什么是Web过滤

Web过滤是一种控制用户Web访问的技术，包括访问哪些网站、查看哪些内容，下载哪些文件等方方面面的Web访问控制。例如限制用户访问赌博类网站、过滤包含非法内容的网页、控制搜索引擎过滤掉不健康的搜索结果。
Web过滤一方面可以限制访问工作无关网站提升企业工作效率、规范上网行为；另一方面也是防御Web攻击的第一道防线，避免因用户访问恶意网站或下载恶意文件对网络造成威胁。Web过滤是企业或组织最常用的Web访问管控措施。

为什么Web过滤非常重要

通过浏览网页快速获取信息已经深入你我的工作和生活。但是互联网本身是不安全的，网络资源在带给我们便利的同时，也带给我们前所未有的威胁。威胁包括网络安全层面的，也包括随意使用网络对业务造成的影响：

• 企业员工在工作时间随意访问社交、视频等与工作无关的网站，严重影响工作效率并且占用网络带宽；甚至存在访问非法网站违反法律的风险。
• 学校、图书馆等公共机构，随意访问不健康网站，触犯法规。
• 企业员工无意间访问恶意网站、钓鱼网站，泄露企业或个人机密信息，甚至会带来病毒、木马等威胁攻击。
• 企业员工上网时随意发帖、上传下载文件，也存在泄露机密信息、感染病毒的风险。

Web过滤是解决以上问题的重要方法，通过限制Web访问达到规范上网行为、降低安全风险的目的（效果如下图）。您可以按网站分类禁止访问钓鱼、社交、视频类网站；按网页内容关键字禁止查看包含非法关键字的网页内容；甚至可以控制搜索引擎过滤掉不健康的搜索结果。

禁止访问未授权网站

Web过滤如何工作

Web过滤帮助管理员轻松实现全方位的Web访问管控，如下图所示在不同的上网阶段，Web过滤提供与之匹配的控制方式。

Web过滤提供全方位Web访问管控

安全搜索

用户通过搜索引擎搜索网页时，谷歌、YouTube、Bing等搜索引擎自带安全搜索功能开关，用于自动过滤包含不健康内容的搜索结果。当用户浏览器未开启安全搜索开关时，Web过滤可以强制搜索引擎执行安全搜索，此功能非常适合学校、图书馆等公共机构。

DNS过滤

用户访问某个网址的第一步是向DNS服务器发起域名解析请求，获取域名对应的IP地址。例如用户访问https://example.news.com/entertainment时，域名就是example.news.com。

此阶段通过DNS过滤功能过滤域名解析请求中的域名，从而控制用户访问整个域名。如果域名被禁止访问，域名下级的https://example.news.com/entertainment、https://example.news.com/sports等所有网址都无法访问。

DNS过滤支持2种实现方式：

• 预置分类库过滤
  设备本地或云端维护一个动态更新的数据库，数据库包括大量常见域名对应的分类。管理员只需指定社交、购物、新闻等域名分类的控制动作，就可以对同一类的域名进行统一控制。

• 黑白名单过滤
  管理员手动指定具体域名的控制动作。例如将已知的恶意域名加入黑名单，将公司自建网站域名加入白名单。

URL过滤

域名解析阶段之后是URL请求阶段，也就是访问具体的网页URL，例如https://example.news.com/entertainment。

此阶段通过URL过滤功能过滤URL请求中的URL，从而控制用户访问具体的URL。URL过滤比DNS过滤功能更细化，基于URL细粒度控制Web访问。

URL过滤的实现与DNS过滤类似，也是通过URL分类库、黑白名单两种方式实现。管理员可以按URL分类（钓鱼网站、社交网站等）、特定URL地址轻松控制URL访问。

Web内容过滤

访问URL之后进入具体网页显示阶段，用户开始查看网页内容、提交信息等。

在此阶段通过Web内容过滤功能控制用户操作包含非法关键字的内容，例如包含“赌博”字眼的内容。可以限制的场景如下：

• 禁止浏览网页内容包含非法关键字的网页
• 禁止发布包含非法关键字的微博/帖子
• 禁止在搜索框中输入非法关键字
• 禁止提交包含非法关键字内容（例如注册网络用户时提交的申请）

内容级控制，对健康上网、避免信息泄露非常有效。除了手工指定关键字，设备还会预置一些常用特征码，例如银行卡号、身份证ID、手机号码，管理员可以直接禁止此类内容，避免信息泄露。

文件过滤

用户上网经常上传下载文件，不受控的文件传输带来内部信息泄露、内部网络感染病毒等风险。例如下载可执行文件可能藏匿病毒、上传涉及内部机密的代码源文件泄露企业成果等。

通过文件过滤功能，控制用户传输的文件类型，例如禁止传输EXE文件、C语言代码文件。文件过滤可以识别真实文件类型，而不是单纯按后缀识别，让文件无处遁形。

防火墙中的Web过滤包括哪些功能

华为防火墙产品提供丰富的、细粒度的Web过滤特性，助力企业或组织的Web访问管控。

华为防火墙产品Web过滤功能

这里不再重复介绍前文提到过的基本功能。除了基本的URL过滤功能，防火墙还提供基于用户组和时间的URL过滤功能，例如学校允许老师在任何时刻访问社交网络，只允许学生在休息时间访问社交网站；随着对安全性要求的增强，加密网站越来越普遍，防火墙还提供HTTPS加密流量的Web过滤功能。

Web过滤不足以防御所有Web攻击

Web过滤主要通过阻止对已知恶意软件和钓鱼网站的访问，来减少Web攻击事件。但是Web过滤不足以防御所有Web攻击，企业或组织需要考虑完整的Web安全解决方案防御已知和未知威胁。多种安全功能协同工作才能有效防御Web攻击，常用的部署方案如下：

• 部署集成多种安全功能的下一代防火墙，启用IPS功能检测木马、恶意软件等攻击，启用反病毒功能检测文件病毒。
• 与云端协同，实时掌握最新威胁信息，防御未知威胁。华为防火墙可以与云沙箱联动检测高级APT（Advanced Persistent Threat）攻击，检测结果反向刷新防火墙本地的恶意URL或恶意文件列表，提升后续检测效率。
• 内网终端安装防病毒等安全软件。