锐捷【WALL1600下一代防火墙】web过滤原理是什么

随着互联网的飞速发展，网络环境也变得越来越复杂，恶意攻击、木马、蠕虫病毒等混合威胁不断增大，企业需要对网络进行多层、深层的防护来有效保证其网络安全，入侵防御系统(IPS)功能正是为网络提供深层防护。
 NGFW设备开启应用层过滤功能（包括：入侵防护、病毒防护、应用控制、应用过滤）后，所有进入设备的数据包均要通过IPS子系统进行分析、检测、防护以及告警。
 数据包首先协议分析模块，进行协议识别，包括TCP、UDP、ICMP，常见应用协议可识别：HTTP、FTP、SMTP、POP3、IMAP以及其他，部分协议分析事件此时就可以识别完成，上报告警信息。
 如果配置了其他应用功能，则数据包会根据配置进入各个应用防护流程：
 入侵防护：数据包根据已分析出来的协议特性与系统已有的入侵防护特征库进行模式匹配，匹配到相应特征后，根据规则设置进行放行、阻断和日志上报；
 病毒防护：系统调用第三方的动态库对数据包进行病毒检测；
 应用控制：数据包根据已分析出来的协议特性与系统已有的应用控制特征库进行模式匹配，匹配到相应特征后，根据规则设置进行放行、阻断和日志上报；
 Web过滤：对于符合条件的HTTP协议数据进行过滤和替换；
 邮件过滤：对于符合条件的SMTP、POP3、IMAP协议数据进行过滤。

WEB过滤模块功能针对HTTP协议为用户提供应用级的安全防护和访问限制。 WEB过滤大致分为两个方面，一方面是对HTTP请求的过滤，主要是对URL的过滤，另一方面是对HTTP响应的过滤，主要是对HTTP内容过滤。
 NGFW设备中URL过滤的基本过程是：首先在URL列表中添加模式字符串，然后在安全防护表模板中启用web过滤功能并选择URL列表类型，最后在策略中引用该安全防护表模板并启用策略。
 系统中有屏蔽和免屏蔽两个URL列表，每个列表中可以添加多个模式字符串。屏蔽列表的过滤行为是deny，即匹配上该列表中的模式字符串的流要被过滤掉，否则放行；免屏蔽列表的过滤行为是accept，即匹配上该列表中的模式字符串的流可以通过，否则被过滤。
 对于用户的URL请求，首先查找URL中是否包含列表中的模式字符串，从而执行列表的过滤规则。