1、Web过滤FortiGate Multi-Threat Security SystemCourse #30101-30002-0296-20060811FortiGuard Web过滤 使用的端口 端口 user-server: 8008re-directed:1004 http1005 httpsoverride-auth-port: 8008Update: 53 or 8888FortiGuard网址重新分类FortiGuard网址过滤扩展选项FortiGuard网址过滤扩展选项 阻断 HTTP的 4xx和 5xx错误的内容细节 显示 4xx与 5xx HTTP错误信息的替换信息。如果 H
2、TTP报错被允许通过,那么恶意网站或不良网站将借助一般的错误网页避开网页类型的屏蔽。 通过网址对图象进行分类 (被阻断的图象将用空白替换 ) 启动 FortiGuard基于图像 URL对图像进行分类的功能。被屏蔽的图像 URL将以空白网页替换。 当判断类别失败时允许访问该网站 当 web过滤服务出错时允许网页通过。 严格阻断 在 URL分类正确或启动 IP地址过滤时生效。启动该功能项,如果有任何的分类或种类与所分类的网站列表中被屏蔽的网站相匹配的网站将不允许被访问。中止该功能项,如果有任何的分类或种类与所分类允许访问的网站相匹配的网站将被允许访问 FortiGuard网址过滤扩展选项 通过域和
3、 IP地址来判断网址分类 启动该功能项,将选项将被请求的网站的 URL与 IP地址进行检查,对试图绕过 FortiGuard系统的其他安全隐患进行防护。但是,因为 IP过滤不能如同 URL过滤更新那么快,可能会导致一些误分类。 。 屏蔽经过分类重新定向的 HTTP 启动屏蔽 HTTP重新定向。许多网站使用合法的 HTTP重新定向,但是,一些情况下,重新定向可能被分配绕过 web过滤,因为初始的网页与目标网页的不同分类结果。 FortiGuard URL查询过程 例子:http:/sexy-up.no-ip.info/c/shoot/images/x68/thumbs/nautica11_l.j
4、pg 如果找不到,则逐步缩短查找 : http:/sexy-up.noip.info/c/shoot/images/x68/thumbs http:/sexy-up.no-ip.info/c/shoot/images/x68 http:/sexy-up.no-ip.info/c/shoot/images http:/sexy-up.no-ip.info/c/shoot http:/sexy-up.no-ip.info/c http:/sexy-up.no-ip.info 最后,只剩下主机名称 FortiGuard分级 缓冲中的内容过滤 使用 Google搜索 “fortinet” 将会显示 G
5、oogle 的缓存中将显示 :http:/ 如果用户想查看 Google缓存中的内容 FortiGate加密完整的 URL并发送到 FortiGuard FortiGuard 分析 URL 发现 URL中含有 把完成 URL放在内含 URL的分类中FortiGuard网址过滤 跳过 跳过者的范围 用户 用户组 IP 内容表 询问 跳过者的类型 域 () 目录 ( 分类 询问FortiGuard网址过滤 跳过 跳过者范围 用于需要访问被屏蔽网页用户 用户 只是用户 用户组 用户所属的用户组 IP 用户 IP地址的任何用户 内容表 用户组中任何配置了具体保护内容项的用户,配置此项后防火墙策略中不再需要选择认证 跳过者的类型 选择允许访问的类型 域 只对 URL中最低级别的目录文件 目录 网站的域名 分类 FortiGuard分类
