URL 类别过滤

URL 类别过滤使我们能够根据网站和域名的内容分类来控制网络流量。AWS Network Firewall 现在支持按 URL 类别进行过滤,允许我们创建规则来阻止或允许流量访问整个类别的网站,而无需维护大量的域名列表。此功能对于执行可接受使用策略、防止访问风险内容以及减少组织的攻击面特别有价值。

类别包括以安全为重点的分类,如网络钓鱼、恶意软件、命令与控制,以及基于内容的类别,如人工智能和机器学习、社交网络、赌博等。通过使用 URL 类别,我们可以实施广泛的安全控制,随着新域名被添加到类别数据库或从中删除,这些控制会自动适应,从而减少维护自定义域名列表的运营开销。

实施 URL 类别过滤

让我们添加一条规则来阻止访问人工智能和机器学习网站:

  1. 返回 StatefulRuleGroup并再次选择 Edit

  2. 添加以下规则以阻止 AI/ML 类别流量:

drop tls any any -> any any (msg:"Domain Category is AI/ML"; aws_domain_category:Artificial Intelligence and Machine Learning; sid:100000010;)
  1. 点击 Save

此规则阻止 TLS(HTTPS)流量访问归类于"人工智能和机器学习"类别下的任何域名。aws_domain_category 关键字是 AWS Network Firewall 特有的,与 AWS 维护的 URL 类别数据库进行匹配。此规则将阻止访问 ChatGPT、Claude、Midjourney 等流行的 AI 服务和其他 AI/ML 平台,而无需维护特定域名列表。随着新的 AI 服务出现并被添加到类别数据库中,它们将自动被此规则阻止。

关键点:

  • URL 类别由 AWS 维护和更新,减少运营开销
  • 类别基于域名分类,而非 IP 地址
  • 此功能适用于 TLS 流量,需要从 TLS 握手(SNI)中获取域名
  • 可以在单个规则中使用逗号分隔指定多个类别
  • 类别可以与其他 Suricata 规则选项结合使用,以实现更精细的控制

验证

  1. 等待约 30 秒至 1 分钟,让规则生效
  2. 返回 Egress 测试脚本 URL 并再次运行测试
  3. 验证 AI/ML URL 类别测试现在已被阻止