。 参数解释 drop 表明缺省策略是拒绝所有URL请求。 permit 表明缺省策略是通过所有URL请求。 命令 url dns-server A.B.C.D [E.F.G.H] 使用模式 http-filter配置模式(config-http-filter)# 功能 设置防火墙解析域名的域名服务器地址。 如果输入两个域名服务器地址，原来配置的域名服务器地址会被替代。 如果输入一个域名服务器地址，而且原来配置有两个域名服务器地址，那么原来配置第二个域名服务器地址会被替代。 如果输入一个域名服务器地址，而且原来配置有一个域名服务器地址或者原来没有配置域名服务器地址，那么新的域名服务器地址会被添加上。 参数解释 A.B.C.D 第一个域名服务器地址。 E.F.G.H 第二个域名服务器地址。 命令 no url dns-server [A.B.C.D] 使用模式 http-filter配置模式(con