借助 URL 过滤,公司能够阻止单个网页和文件,以限制员工可通过公司网络访问的内容。
阅读本文后,您将能够:
复制文章链接
URL 过滤限制用户可以访问的 Web 内容。它通过禁止加载某些 URL 来做到这一点。公司可实施 URL 过滤,来帮助防止员工以对公司造成负面影响的方式使用公司资源(设备和网络带宽等)。URL 过滤还可以通过阻止恶意网页来帮助缓解恶意软件和网络钓鱼攻击。安全 Web 网关通常包含 URL 过滤功能。
URL(统一资源定位符)是显示在浏览器地址栏中的文本字符串。URL 精确地指示用户在 Internet 上所处的位置,在某种程度上类似于住宅地址或 GPS 位置。
URL 比域名更为具体。URL 可以指向域中托管的确切网页或文件,而不仅仅是域本身。例如,Cloudflare 网站的主要域名是 cloudflare.com,但该网站上特定页面的 URL 类似于: https://www.cloudflare.com/learning/access-management/what-is-access-control/
URL 过滤可阻止在公司网络上加载 URL,或仅允许加载某些 URL。如果用户尝试访问被阻止的 URL,他们会重定向到“已阻止”页面。
URL 过滤的过滤策略基于数据库,数据库按主题以及“已阻止”或“已允许”状态来分类 URL。公司通常不在内部开发此数据库,而是依靠提供过滤服务的供应商。但是,大多数供应商允许公司自定义阻止或允许哪些 URL。
URL 过滤可以阻止单一 URL 或 URL 类别。通过阻止单个 URL,公司可以阻止已知危险或不适当的具体网页。通过阻止 URL 类别,公司可以同时阻止一大组 URL,而不必逐一列出数百个 URL,从而更加高效地限制通过其网络访问的内容类型。
通常,URL 过滤供应商会创建类别,并且使用与同一主题相关或出于类似原因而被视为令人反感的各组 URL 来填充它们。例如,可以在一个“网络钓鱼”类别中跟踪已知用于网络钓鱼攻击的所有 URL,公司则可以使用这个类别来阻止所有这些网页。分类可以是一个自动过程:某些 URL 过滤服务可以使用机器学习来识别与特定类别相符的网站。
URL 过滤发生在互联网的应用程序层(请参见什么是 OSI 模型?)。这一层上最常用的 Web 协议是 HTTP、FTP 和 SMTP。URL 过滤器检查使用这些协议的请求,如果它们定向到被阻止的 URL,它将过滤掉该请求并将发出该请求的设备定向到一个阻止页面。
URL 过滤是 Web 过滤的一种。术语“Web 过滤”是指用于控制网络中用户可以通过互联网访问的内容的诸多技术。DNS 过滤则是用来限制 Web 内容的另一种常用技术。
DNS 过滤和 URL 过滤执行类似的功能。主要区别在于 URL 过滤阻止的是 URL,而 DNS 过滤则阻止 DNS 查询。换而言之,URL 过滤可以阻止网页,而 DNS 过滤则可阻止域。
DNS 过滤可以通过阻止域名来阻止网站及其所有网页,无论其 URL 是什么。但是,URL 过滤提供更加精细的过滤,允许公司阻止单个网页而不是整个网站。
因为 URL 过滤比 DNS 过滤更精细,因此也可能需要更多的维护和自定义。另外,它需要针对每个应用程序协议分别实施。相比之下,DNS 过滤与协议无关:一旦开启,就会应用于所有类型的 Web 流量。
如何在实践中看待这些差异?假设公司内部员工经常访问某个新闻网站,该网站上发布有关其公司行业的新闻。但是,该新闻网站还发布与职业体育相关的文章,员工阅读体育专区会浪费时间和公司资源。DNS 过滤将完全阻止这个新闻网站,使员工彻底不能访问,甚至连工作所需的新闻内容也不行。URL 过滤则能够仅阻止体育页面。
URL 过滤的另一个用例:假设有一个原本无害的网站,其数百个网页中有一个被攻击者破坏,提供了恶意软件有效负载。DNS 过滤将彻底阻止整个域;URL 过滤则能够仅阻止这一个页面。(当然,与 DNS 过滤所做的那样,彻底阻止整个域通常是最安全的。)
某些类型的网络攻击需要用户加载一个或多个网页才能得逞。一些网络攻击者的目标是诱使用户加载启动恶意软件下载的恶意网页。如果将这些恶意网页确定为危险网页,则 URL 过滤可以阻止它们,从而防止此类攻击。
其他网络攻击者试图通过网络钓鱼攻击来窃取用户帐户:诱使用户透露其登录凭证或活动会话。许多网络钓鱼攻击需要用户加载看似合法的伪造网站,然后在提示下输入其凭证,从而将这些凭证提供给攻击者。可以使用 URL 过滤将已知的网络钓鱼网站过滤掉,从而阻止此类攻击。
Cloudflare Gateway 提供了快速又高效的 DNS 过滤以及其他技术,以确保内部员工的安全。Cloudflare Gateway 是 Cloudflare Zero Trust 平台的一部分,该平台提供公司内部安全保护。
了解有关 DNS 过滤的更多信息。