實施URL過濾的最佳十法
URL過濾是一種可以允許或阻止用戶訪問特定網站的內容過濾。這種方法已成為企業網絡上的一種基本方法,其目標是阻止雇員訪問可能損害效率或公司利益的內容。被阻止的網站可能是那些威脅到企業安全或包含惡意內容的網站,也可能是耗用大量帶寬的網站。
URL過濾能夠增強網絡安全,并強化公司資源的使用策略,對于多數工作場合是一項必需的措施。URL過濾的實施并不難,但如果企業遵循最佳方法就可以使其實施過程更容易和高效。
1.將URL過濾作為統一安全方案中的一種特性
企業當然可以從專門的廠商購買URL過濾,作為一種獨立的服務,但是,如果企業選擇一種包含URL過濾的安全方案,就能夠獲得更大的好處。下一代高端防火墻和統一威脅管理(UTM)系統往往可以提供URL過濾特性。
將URL過濾包含在安全設備和方案中強調了其重要性。這種方法還可以使過濾功能更容易配置、控制、管理。使URL過濾成為總體安全方案的一部分可以減少不少麻煩并可以增加安全性。
2.簡單配置和管理
建立URL過濾方案應當簡潔明了。最有效的安全方案可以使管理員用簡單幾步就配置好Web過濾。最初的步驟可能只是保證防火墻和入侵防御系統(IPS)能夠直接從安全廠商取得非法的和可允許的URL清單。后續的步驟包括精細地調整企業需要阻止或允許的URL。
監視Web過濾組件的活動應當同樣輕松。因為企業的過濾特性已經成為統一安全方案的一部分,因而所有經授權的管理員都能夠從唯一的中央控制臺輕松地監視它。
3.廣泛的URL種類過濾
URL種類過濾是阻止大范圍非法URL的最簡單也最綜合的方法之一。這種方法一般可作為所有Web過濾活動的基礎,然而只有安全廠商能夠不斷地更新其種類清單才真正有效。企業不應當將經常檢查更新的任務交給IT部門承擔,而應當由安全廠商來完成此工作。在種類清單有更新時,安全廠商不但應當向管理員發出警告,系統還應當盡快地部署更新。高端的安全方更案可以將動態更新作為總體安全程序包的一種特性。
最高級的過濾方案還擁有大量的種類清單和URL清單。對于高端的過濾方案來說,包含80個及以上的種類并不罕見,再加上大量的URL清單,就可以構建起一個可以阻止海量URL的解決方案。
4.手工過濾
基于預先定義清單的Web過濾是一個很好的開始,但最有效的過濾方案可以使企業有更大的靈活性和更多操作。預定義的清單依賴的是基于種類的過濾,從而阻止所有種類的非法網站。這種清單雖然提供了一種快捷的大范圍的過濾方法,但企業仍希望進一步精細調整方案,以滿足企業的具體需要。
企業有可能需要阻止基于種類的選項所涉及的其它網站。企業還有可能希望一直允許訪問特定網站,即使這些網站碰巧屬于預定義的清單或類型。高端的Web過濾方案可以使企業使用基于種類的過濾,同時又允許用戶手工添加自己的白名單和黑名單選擇。
5.檢查規則
檢查規則可以使用戶進一步精細調整Web過濾功能。由此,用戶可以確保阻止聯機應用的某些部分,但仍允許整個應用的訪問和使用。如果企業要阻止網站上的某些特定功能(例如,聊天、文件共享以及影響工作效率的其它功能),這是一種非常關鍵的工具。
檢查規則可以使通信受到深度檢查。最強大的Web過濾功能可以在URL水平上檢查Web通信,并且解密、重新加密,確保非必要的或潛在的惡意通信無法通過。
6.用戶響應
雖然向用戶警告URL是否匹配看似是一個小細節,卻是一個極重要的選項。讓用戶們知道某個站點被阻止有助于避免混亂,甚至可以避免一些向IT部門的求助。定制的用戶響應可以向用戶發出警告或注意,告訴用戶他正試圖訪問的網站被阻止的真正原因。
創建用戶響應也應簡潔而直接,它一般涉及訪問配置菜單、構建新用戶響應,并給它起一個有意義的唯一的名字。管理員還可以從已有的響應清單中選擇,也可以增加自己需要的其它細節。
7.綜合性策略
設置Web過濾策略是IT團隊的職責,而且這應當成為盡可能高效且無縫執行的任務。企業必須當心為IT團隊帶來更多工作的安全方案,如,有的方案要求為HTTPS和HTTP代理服務器分別設置獨立的策略,這就不太好。這不但會增加IT團隊維護策略的時間,而且還增加了人為錯誤的風險。
所以,企業應選擇那種將URL過濾與其它技術整合起來的綜合性方案。將Web過濾、應用程序識別和控制包含到單獨的策略中可以構建起一種高效的強化方案。
8.合并多種技術的能力
即使企業并沒有在單獨一個策略中合并多種工具,管理員還可以選擇將幾種安全技術進行合并。例如,假設貴公司希望阻止對外部Web郵件服務器的訪問。管理員可以借助一種可以同時使用應用程序識別和URL過濾的安全方案,前者可以檢測私有Web郵件服務器,而后者可以發現公共的Web郵件服務器,企業應確保在網絡中阻止這兩種服務器。合并兩種以上技術的能力可以提供一種完全強化的全面解決方案,從而有助于確保非法通信不會通過企業網絡。
9.強大的安全措施
由于有些系統不允許用戶同時進行Web過濾和病毒掃描,所以管理員需要確保有一套強健的反病毒方案。同樣地,對于Web過濾和內容檢查服務器的重定向問題,管理員還需要有一套外部的內容檢查方案。
在Web過濾是下一代防火墻或全局的統一威脅管理系統(其中包括反病毒等)的一部分時,核心基礎架構服務器的重定向就成為一種無縫的過程。此過程一般涉及到配置適當的反病毒或核心基礎架構服務器的重定向設置,以確保所有的通信都受到徹底檢查。此外,保證企業的反病毒方案對不同的應用程序、不同類型的通信、不同的協議都有效也是至關重要的。
10.避免過度阻止
URL過濾當然并非多多益善,尤其是阻止策略有可能無意中給用戶帶來問題。例如,某些應用程序可能要求特定的商業間諜程序才能正確地實現功能。阻止所有的商業間諜軟件可能導致這種應用程序無法運行,或者使需要這些程序的用戶無法訪問。
過渡阻止的另一個問題是有可能增加IT團隊的負擔,IT會被要求頻繁地進行修復,解決過渡阻止造成的無法使用的問題。這種情況會增加資源的負擔,浪費用戶和IT團隊的時間。經常檢查企業的Web過濾策略、在需要時進行手工更新、經常細微地調整策略有助于消除策略的例外情況,同時確保企業網絡的安全性。
