一、组网需求

  

      用户将防火墙部署于出口，需要限制用户访问HTTP/HTTPS类型的网站。

 

二、组网拓扑

         

内网用户通过防火墙对互联网进行访问.

 

三、配置要点

1、初始化上网配置

2、编辑网页过滤器

3、防火墙策略配置

四、配置步骤

1、添加网页过滤

名称：根据需要进行设置，推荐为英文

检查模式为： 流模式

扫描加密链接：如需要过滤HTTPS类型的网页，此项必须勾选

启用web网站过滤器：根据需要添加需要阻断的网站URL

2、配置安全策略，策略中部开启深度检测。

 

 

五、测试

   1、打开百度网站，提示证书错误，提示相关信息，网页无法打开。

 

 

 

2、Yahoo未被过滤，证书依然使用yahoo自由证书，不会提示证书错误。

六、限制说明

       该方案对于HTTP类型的网站没有特殊限制，但对于HTTPS类型的加密网站，由于设备通过校验网站的SSL证书进行判断域名是否允许访问，因网站的SSL证书中会存放域名，因此使用此方案可以禁止用户访问受限的网站；但因无法对SSL加密的内容进行识别，无法对网页进行过滤；
       该方案存在风险：

             1）部分网站的证书中存放的域名可能与实际访问域名不同，此时该方案过滤无效；

             2）无法针对网页中敏感字进行过滤；