上期我們談到了解決軟件合規(guī)準(zhǔn)入問題，通過配置軟件合規(guī)準(zhǔn)入功能，可以有效防止運(yùn)營商辦公網(wǎng)用戶"被動"影響辦公網(wǎng)的網(wǎng)絡(luò)安全以及業(yè)務(wù)風(fēng)險。但對于用戶網(wǎng)絡(luò)活動中主動訪問互聯(lián)網(wǎng)中非法內(nèi)容，比如病毒網(wǎng)站等對辦公網(wǎng)的網(wǎng)絡(luò)影響，僅實現(xiàn)用戶合規(guī)準(zhǔn)入基本束手無策，而且事后防護(hù)的效果顯然沒有事先禁止用戶訪問的效果明顯。網(wǎng)康科技NS-ICG產(chǎn)品通過全球中文網(wǎng)址規(guī)模最大的網(wǎng)址預(yù)定義分類庫，結(jié)合網(wǎng)址訪問控制功能可以有效實現(xiàn)對非法網(wǎng)頁的訪問遏制。

技術(shù)原理：

目前網(wǎng)頁URL數(shù)目數(shù)以千萬計。傳統(tǒng)的網(wǎng)頁過濾通過預(yù)設(shè)的關(guān)鍵字，對網(wǎng)頁內(nèi)容進(jìn)行匹配，效率很低，而且誤封率居高不下，已經(jīng)退出應(yīng)用的主流。另外一種方法是預(yù)先設(shè)置需要封堵的URL列表，對URL進(jìn)行實時的匹配過濾，這也存在很大的缺陷，由于URL數(shù)量巨大，依靠手工添加方式不可能實現(xiàn)完整的過濾，而且對URL列表的更新管理幾乎不可能。網(wǎng)康科技NS-ICG的技術(shù)方式是先將URL按照基于網(wǎng)址內(nèi)容的制定標(biāo)準(zhǔn)進(jìn)行預(yù)分類，在結(jié)合網(wǎng)址訪問策略實現(xiàn)對類別的過濾，既解決了過濾效率的問題，又保證了過濾的完整性與實效性。

配置實戰(zhàn)：

前提條件是NS-ICG通過透明橋接模式部署在運(yùn)營商辦公網(wǎng)絡(luò)中。目標(biāo)是實現(xiàn)對指定用戶在指定時間內(nèi)所瀏覽的網(wǎng)頁進(jìn)行審計和控制，包括訪問網(wǎng)站類型（如股票、色情）、網(wǎng)址類型（如聊天室）、文件類型（如mp3）、網(wǎng)址，標(biāo)題，內(nèi)容，請求數(shù)及流量等。

登錄NS-ICG系統(tǒng)管理界面，通過點(diǎn)擊【策略管理】→【審計策略設(shè)置】-【HTTP應(yīng)用審計策略】-【網(wǎng)頁瀏覽策略】進(jìn)入如下圖所示頁面：

在"名稱"中輸入策略名稱，如上圖所示："對不良網(wǎng)站的訪問阻塞并報警"，"描述"項是指針對該策略的進(jìn)一步說明，可選輸入。"優(yōu)先級"是為了應(yīng)對多個策略的復(fù)合作用而定的，從下拉框中選擇策略的優(yōu)先級，數(shù)值越低優(yōu)先級越高，優(yōu)先級可選范圍隨現(xiàn)有HTTP應(yīng)用審計策略條數(shù)而變化。

網(wǎng)康NS-ICG可以針對多種條件維度進(jìn)行設(shè)置，以滿足網(wǎng)絡(luò)管理員的實際業(yè)務(wù)需求，為防止運(yùn)營商辦公網(wǎng)內(nèi)用戶訪問非法網(wǎng)址，可以配置針對指定的網(wǎng)站分類，辦公網(wǎng)內(nèi)用戶不容許訪問。

通過網(wǎng)址分類選擇界面，設(shè)定"不良網(wǎng)站"的具體范圍，如下圖：

然后，在"策略動作"中勾選"設(shè)置控制動作"，這時右側(cè)"策略內(nèi)容"中會刷新出現(xiàn)相關(guān)操作說明，其中帶下劃線的藍(lán)色文字通過點(diǎn)擊可修改。調(diào)整操作內(nèi)容為"阻塞該請求"。

點(diǎn)擊"確認(rèn)"按鈕后，則新建一條非法網(wǎng)站過濾的策略。

目前整個策略還沒有真正生效，若需要立刻生效，還缺少最后一步，點(diǎn)擊右上方"立刻生效"按鈕完成生效配置。