1.3.7 URL分类

URL分类是根据网页内容划分URL地址类型的结果。华为采用机器学习和人工智能技术，扫描海量网页内容，划分URL地址类型。利用URL分类，可以控制用户的上网行为。

方法1：在安全策略中添加URL过滤配置文件，可以利用URL分类、URL黑白名单等功能，精确地控制网站访问。关于URL过滤的详细内容，请参考产品文档。

方法2：在安全策略中应用URL分类，实现简单的、基于URL分类的访问控制。在安全策略中应用URL分类以后，可以基于URL分类指定内容安全配置文件。例如，只为访问高风险URL分类的流量附加反病毒检查和文件过滤。

下面展示两个在安全策略中应用URL分类的配置实例。

场景1：限制访问特定类型的网站。

假设防火墙上已经配置了一条安全策略inside-out，允许所有人访问互联网，未做任何限制，如图1-22所示。

图1-22　初始安全策略

现在要禁止公司员工在工作期间访问社交网络和求职招聘类的网站。用户可以复制安全策略inside-out，修改其名称，指定URL分类，并将动作修改为禁止，如图1-23所示。

图1-23　复制并修改安全策略

复制完成后，需要把inside-out-exclude调整到inside-out前面，如图1-24所示。

图1-24　调整安全策略的顺序

场景2：仅特定员工可以访问特定类型的网站。

根据某公司的信息安全政策，普通员工可以访问常用网站，并使用URL配置文件设置了详细的访问控制。同时，为了工作需要，允许IT员工访问IT相关网站。在这个场景中，用户需要配置两条安全策略，如图1-25所示。

图1-25　特定访问需求

策略1：允许IT员工（用户it）访问URL分类为“IT相关”的网站。

策略2：允许普通员工（不指定用户）访问常用网站。常用网站的范围由内容安全部分的URL过滤配置文件指定，其中不包含“IT相关”URL分类。

注意策略1必须位于策略2的前面。因为安全策略是按照顺序从上向下依次匹配的，当IT员工试图访问IT相关网站时，命中策略1并被允许访问。当其他员工（普通员工）试图访问IT相关网站时，命中策略2，并继续检查URL过滤配置文件。因为允许访问的常用网站范围中不包含“IT相关”URL分类，其他员工的访问请求被阻断。

防火墙需要先识别出HTTP应用，再识别URL分类，然后才能将识别结果反馈给安全策略模块去匹配。在识别出URL分类之前，此安全策略处于未决状态。防火墙会先根据URL分类以外的匹配条件建立一个会话，放行流量并继续检测。识别出URL分类之后，流量重新匹配安全策略。对于采用HTTPS的网站，需要配合SSL解密功能使用。