华为(HuaWei) USG防火墙授权 投标参数 规格 特性清单 2024-11-22  

反病毒（AV）

反病毒特性用于保护内网的用户和服务器免受病毒威胁。

定义

病毒是一种恶意代码，可感染或附着在应用程序或文件中，一般通过邮件或文件共享等协议进行传播，威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽，有些病毒会控制主机权限、窃取数据，有些病毒甚至会对主机硬件造成破坏。

反病毒是一种安全机制，它可以通过识别和处理病毒文件来保证网络安全，避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生。

目的

随着网络的不断发展和应用程序的日新月异，企业用户越来越频繁地开始在网络上传输和共享文件，随之而来的病毒威胁也越来越大。企业只有拒病毒于网络之外，才能保证数据的安全，系统的稳定。因此，保证计算机和网络系统免受病毒的侵害，让系统正常运行便成为企业所面临的一个重要问题。

反病毒功能可以凭借庞大且不断更新的病毒特征库有效地保护网络安全，防止病毒文件侵害系统数据。将病毒检测设备部署在企业网的入口，可以真正将病毒抵御于网络之外，为企业网络提供了一个坚固的保护层。

应用场景

介绍反病毒特性的应用场景。

在以下场合中，通常利用反病毒特性来保证网络安全：

• 内网用户可以访问外网，且经常需要从外网下载文件。
• 内网部署的服务器经常接收外网用户上传的文件。

如图所示，FW作为网关设备隔离内、外网，内网包括用户PC和服务器。内网用户可以从外网下载文件，外网用户可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全，需要在FW上配置反病毒功能。

在FW上配置反病毒功能后，正常文件可以顺利进入内部网络，包含病毒的文件则会被检测出来，并被采取阻断或告警等手段进行干预。

原理描述

介绍反病毒特性的实现原理和处理流程。

FW利用专业的智能感知引擎和不断更新的病毒特征库实现对病毒文件的检测和处理，其工作原理如图所示。

智能感知引擎进行病毒检测

FW的病毒检测是依靠智能感知引擎来进行的。流量进入智能感知引擎后：

1. 首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类型和文件传输的方向。

2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

   FW支持对使用以下协议传输的文件进行病毒检测：

   • FTP（File Transfer Protocol）：文件传输协议
   • HTTP（Hypertext Transfer Protocol）：超文本传输协议
   • POP3（Post Office Protocol - Version 3）：邮局协议的第3个版本
   • SMTP（Simple Mail Transfer Protocol）：简单邮件传输协议
   • IMAP（Internet Message Access Protocol）：因特网信息访问协议
   • NFS（Network File System）：网络文件系统
   • SMB（Server Message Block）：文件共享服务器

   FW支持对不同传输方向上的文件进行病毒检测。

   • 上传：指客户端向服务器发送文件。
   • 下载：指服务器向客户端发送文件。

   说明

   由于协议的连接请求均由客户端发起，为了使连接可以成功建立，用户在配置安全策略时需要确保将源区域设置为客户端所在的安全区域、将目的区域设置为服务器所在的安全区域。

   举例1：trust区域的用户需要从untrust区域的FTP服务器下载文件，此时需要在安全策略配置界面中将trust区域设置为源安全区域，untrust区域设置为目的安全区域，在反病毒配置界面中选择FTP协议的检测方向为下载。

   举例2：trust区域的用户需要向dmz区域的SMTP服务器上传邮件，此时需要在安全策略配置界面中将trust区域设置为源安全区域，dmz区域设置为目的安全区域，在反病毒配置界面中选择SMTP协议的检测方向为上传。

3. 判断是否命中白名单。

   命中白名单后，FW将不对文件做病毒检测。

   说明

   白名单只能通过命令行方式配置，不能在Web界面上配置。

   白名单由白名单规则组成，管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规则，以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件，每个反病毒配置文件都拥有自己的白名单。

   针对域名和URL，白名单规则有以下4种匹配方式：

   • 前缀匹配：host-text或url-text配置为“example*”的形式，即只要域名或URL的前缀是“example”就命中白名单规则。

   • 后缀匹配：host-text或url-text配置为“*example”的形式，即只要域名或URL的后缀是“example”就命中白名单规则。

   • 关键字匹配：host-text或url-text配置为“*example*”的形式，即只要域名或URL中包含“example”就命中白名单规则。

   • 精确匹配：域名或URL必须与host-text或url-text完全一致，才能命中白名单规则。

4. 病毒检测。

   智能感知引擎对符合病毒检测的文件进行特征提取，提取后的特征与病毒特征库中的特征进行匹配。如果匹配，则认为该文件为病毒文件，并按照配置文件中的响应动作进行处理。如果不匹配，则允许该文件通过。

   病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特征进行了定义，同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库后，即可识别出特征库里已经定义过的病毒。同时，为了能够及时识别出最新的病毒，设备上的病毒特征库需要不断地从升级中心进行升级。

   说明

   病毒特征库的升级服务需要购买相关的License后才能正常使用。

反病毒处理

当FW检测出传输文件为病毒文件时，需要进行如下处理：

1. 判断该病毒文件是否命中病毒例外。如果是病毒例外，则允许该文件通过。

   为了避免由于系统误报等原因造成文件传输失败等情况的发生，当用户认为已检测到的某个病毒为误报时，可以将该对应的病毒ID添加到病毒例外，使该病毒规则失效。如果检测结果命中了病毒例外，则该文件的响应动作为放行。

2. 如果不是病毒例外，则判断该病毒文件是否命中应用例外。如果是应用例外，则按照应用例外的响应动作（放行、告警和阻断）进行处理。

   应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上，同一协议上可以承载多种应用。例如，HTTP协议上可以承载163.com的应用，也可以承载yahoo.com的应用。

   由于应用和协议之间存在着这样的关系，在配置响应动作时也有如下规定：

   • 如果只配置协议的响应动作，则协议上承载的所有应用都继承协议的响应动作。
   • 如果协议和应用都配置了响应动作，则以应用的响应动作为准。

   例如，HTTP协议上承载了“163.com”和“yahoo.com”两种应用：

   • 如果只配置了HTTP协议的响应动作为“阻断”，则“163.com”和“yahoo.com”的响应动作也都继承为“阻断”。
   • 如果用户希望对“163.com”这个应用做区分处理，则可以将“163.com”添加为“应用例外”，其响应动作为“告警”。此时，“yahoo.com”的响应动作仍然继承HTTP协议的响应动作“阻断”，而“163.com”的响应动作将使用应用例外的响应动作“告警”。

3. 如果病毒文件既没命中病毒例外，也没命中应用例外，则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。

   FW对不同协议在不同的文件传输方向上支持不同的响应动作，如下所示。

   协议	传输方向	响应动作	说明
   HTTP	上传/下载	告警/阻断，默认为阻断。	告警：允许病毒文件通过，同时生成病毒日志。 阻断：禁止病毒文件通过，同时生成病毒日志。 宣告：对于携带病毒的邮件文件，设备允许该文件通过，但会在邮件正文中添加检测到病毒的提示信息，同时生成病毒日志。 宣告动作仅对SMTP协议、POP3协议和IMAP协议生效。 删除附件：对于携带病毒的邮件文件，设备允许该文件通过，但设备会删除邮件中的附件内容并在邮件正文中添加宣告，同时生成病毒日志。 删除附件动作仅对SMTP协议、POP3协议和IMAP协议生效。
   FTP	上传/下载	告警/阻断，默认为阻断。
   NFS	上传/下载	告警
   SMB	上传/下载	告警/阻断，默认为阻断。
   SMTP	上传	告警/宣告/删除附件，默认为告警。
   POP3	下载	告警/宣告/删除附件，默认为告警。
   IMAP	上传/下载	告警/宣告/删除附件，默认为告警。

反病毒使用限制和注意事项

配置反病毒特性之前请先阅读使用限制和注意事项。

硬件依赖

所有型号均支持反病毒功能。

除了USG6110E/6307E/6311E/6311E-POE/6331E/6510E/6510E-POE/6510E-DK/6530E、USG6306E/6308E/6312E/6322E/6332E/6350E/6360E/6380E/6515E/6550E/6560E/6580E和USG6106E/6301E-C/6305E/6309E/6315E/6325E/6335E/6355E/6365E/6385E/6501E-C/6520E-K/6525E/6555E/6560E-K/6565E/6585E/6590E-K 之外，其他型号均支持反病毒的全文扫描模式。

License支持

反病毒功能受反病毒License控制。

反病毒特征库的升级需要反病毒License支持。License加载完成后，需要手动加载AV特征库，才能正常使用反病毒功能。License过期后，不能获取最新的反病毒特征库。为了保护网络安全，推荐继续购买License。

使用限制

• 反病毒License未激活时，功能可以配置，但不生效。
• 不支持针对断点续传文件的反病毒检测。
• 虚拟系统下不支持反病毒的全文扫描模式。
• 在IPv6组网中，针对IMAP、SMTP和POP3协议的反病毒功能不可用。
• 如果需要对SFTP、HTTPS、SMTPS、POP3S或IMAPS流量进行反病毒检测，请配置SSL加密流量检测功能。

注意事项

• 反病毒特征库更新频繁，为保证反病毒功能的有效性，推荐每天升级一次反病毒特征库。
• 在报文来回路径不一致的组网环境中，针对SMTP、POP3和IMAP协议的反病毒功能不可用。
• FW部署在两台路由设备中间，且两台路由设备通过BFD互相探测时，建议将路由设备上的BFD检测时间适当调大（建议大于100ms），避免网络偶发性拥塞时导致BFD震荡。

• 设备开启反病毒的全文扫描模式时，如果命中FTP流量的安全策略下引用了反病毒配置文件，FTP流量默认通过代理模式进行处理，此时无法通过入侵防御功能对FTP流量进行攻击取证。

入侵防御（IPS）

入侵防御是一种安全机制。设备通过分析网络流量来检测入侵，并通过一定的响应方式实时地中止入侵行为。

简介

介绍入侵防御特性的定义和目的。

定义

入侵防御是一种安全机制，通过分析网络流量，检测入侵（包括缓冲区溢出攻击、木马、蠕虫等），并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统和网络架构免受侵害。

优势

入侵防御是一种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后，能自动丢弃入侵报文或者阻断攻击源，从根本上避免攻击行为。入侵防御的主要优势有如下几点。

• 实时阻断攻击：设备采用直路方式部署在网络中，能够在检测到入侵时，实时对入侵活动和攻击性网络流量进行拦截，将对网络的入侵降到最低。
• 深层防护：新型的攻击都隐藏在TCP/IP协议的应用层里，入侵防御能检测报文应用层的内容，还可以对网络数据流重组进行协议分析和检测，并根据攻击类型、策略等确定应该被拦截的流量。
• 全方位防护：入侵防御可以提供针对蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI（Common Gateway Interface）攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等攻击的防护措施，全方位防御各种攻击，保护网络安全。
• 内外兼防：入侵防御不但可以防止来自于企业外部的攻击，还可以防止发自于企业内部的攻击。系统对经过的流量都可以进行检测，既可以对服务器进行防护，也可以对客户端进行防护。
• 不断升级，精准防护：入侵防御特征库会持续的更新，以保持最高水平的安全性。您可以从升级中心定期升级设备的特征库，以保持入侵防御的持续有效性。

与传统IDS（Intrusion Detection System）的不同

总体上说，IDS对那些异常的、可能是入侵行为的数据进行检测和报警，告知使用者网络中的实时状况，并提供相应的解决、处理方法，是一种侧重于风险管理的安全功能。而入侵防御对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测，并实时终止，降低或是减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全功能。

• 传统IDS很难对基于应用层的攻击进行预防和阻止。入侵防御设备能够有效防御应用层攻击。

  由于重要数据夹杂在过多的一般性数据中，IDS很容易忽视真正的攻击，误报和漏报率居高不下，日志和告警过多。入侵防御功能可以对报文层层剥离，进行协议识别和报文解析，对解析后的报文分类并进行特征匹配，保证了检测的精确性。

• IDS设备只能被动检测保护目标遭到的攻击。为阻止进一步攻击行为，它只能通过响应机制报告给FW，由FW来阻断攻击。

  入侵防御是一种主动积极的入侵防范阻止系统。检测到攻击企图时会自动将攻击包丢掉或将攻击源阻断，有效地实现了主动防御功能。

应用场景

入侵防御功能通常用于防护来自内部或外部网络对内网服务器和客户端的入侵。

如图所示，FW部署在内网的出口。当外网用户访问企业内网（包括服务器、PC及其他设备）时，FW会对该行为进行检测。如果发现该行为为入侵，则进行阻断；如果不是入侵，则允许其建立连接。

如图所示，FW部署在内网的出口。当内网用户访问的网页包含恶意代码时，阻断连接；反之则放行。

除以上两种场景之外，FW也可对内网不同区域之间的流量进行入侵检测和处理。不再赘述。

原理描述

入侵防御通过完善的检测机制对所有通过的报文进行检测分析，并实时决定允许通过或阻断。

入侵防御实现机制

入侵防御的基本实现机制如下：

1. 重组应用数据

   FW首先进行IP分片报文重组以及TCP流重组，确保了应用层数据的连续性，有效检测出逃避入侵防御检测的攻击行为。

2. 协议识别和协议解析

   FW根据报文内容识别多种常见应用层协议。

   识别出报文的协议后，FW根据具体协议分析方案进行更精细的分析，并深入提取报文特征。

   与传统FW只能根据IP地址和端口识别协议相比，大大提高了对应用层攻击行为的检测率。

3. 特征匹配

   FW将解析后的报文特征与签名进行匹配，如果命中了签名，则进行响应处理。

   签名的匹配顺序可参考入侵防御对数据流的处理。

4. 响应处理

   完成检测后，FW根据管理员配置的动作对匹配到签名的报文进行处理。

   对报文的响应处理流程请参见图。

签名

入侵防御签名用来描述网络中攻击行为的特征，FW通过将数据流和入侵防御签名进行比较来检测和防范攻击。

FW的入侵防御签名分为两类：

• 预定义签名

  预定义签名是入侵防御特征库中包含的签名。用户需要购买License才能获得入侵防御特征库，在License生效期间，用户可以从华为安全能力中心平台获取最新的特征库，然后对本地的特征库进行升级。预定义签名的内容是固定的，不能创建、修改或删除。

  每个预定义签名都有缺省的动作，分为：

  • 放行：指对命中签名的报文放行，不记录日志。

  • 告警：指对命中签名的报文放行，但记录日志。

  • 阻断：指丢弃命中签名的报文，阻断该报文所在的数据流，并记录日志。

• 自定义签名

  须知

  建议只在非常了解攻击特征的情况下才配置自定义签名。因为自定义签名设置错误可能会导致配置无效，甚至导致报文误丢弃或业务中断等问题。

  自定义签名是指管理员通过自定义规则创建的签名。新的攻击出现后，其对应的攻击签名通常都会晚一点才会出现。当用户自身对这些新的攻击比较了解时，可以自行创建自定义签名以便实时地防御这些攻击。另外，当用户出于特殊的目的时，也可以创建一些对应的自定义签名。自定义签名创建后，系统会自动对自定义规则的合法性和正则表达式进行检查，避免低效签名浪费系统资源。

  自定义签名的动作分为阻断和告警，您可以在创建自定义签名时配置签名的响应动作。

签名过滤器

由于设备升级特征库后会存在大量签名，而这些签名是没有进行分类的，且有些签名所包含的特征本网络中不存在，需过滤出去，故设置了签名过滤器进行管理。管理员分析本网络中常出现的威胁的特征，并将含有这些特征的签名通过签名过滤器提取出来，防御本网络中可能存在的威胁。

签名过滤器是满足指定过滤条件的集合。签名过滤器的过滤条件包括：签名的类别、对象、协议、严重性、操作系统等。只有同时满足所有过滤条件的签名才能加入签名过滤器中。一个过滤条件中如果配置多个值，多个值之间是“或”的关系，只要匹配任意一个值，就认为匹配了这个条件。

签名过滤器的动作分为阻断、告警和采用签名的缺省动作。签名过滤器的动作优先级高于签名缺省动作，当签名过滤器的动作不采用签名缺省动作时，以签名过滤器设置的动作为准。

各签名过滤器之间存在优先关系（按照配置顺序，先配置的优先）。如果一个安全配置文件中的两个签名过滤器包含同一个签名，当报文命中此签名后，设备将根据优先级高的签名过滤器的动作对报文进行处理。

例外签名

由于签名过滤器会批量过滤出签名，且通常为了方便管理设置为统一的动作。如果管理员需要将某些签名设置为与签名过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作。

例外签名的动作分为阻断、告警、放行和添加黑名单。其中，添加黑名单是指丢弃命中签名的报文，阻断报文所在的数据流，记录日志，并将报文的源地址或目的地址添加至黑名单。

例外签名的动作优先级高于签名过滤器。如果一个签名同时命中例外签名和签名过滤器，则以例外签名的动作为准。

例如，签名过滤器中过滤出一批符合条件的签名，且动作统一设置为阻断。但是员工经常使用的某款自研软件却被拦截了。观察日志发现，用户经常使用的该款自研软件命中了签名过滤器中某个签名，被误阻断了。此时管理员可将此签名引入到例外签名中，并修改动作为放行。

入侵防御对数据流的处理

入侵防御配置文件包含多个签名过滤器和多个例外签名。

签名、签名过滤器、例外签名的关系如图所示。假设设备中配置了3个预定义签名，分别为a01、a02、a03，且存在1个自定义签名a04。配置文件中创建了2个签名过滤器，签名过滤器1可以过滤出协议为HTTP、其他项为条件A的签名a01和a02，动作为使用签名缺省动作。签名过滤器2可以过滤出协议为HTTP和UDP、其他项为条件B的签名a03和a04，动作为阻断。另外，2个配置文件中分别引入1个例外签名。例外签名1中，将签名a02的动作设置为告警；例外签名2中，将签名a04的动作设置为告警。

签名的实际动作由签名缺省动作、签名过滤器和例外签名的动作共同决定的，参见图中的“签名实际动作”。

当数据流命中的安全策略中包含入侵防御配置文件时，设备将数据流送到入侵防御模块，并依次匹配入侵防御配置文件引用的签名。入侵防御对数据流的通用处理流程请参见图。

说明

当数据流命中多个签名，对该数据流的处理方式如下：

• 如果这些签名的实际动作都为告警时，最终动作为告警。
• 如果这些签名中至少有一个签名的实际动作为阻断时，最终动作为阻断。

当数据流命中了多个签名过滤器时，设备会按照优先级最高的签名过滤器的动作来处理。

检测方向

当配置引用了入侵防御配置文件的安全策略时，安全策略的方向是会话发起的方向，而非攻击流量的方向。

如图所示，Internet用户访问企业内网时，内网PC或服务器受到了来自网络的威胁。Internet用户访问企业内网的流量方向为Untrust->Trust。应用策略的方向是从Internet用户到企业内网的方向（即源为Untrust，目的为Trust）。在该场景中，会话发起的方向与攻击流量的方向是同一个方向。

如图所示，PC访问Internet的服务器时，PC受到了来自网络的威胁。从PC访问服务器的正常流量，方向定义为Trust->Untrust。而攻击流量来源于Internet，方向定义为Untrust->Trust。应用策略的方向是PC访问Internet的方向（即源为Trust，目的为Untrust），而不是攻击流量的方向。在该场景中，会话发起的方向与攻击流量的方向不是同一个方向。

入侵防御使用限制和注意事项

配置入侵防御特性之前请先阅读使用限制和注意事项。

硬件依赖

所有型号均支持入侵防御功能。

License支持

入侵防御功能受入侵防御License控制。具体License控制范围请参见License控制项。

入侵防御特征库升级需要入侵防御License支持。License加载完成后，需要手动加载入侵防御特征库。

使用限制

• 入侵防御License未激活时，功能可以配置，但不生效。
• IPS第三代引擎不支持对ICMP协议类型的报文进行检测。
• License过期或者去激活后，用户可以继续使用设备已有的入侵防御特征库和自定义签名，但是不能对入侵防御特征库进行升级。
• 入侵防御特性支持IPv4和IPv6。

注意事项

• 入侵防御特征库升级之后，如果原有预定义签名在新的特征库中已经不存在，则该签名涉及的所有配置信息将不会生效。
• 在双机热备组网环境中，推荐在主备备份方式下开启入侵防御功能。在逐流负载分担组网环境下，支持入侵防御功能，但检测率会有所下降。
• 在报文来回路径不一致的组网环境中，可能无法有效检测到网络入侵。
• 如果需要对SFTP、HTTPS、SMTPS、POP3S或IMAPS流量进行入侵防御检测，请配置SSL加密流量检测功能
• 在报文来回路径不一致的组网环境中，需要在FW上配置如下命令：
  • 配置命令undo firewall session link-state check，关闭会话表的链路状态检测功能。
  • 配置命令undo fragment-reassemble enable，关闭报文分片重组功能。
  • 配置命令stream-reassemble session-cache 0，设置TCP流重组时单条会话的最大缓存为0。
• FW部署在两台路由设备中间，且两台路由设备通过BFD互相探测时，建议将路由设备上的BFD检测时间适当调大（建议大于100ms），避免网络偶发性拥塞时导致BFD震荡。
• 自定义签名和预定义签名没有优先级，当流量同时命中自定义签名和预定义签名时，最终动作以最为严格的签名为准。例如，自定义签名动作为告警，预定义签名动作为阻断，当流量同时命中该自定义签名和预定义签名时，最终动作为阻断。
• 设备在进行IPS检测时会逐包将报文上送到IAE引擎进行检测，如果特征字段和IPS全局取证字段不在同一个报文中（例如报文分片或报文分段的场景下），且携带特征字段的报文在携带待取证字段的报文到达IAE引擎前已经命中签名并触发设备发送了威胁日志，则该威胁日志的扩展信息中将无法携带取证信息。
• 对于命中暴力破解等关联签名的流量，设备会直接通过黑名单功能进行阻断，不会发送干扰报文（Reset报文）；而对于命中跨站攻击、挖矿攻击等其他非关联签名的流量，设备会发送Reset报文对会话进行干扰阻断。

介绍APT攻击和APT防御的基本概念

什么是APT攻击？

• 持续性

  攻击者通常会花费大量的时间来跟踪、收集目标系统中的网络运行环境，并主动探寻被攻击者的受信系统和应用程序的漏洞。即使一段时间内，攻击者无法突破目标系统的防御体系。但随着时间的推移，目标系统不断有新的漏洞被发现，防御体系也会存在一定的空窗期（例如设备升级、应用更新等），而这些不利因素往往会导致被攻击者的防御体系失守。

• 终端性

  攻击者并不是直接攻击目标系统，而是先攻破与目标系统有关系的人员的终端设备（如智能手机、PAD、USB等等），并窃取终端使用者的账号、密码信息。然后以该终端设备为跳板，再攻击目标系统。

• 针对性

  攻击者会针对收集到的目标系统中常用软件、常用防御策略与产品、内部网络部署等信息，搭建专门的环境，用于寻找有针对性的安全漏洞，测试特定的攻击方法能否绕过检测。

• 未知性

  传统的安全产品只能基于已知的病毒和漏洞进行攻击防范。但在APT攻击中，攻击者会利用0DAY漏洞进行攻击，从而顺利通过被攻击者的防御体系。

• 隐蔽性

  攻击者访问到重要资产后，会通过控制的客户端，使用合法加密的数据通道，将信息窃取出来，以绕过被攻击者的审计系统和异常检测系统的防护。

从以上的攻击特征可以看出，APT攻击相对于传统的攻击模式，手段更先进、攻击更隐蔽、破坏更严重，因此已经成为威胁当今网络安全的一大隐患。

FW怎样与沙箱进行联动？

针对APT攻击的防御过程如下：

1. 外网的攻击者向企业内网发起APT攻击，命中APT防御配置文件的攻击流量将被还原成文件。
2. FW将还原后的文件送往沙箱进行威胁分析。
3. FW定期去沙箱上获取文件的检测结果。

   如果沙箱检测到某流量为恶意流量，则FW根据检测结果刷新设备缓存中的恶意文件和恶意URL列表，当具有相同特征的后续流量命中恶意文件或恶意URL列表时，可以直接进行阻断或告警等处理，防止该流量进入企业内网，保护企业内网免遭攻击。

沙箱技术与反病毒的差异

• 反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别文件是否为病毒文件。这种防御方式具有一定的局限性，即只能对已知病毒进行防御，而无法识别未知攻击。

• 沙箱技术则有别于反病毒系统。沙箱可以看做是一个模拟真实网络建造的虚拟检测系统，未知文件放入沙箱以后将会被运行，沙箱中的收集程序会记录该文件被运行以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为特征库进行匹配，最后给出该程序是否为恶意程序的定性结论。沙箱的行为特征库是通过分析大量的病毒、漏洞、威胁特征，提炼出各种恶意行为的规律和模式，并形成一套判断规则，因此能提供准确的检测结果。

总体来看，反病毒系统是以被检测对象的特征来识别攻击对象，沙箱技术是以被检测对象的行为来识别攻击对象。

应用场景

介绍APT防御的典型应用场景。

通过FW与本地沙箱联动实现APT防御

FW作为企业内网的安全网关，FW从企业内网发往外网的流量中识别并提取出需要送往部署在内网的本地沙箱进行检测。FW定时读取本地沙箱的检测结果，并根据检测结果刷新设备缓存中的恶意文件和恶意URL列表，后续具有相同特征的流量命中恶意文件或恶意URL列表时可以直接进行阻断或告警等处理。

FireHunter作为本地沙箱，不需要将文件传至外网就能完成对文件的检测，满足了用户对文件的安全性和私密性的要求。另外，FireHunter设备只为企业自身提供服务，可以具备很好的性能。但是，本地沙箱检测能力更新较慢，对威胁的识别能力有限。而且，使用本地沙箱服务必须购买FireHunter设备，费用较高，对中小型企业并不适合。

通过FW与云沙箱联动实现APT防御

为了跟随云时代的步伐，云沙箱应运而生。云沙箱实时更新威胁信息，具有更好的安全检测能力，对企业内网提供更好的防护。另外，使用云沙箱服务只需购买云沙箱的License即可，无需购买物理沙箱设备，降低了投资成本。

如图所示，FW作为企业内网的安全网关，FW从外网进入企业内网的流量中识别并提取出需要送往部署在云端的沙箱进行检测。FW定时读取云沙箱的检测结果，并根据检测结果刷新设备缓存中的恶意文件和恶意URL列表，后续具有相同特征的流量命中恶意文件或恶意URL列表时可以直接进行阻断或告警等处理。

本地沙箱和云沙箱二者最大的区别在于部署位置的不同，用户可以单独部署某种沙箱，也可以同时部署两种沙箱。同时部署两种沙箱时，两者之间是相互独立的，即：攻击者向企业内网发起APT攻击，FW从网络流量中识别并提取出需要送往沙箱进行检测的文件。FW根据配置将文件送往对应的沙箱进行检测，本地沙箱或云沙箱。FW向两种沙箱读取文件的检测结果。

原理描述

介绍通过FW与沙箱进行联动完成APT防御的实现原理和处理流程。

FW通过专业的智能感知引擎和APT防御功能与沙箱联动实现对网络流量的检测，并根据检测结果刷新设备缓存中的恶意文件和恶意URL列表，当具有相同特征的后续流量命中恶意文件或恶意URL列表时，可以直接进行阻断或告警等处理。APT防御的处理流程如图1所示。

1. 是否命中APT防御配置文件

   网络流量进入FW并通过安全策略检测之后，进入智能感知引擎进行检测。智能感知引擎可以分析出网络流量所使用的应用协议等信息，并根据实际配置对流量进行APT防御检测。

   如果命中了APT防御配置文件，则进行下一步检测；如果未命中APT防御配置文件，则流量直接被转发。

2. 是否匹配恶意URL

   如果在APT防御配置文件中开启了恶意URL检测功能之后，设备会将传输待检测文件的URL与设备缓存中的恶意URL进行匹配，如果匹配，则直接将该URL进行阻断，无需再进行下一步检测。设备缓存中的恶意URL的来源是沙箱检测出来的。

3. 查询Web信誉

   Web信誉用于描述网站的可信度，FW从用户访问的目标网站的URL地址中提取出host字段信息，然后在不同的Web信誉网站分类中进行字符串匹配查找。根据信誉度的高低，决定是否提取网络流量中的文件并送往沙箱进行检测。具体查询步骤如下：

   

4. 是否匹配文件信誉

   如果在APT防御配置文件中开启了文件信誉检测功能之后，设备会将待检测文件与设备缓存中的恶意文件进行匹配，如果匹配，首先判断该恶意文件是否匹配文件信誉例外，如果匹配文件信誉例外，则将该文件进行放行；如果没有匹配文件信誉例外，则将该文件按照配置的响应动作进行处理，无需将文件进行还原。否则将文件进行还原。设备缓存中的恶意文件来源包括：

   • 沙箱检测出来的。

   • 文件信誉库，包括文件信誉特征库和文件信誉热点库。

   • Web导入的MD5列表。

   • 从CIS上获取本地信誉中包含的恶意文件。

   • 从远程信誉服务器上获取的。

5. 远程查询文件信誉

   在文件还原之后，提交到沙箱之前，设备还会对待检测文件进行文件信誉的远程查询，判断该文件是否为恶意文件。如果判定为恶意文件，则更新设备缓存中的恶意文件列表，无需再送往沙箱进行检测，当后续含有相同特征的流量到达FW后，由于命中了恶意文件，可以根据响应动作处理该流量。

6. 文件提交至沙箱并进行检测

   沙箱分为本地沙箱和云沙箱：本地沙箱可以满足用户不需要将文件传至外网，就能完成对文件的检测，保证了文件的安全性；云沙箱具有更全面的检测技术、更及时的威胁信息更新，对企业内网提供更好的防护。

   管理员根据实际需求和组网情况在APT防御配置文件中选择文件协议和文件类型，以及对应沙箱类型。还原后的文件被送往APT防御配置文件中所配置的沙箱。一条流量中所包含的所有文件只能送往一种沙箱进行检测。沙箱获取文件后运行此文件，并将文件的行为特征与沙箱的行为特征库进行比对，判定文件是否为恶意文件或传输该文件的URL是否为恶意URL。

   说明

   本地沙箱和云沙箱的处理流程在文件提交至沙箱之前是一致的，在提交文件时会根据配置送往对应的沙箱。

   FW通过与sec.huawei.com连接进行区域调度来获取云沙箱服务器的IP地址和端口号，目前云沙箱的端口号固定为12443，FW根据该云沙箱服务器的IP地址和端口号与云沙箱进行联动。区域调度的方式分为两种：

   • 如果配置了设备所在的国家，sec.huawei.com将根据配置的国家自动调度云沙箱的部署区域，并把云沙箱服务器的IP地址和端口号反馈给FW。

   • 如果没有配置设备所在的国家，sec.huawei.com将返回可调度的云沙箱部署区域列表给FW，用户需要从该列表中指定部署区域来获取云沙箱服务器的IP地址和端口号。

7. 根据沙箱检测结果处理后续流量

   FW定时向沙箱读取文件的检测结果。开启恶意URL检测功能和文件信誉检测功能后，IAE会根据沙箱的检测结果更新设备缓存中的恶意文件和恶意URL列表。当后续含有相同特征的流量到达FW后，由于命中了恶意文件或恶意URL列表，可以根据配置的响应动作处理该流量。如果命中了恶意URL，直接阻断该流量；如果命中恶意文件，将按照配置的响应动作处理该流量。

   如果用户只想根据检测结果确定当前流量中是否存在威胁，而不对流量进行处理，则恶意URL检测功能和文件信誉检测功能是否开启不作要求。

APT防御使用限制和注意事项

配置APT防御之前请先阅读使用限制和注意事项。

硬件依赖

USG6110E/6307E/6311E/6311E-POE/6510E/6510E-POE/6510E-DK不支持APT防御功能。

License支持

FW与云沙箱联动的功能受云沙箱检测License控制。

FW与本地沙箱联动的功能不受License控制。

组件包依赖

使用FW与云沙箱联动功能需要先加载云沙箱组件包。

关于组网的使用限制

• 在双机热备场景中，主备机必须设置相同的沙箱，否则会导致主备机对文件的检测能力不一致。
• 在双机热备组网环境下，恶意文件和恶意URL信息不会从主用设备备份到备用设备。恶意文件和恶意URL信息存储在IAE上，由于IAE不支持双机热备，所以恶意文件和恶意URL信息不能从主用设备备份到备用设备。备机需要重新扫描来获取恶意文件和恶意URL信息。
• 在报文来回路径不一致的组网中，FW只能接收到单方向流量，导致部分攻击信息收集不到，可能无法进行有效APT防御。

云沙箱的使用限制

• FW仅支持通过HTTPS方式连接到云沙箱，不支持通过代理服务器访问云沙箱。
• 云沙箱暂不支持对图片文件、网页文件、媒体文件和其余文件（其余文件包括CMD、VBE、RB、PY、POWERSHELL、JSE、WSF、LNK、TXT、PSD类型的文件）进行检测。

其他使用限制

• APT防御依赖文件还原、文件信誉、应用识别等业务，配置APT防御的同时请务必确保文件还原功能正常且处于开启状态、文件信誉库状态正常且已更新到最新版本、应用识别相关业务配置正确。同时，请务必确保上述业务的Bypass功能开关处于关闭状态。
• 配置APT防御的同时，请务必确保设备已开启了状态检测功能。如果状态检测功能关闭，可能会出现文件相关的业务会话老化后无法重建的情况，导致文件检测功能失效、文件无法被还原，进而导致文件无法上送沙箱进行检测。
• 沙箱联动功能只能在根系统下配置。当防火墙上存在多个虚拟系统时，您可以在虚拟系统下分别配置APT配置文件，所有符合条件的文件被送往根系统下配置的沙箱检测。
• FW部署在两台路由设备中间，且两台路由设备通过BFD互相探测时，建议将路由设备上的BFD检测时间适当调大（建议大于100ms），避免网络偶发性拥塞时导致BFD震荡。
• APT防御特性不支持IPv6。

URL过滤

URL（Uniform Resource Locator）过滤可以对用户访问的URL进行控制，允许或禁止用户访问某些网页资源，达到规范上网行为的目的。

URL过滤简介

介绍URL过滤特性的概述以及URL过滤与DNS过滤的关系。

概述

随着互联网应用的迅速发展，计算机网络在经济和生活的各个领域迅速普及，使得信息的获取、共享和传播更加方便，但同时也给企业带来了前所未有的威胁：

• 员工在工作时间随意地访问与工作无关的网站，严重影响了工作效率。
• 员工随意访问非法或恶意的网站，造成公司机密信息泄露，甚至会带来病毒、木马和蠕虫等威胁攻击。
• 在内部网络拥堵时段，无法保证员工正常访问与工作相关的网站（如公司主页、搜索引擎等），影响工作效率。

URL过滤功能可以解决上述问题，URL过滤功能可以对用户访问的URL进行控制，允许或禁止用户访问某些网页资源，达到规范上网行为的目的。URL过滤还可以通过引用时间段或用户/组等配置项，实现针对不同时间段或不同用户/组的URL访问控制，达到更加精细化和准确化控制员工上网权限的需求。

如图所示，FW作为企业网关部署在网络边界，当企业用户发起HTTP或HTTPS的URL请求时，通过URL过滤功能可以实现对用户的请求进行放行、告警或者阻断。

使用URL过滤后：

• 当用户访问合法的网站时，放行此请求。
• 当用户访问非法的网站时，阻断此请求。

URL过滤与DNS过滤的关系

URL分类

介绍URL分类的应用场景、预定义分类与自定义分类、预定义URL分类查询以及基于URL分类重标记报文优先级。

应用场景

• 根据URL分类控制用户禁止访问哪些类别的URL、允许访问哪些类别的URL，实现基于分类的URL过滤。例如，企业规定员工在上班时间只允许访问网易、新浪、搜狐等门户网站，不允许员工访问优酷、土豆、爱奇艺等流媒体网站，这时就可以使用URL分类来实现，将门户网站的URL分类的动作设置为允许；将流媒体网站的URL分类的动作设置为禁止。
• URL分类还可以作为策略的匹配条件，如果希望特定的策略规则仅适用于特定类别的网站，可以在创建策略规则时将URL分类作为匹配条件。例如，加密流量检测策略可以使用URL分类作为匹配条件来对指定分类的HTTPS网站进行解密。

预定义分类与自定义分类

• 预定义URL分类

  系统内置的，系统预先对大量常见的URL进行了分类。预定义URL分类不能创建、删除和重命名。

• 自定义URL分类

  手工配置的，自定义URL分类的配置分为两种：
  • 创建一个自定义URL分类，并添加URL到该自定义URL分类中。
  • 向预定义URL分类中添加URL，该URL属于自定义URL分类。

  自定义URL分类优先级高于预定义URL分类。

预定义URL分类查询

预定义URL分类的查询分为两种方式：预定义URL分类缓存和远程查询服务器。

设备初次上电时，自动将URL分类预置库加载到预定义URL分类缓存里。当用户请求访问URL时，设备提取URL信息后，首先会在缓存中查询该URL所属的分类。如果查询到该URL所属的分类，则按照该URL分类配置的响应动作进行处理。如果查询不到，则到远程查询服务器上继续查询，如果查询到该URL所属的分类，则按照该URL分类配置的响应动作进行处理，并将查询到的URL和其所属的分类信息保存到预定义URL分类缓存中，以便下次快速查询。

• URL分类预置库

  URL分类预置库是URL分类的一个子集，规模很小。正常情况下，URL分类预置库是出厂预置的，无需用户手动加载，如果设备出现异常，也可以手动加载URL分类预置库。如果本地没有URL分类预置库，请登录安全中心平台（isecurity.huawei.com）进行下载。在网站首页选择“特征库升级 > 特征库升级”，然后选择对应的产品型号和版本号等信息，在“URL预置库”页签中下载URL分类预置库。

• 预定义URL分类缓存

  预定义URL分类缓存中包含URL分类和URL信誉，其中，URL分类来自于URL分类预置库，URL信誉来自于URL信誉热点库。关于URL信誉和URL信誉热点库的介绍请参见URL信誉和恶意URL。下面仅介绍预定义URL分类缓存中包含的URL分类。

  设备初次上电时，会自动将URL分类预置库加载到预定义URL分类缓存里。为了保证缓存中预定义URL分类的有效性，预定义URL分类缓存的内容会通过远程查询不断更新，如果缓存已满，新的URL将会取代最少访问的URL，预定义URL分类缓存的内容定期以文件的形式保存到存储介质中，当设备重启后，系统会自动加载最新保存的缓存信息，减少自学习的工作量，提高检测效率。

  说明

  如果请求的URL与预定义URL分类缓存中的过期URL分类匹配时，第一次先按照原来预定义URL分类缓存中的过期URL分类的动作进行处理，同时过期的URL分类会通过远程查询进行更新，下次将按照远程查询服务器更新后的URL分类动作进行处理。

• 远程查询服务器

  如果预定义URL分类缓存中查询不到URL分类，则到远程查询服务器上继续查询。远程查询服务器提供更庞大的URL分类信息，可以部署在广域网或本地网络中。

基于URL分类重标记报文优先级

DSCP（Differentiated Services Code Point）字段是网络设备进行流量分类的依据。重标记报文优先级是指修改报文中DSCP字段的值。

当URL分类的动作为允许时，可以选择针对该URL分类配置重标记报文优先级，从而便于其他网络设备根据修改后的DSCP字段值区分流量，对不同分类的URL流量采取差异化处理。

黑白名单

介绍黑白名单的概念以及与URL分类的关系。

概念

• 如果匹配白名单则允许该URL请求。例如，企业只允许员工访问与工作相关的一些网站，其他网站不允许访问。通过将与工作相关的一些网站加入白名单，可以达到该企业的要求。
• 如果匹配黑名单则阻断该URL请求。例如，企业为了提高员工上班时间的工作效率，优化公司的网络带宽，需要对员工的上网行为进行控制，不允许访问一些娱乐、游戏、视频等网站。通过将娱乐、游戏、视频等网站加入黑名单，可以达到该企业的要求。

黑白名单与URL分类的关系

• 允许员工访问企业内部网站www.example1.com和www.example2.com。
• 不允许员工访问外部论坛网站www.example3.com和www.example4.com。

管理员可以利用预定义URL分类阻断对成人网站和非法网站的访问请求。对于少量需要单独控制的网站，管理员可以将www.example1.com和www.example2.com添加到白名单中，将www.example3.com和www.example4.com添加到黑名单中。

• 黑白名单的匹配优先级最高，高于自定义URL分类和预定义URL分类，因此可以确保达到企业期望的管控效果，降低可能出错的概率。
• 一般来说，如果FW上的URL过滤网站较少，那么既可以使用黑白名单，也可以使用自定义URL分类。如果FW上的URL过滤的网站较多，且需要单独控制的网站列表比较固定，建议使用自定义URL分类。因为自定义URL分类只需配置一次，各URL过滤配置文件会自动引用该自定义URL分类，管理员只需配置不同的响应动作即可；而黑白名单不具备共用性，需要管理员手工配置，所以会浪费一定的人力。

内嵌白名单功能

一般大的网页都会内嵌其他的网页链接，如果只将主网页加入白名单，则该主网页下的内嵌网页部分将无法正常访问。例如：当访问www.example.com主网页时，如果只配置白名单规则为www.example.com，则该网页下不是以www.example.com为域名的链接均不能正常访问，通常需要将主网页下内嵌的网页都加入白名单才能解决该问题，但是该办法配置复杂，因此新增了内嵌白名单功能。该功能将用户HTTP请求中的referer字段（标识用户从哪个网页跳转过来）去匹配内嵌白名单，如果匹配，用户就可以访问该网页。因此只要配置一个网页的内嵌白名单，用户就可以访问该网页下的内嵌网页，简化了配置。

• 使用用户手工配置的referer-host与HTTP请求中的referer字段进行匹配，如果匹配则允许该URL请求。如果HTTP请求中的referer字段没有匹配配置的referer-host，用户还可以选择是否将referer字段去匹配所有配置的白名单规则。开启referer字段匹配白名单功能后，如果referer字段匹配白名单规则，则允许该URL请求。

• 开启referer字段匹配白名单功能后，直接使用配置的白名单与HTTP请求中的referer字段进行匹配，如果匹配命中，则允许该URL请求。

仅支持白名单模式功能

• 如果HTTP请求匹配白名单，则放行；
• 如果HTTP请求没有匹配白名单，则阻断。

URL信誉和恶意URL

介绍URL信誉和恶意URL的概念以及来源。

除了URL分类和黑白名单之外，FW还可以对可能造成威胁的URL直接进行阻断，包括低信誉的和恶意的URL。

URL信誉

• URL信誉热点库

  URL信誉热点库是由sec.huawei.com发布的，用来快速获取云端最新的URL信誉，以便对不可信的URL进行及时阻断。URL信誉热点库只有在加载URL远程查询License和URL远程查询组件包后，相应的配置才会生效。开启URL信誉热点库升级功能后，设备会通过快速升级通道定时获取到最新的URL信誉热点库，并将其加载到预定义URL分类缓存中。首先到预定义URL分类缓存中查询URL信誉，如果查询到该URL，则按照该URL信誉值，进行下一步控制动作的处理。

• 远程查询服务器

  如果FW未启用URL信誉热点库升级功能，在预定义URL分类缓存查询不到URL信誉值时，可通过URL远程查询功能来获取最新的URL信誉值，并将查询到的URL信誉保存到预定义URL分类缓存中，以便下次快速查询。

恶意URL

• 反病毒功能反馈的恶意URL。

• 在FW与沙箱联动场景下，沙箱反馈的恶意URL。

• 从CIS上获取本地信誉，本地信誉中包含的恶意URL。本地信誉支持定时升级，定时更新恶意URL。

IAE会将上述来源的恶意URL保存到设备上的恶意URL缓存中。当含有同样恶意特征的流量到达FW时，当用户请求访问URL时，如果解析出的URL地址匹配恶意URL，FW将阻断该URL请求。恶意URL存在超时时间，达到此时间后恶意URL会被自动删除。

从实现效果上看，恶意URL和黑名单类似，二者的区别如下：

• 黑名单需要手动配置，恶意URL不需要手动配置。

• 黑名单不存在超时时间，配置后一直生效。恶意URL存在超时时间，达到此时间后恶意URL会被自动删除。

• 黑名单配置信息存储在配置文件中，恶意URL信息存储在缓存中。当FW重启时，恶意URL缓存将被清空。

URL过滤处理流程

介绍FW进行URL过滤的处理流程。

在FW启用URL过滤功能的情况下，当用户通过FW使用HTTP或HTTPS访问某个网络资源时，FW将进行URL过滤。处理流程如图所示：

1. 用户发起URL访问请求，如果数据流匹配了安全策略，且安全策略的动作为允许，则进行URL过滤处理流程。

2. FW检测HTTP报文是否异常。

   • 如果HTTP报文异常，则阻断该请求。
   • 如果HTTP报文正常，则进行下一步检测。

3. FW将URL信息与白名单进行匹配。

   • 如果匹配白名单，则允许该请求通过。
   • 如果未匹配白名单，则进行下一步检测。

4. FW将URL信息与黑名单进行匹配。

   • 如果匹配黑名单，则阻断该请求。
   • 如果未匹配黑名单，则进行下一步检测。

5. FW将HTTP请求中的referer字段与白名单进行匹配。

   • 如果HTTP请求中的referer字段与配置的referer-host匹配，则允许该请求通过。
   • 如果HTTP请求中的referer字段与配置的referer-host不匹配，用户可以决定是否使用referer字段去匹配所有配置的白名单规则。
     • 当referer字段匹配白名单功能开启时，会使用referer字段与配置的所有白名单规则继续匹配。
       • 如果匹配，则允许该请求通过。
       • 如果未匹配，则进行下一步检测。
     • 当referer字段匹配白名单功能关闭时，不会使用referer字段与配置的所有白名单匹配，而是进行下一步检测。

   referer字段匹配白名单功能默认开启，用户也可以选择关闭该功能。

   说明

   开启只支持白名单模式的URL过滤功能后，如果数据流命中白名单，则放行；如果数据流没有命中白名单，则阻断。

6. FW将URL信息与自定义分类进行匹配。

   • 如果匹配自定义分类，则按照自定义URL分类的控制动作处理请求。

     说明

     管理员自行向预定义分类中添加的URL属于自定义分类的URL。

   • 如果未匹配自定义分类，则进行下一步检测。

7. FW将URL信息与恶意URL、低信誉URL进行匹配。

   • 如果匹配恶意URL或低信誉URL，则阻断该请求。
   • 如果未匹配恶意URL或低信誉URL，则进行下一步检测。

8. FW将URL信息与本地缓存中的预定义分类进行匹配。

   • 如果在本地缓存中查询到对应的分类，则按照该分类的控制动作处理请求。

   • 如果在本地缓存中没有查询到对应的分类，则进行远程查询。

     • 如果远程查询服务器可用，则继续进行远程查询。

     • 如果远程查询服务器不可用，则按照缺省动作处理请求。

9. 启动远程查询。

   1. 如果远程查询服务器在设定的超时时间内没有返回结果，则按照管理员配置的“超时后动作”处理。

   2. 如果远程查询服务器上明确查询到该URL属于某个预定义分类，则按照该分类的控制动作处理。

      说明

      如果该URL不属于任何一个确定的分类，则按照“其他”类的控制动作处理该请求。

说明

URL远程查询过程

介绍FW进行URL远程查询的过程。

当FW支持URL远程查询功能时，可以通过远程查询扩充本地的预定义URL分类库，便于下一次的快速查询。

一般来说，URL远程查询由安全服务中心、调度服务器和查询服务器共同完成。各设备的作用如下：

• 安全服务中心：调度中心的域名为sec.huawei.com，作用是对FW进行设备认证。如果认证通过，安全服务中心将根据FW所在的国家/地区信息，向FW提供该区域内的调度服务器地址和端口。

  和安全服务中心进行交互时，FW上需要配置安全策略放行相关流量，协议为TCP，目的端口为80。

• 调度服务器：调度服务器的作用是向FW提供区域内的查询服务器地址和端口。由于调度服务器是分区域部署的，所以FW上必须配置正确的国家/地区信息，否则无法成功获取到调度服务器的地址和端口。

  和调度服务器进行交互时，FW上需要配置安全策略放行相关流量，协议为TCP，目的端口为12612。

• 查询服务器：查询服务器的作用是处理查询请求，并将查询结果返回给FW。查询服务器也是分区域部署的，且和调度服务器存在配套关系，即调度服务器只能向FW提供同一区域内的查询服务器地址和端口。

  和查询服务器进行交互时，FW上需要配置安全策略放行相关流量，协议为UDP，目的端口为12600。

由以上内容可知，FW需要和Internet连接，才能与安全服务中心通信。而部分用户的FW不能与Internet连接，如果这部分用户需要获取URL远程查询功能，可以购买华为公司的产品SecoCenter，并部署在本地网络中。SecoCenter同时集成了调度服务器和查询服务器，相关介绍请参考对应的产品手册。

按照服务器部署位置来划分，FW相应支持两种远程查询方式，分别为远程模式和本地模式。

• 远程模式下，FW与安全服务中心进行通信。调度服务器根据FW上配置的国家/地区信息，转发查询请求给该国家/地区内的查询服务器处理。

• 本地模式下，FW与SecoCenter进行通信，不会连接安全服务中心。

远程模式下的大致交互过程如图所示。如果是本地模式，将省略图中和安全服务中心的交互过程。

1. FW向安全服务中心发起认证请求，并请求调度服务器的地址。

2. 认证通过后，安全服务中心根据FW的国家/地区信息，向FW提供该区域内的调度服务器地址和端口。

3. FW向调度服务器请求查询服务器的地址和端口。

4. 调度服务器确认FW的设备信息无误后，向FW提供查询服务器的地址和端口。一般来说，FW将收到多个查询服务器的地址和端口。

5. FW向所有查询服务器发起测速消息，并根据响应速度从中选出最优服务器，然后向该服务器请求URL分类信息。

6. 查询服务器反馈URL分类信息，FW将根据此分类信息继续进行URL过滤。

使用限制和注意事项

配置URL过滤前请先阅读使用限制和注意事项。

URL分类的使用限制

• 仅USG6101/6106/6110/6120/6150/6160/6180不支持URL远程查询功能和预定义URL分类。

• 自定义URL分类优先级高于预定义URL分类。

• 在未购买License情况下，用户可使用URL过滤提供的黑白名单功能，自定义URL分类功能和基于URL分类预置库的预定义URL分类功能。

• URL远程查询功能需要URL远程查询License授权，并通过动态加载功能加载相应组件包后方可使用。动态加载相关内容请参见动态加载（USG6000和NGFW Module）和动态加载（USG9500）。如果没有加载License和组件包，URL远程查询功能的配置项在Web界面上不可见。

安全搜索功能的使用限制

• 使用安全搜索功能时，需要在FW上配置代理，否则功能不可用：
  • 对于HTTP的搜索流量，需要FW配置TCP代理策略。
  • 对于HTTPS的搜索流量，需要FW配置SSL加密流量检测。

• USG6101/6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WL不支持对HTTP搜索请求执行安全搜索功能。

• 在SSL代理部署在浏览器和浏览器代理服务器之间的场景，FW的安全搜索功能不生效。

谷歌账户控制功能的使用限制

• 在SSL代理部署在浏览器和浏览器代理服务器之间的场景，FW的谷歌账户控制功能不生效。

• 使用谷歌账户控制功能时，需要在FW上配置SSL加密流量检测。

• 目前不支持移动应用的谷歌账户控制功能。

HTTPS URL过滤的加密流量过滤功能使用限制

• 在浏览器存在代理的情况下，当用户访问某些网站时，FW从客户端Client Hello报文的SNI字段、服务器Certificate报文的CN和SAN字段中提取的网站域名可能与实际网站的域名不匹配，这会导致URL过滤功能不生效。例如当用户通过手机的UC浏览器访问优酷网站时，URL过滤功能不生效，通过关闭手机UC浏览器的云加速功能可以解决。

• 当某些浏览器传输数据采用私有协议时，可能导致URL过滤功能不生效。例如谷歌浏览器默认使用私有协议QUIC（Quick UDP Internet Connection）进行数据传输，该协议使用专门的加密方式，FW不能解密，导致URL过滤无法过滤通过谷歌浏览器访问的HTTPS网站，通过配置安全策略将QUIC应用阻断可以解决。

• 当某些网站服务器通过相同的IP地址为多个域名提供服务时，SNI字段可能会包含多个域名，如果URL过滤黑名单只配置了其中一个域名，则无法阻断所有来自这个网站的流量。例如，用户通过HTTPS访问网站www.example.com，该网站可能有多个域名，例如1.example.com、2.example.com等，如果仅在URL过滤黑名单中配置1.example.com，则不能完全阻断这个网站的流量，通过在黑名单中配置一级域名*.example.com可以解决。

• 当一个证书中有多个URL（即多个网站使用一个证书）时，SAN字段可能会包含多个URL，如果其中一个URL被阻断，会导致这条流量都被阻断，其他的URL也访问不了。

• 如果将某个网站的域名加入URL过滤白名单，则不能保证该网站下的所有内嵌网页都正常访问。例如：当访问网站www.example.com时，如果只配置白名单为www.example.com，则该网站下不是以www.example.com为域名的内嵌网页均不能正常访问，通过将不是以www.example.com为域名的内嵌网页都加入白名单或配置内嵌白名单功能可以解决。

• 由于加密流量过滤功能是通过SSL握手报文实现URL过滤的，客户端尚未发起HTTP请求，因此不支持发送URL推送信息，通过配置SSL加密流量检测功能，可以发送URL推送信息。

URL过滤其他使用限制

• URL过滤的加密流量过滤功能仅能处理TLS 1.0及1.0以上版本协议。

• 在报文来回路径不一致的组网环境中，URL过滤功能不可用。

• HTTP协议的默认端口为80、HTTPS协议的默认端口号为443。当服务器采用默认端口时，URL过滤规则中不用配置端口号。当服务器采用非默认端口时，URL过滤规则中不能省略端口号。例如，阻断10.1.1.1的访问，如果服务器使用默认端口80，在URL过滤黑名单中配置为10.1.1.1，就能阻断该访问，不用配置为10.1.1.1：80；如果服务器端口为8080，在URL过滤黑名单中要配置为10.1.1.1：8080，才能阻断该访问。

• URL过滤功能目前不支持过滤在线代理后的URL请求。

• URL过滤特性支持IPv4和IPv6。
• 端口映射功能仅支持IPv4。
• 由于TCP代理和SSL加密流量检测特性不支持IPv6，因此将出现如下情况：
  • 基于IPv6的HTTPS流量，无法通过SSL加密流量检测解密。
  • 基于IPv6的安全搜索功能不生效。

• 如果浏览器（例如谷歌浏览器）缓存过主页面，当再次访问该页面时，浏览器不会请求主页面，只会刷新主页面上的子页面，这可能会导致URL过滤推送页面无法正常显示，建议在使用URL过滤推送页面功能之前清理浏览器的缓存。

URL过滤的注意事项

• URL过滤功能可以对所有URL请求进行过滤，包括用户要访问的网页及该网页内嵌的所有网站链接。一般来说，URL过滤规则针对的是网页自身的URL地址，如需对网页内嵌的网站链接进行管控，请单独配置URL过滤规则。

• URL规则中如果包含字符“#”，则“#”及“#”后面的字符串在匹配时不会生效；用户访问的URL地址中如果包含字符“#”，则“#”及“#”后面的字符串不会送入URL模块进行匹配处理。

• USG9500的管理口GigabitEthernet 0/0/0不能用于URL远程查询。

• 当一条会话中含有多个URL时，FW会对每个URL分别进行过滤处理，只要其中任一URL被阻断，则整个会话将会被阻断。

• FW部署在两台路由设备中间，且两台路由设备通过BFD互相探测时，建议将路由设备上的BFD检测时间适当调大（建议大于100ms），避免网络偶发性拥塞时导致BFD震荡。