技術領域

本發明涉及網絡安全技術領域，尤其涉及一種非法網站過濾方法及裝置。

背景技術

防火墻指的是一個由軟件和硬件設備組合而成、在內網和外部網之間、 專用網與公共網之間的界面上構造的保護屏障，是一種保障網絡安全的形象 說法，它是一種計算機硬件和軟件的結合，使因特網與內網之間建立起一個 安全網關，從而保護內網免受非法用戶侵入。

URL(統一資源定位符，Uniform?Resource?Locator)分類過濾屬于防火墻 的一個功能模塊，其目的是為用戶提供攔截互聯網不良信息的過濾服務，它 包括一個專門的地址庫，用來過濾用戶訪問的非法網站。URL分類過濾功能 會在模塊初始化時將地址庫加載到防火墻內存中，并依靠地址庫來對用戶訪 問的網站進行過濾。用戶訪問網站的過程分為以下幾個步驟：(1)會建立一 條所訪問URL的IP地址的連接；(2)根據已建立的連接發送URL請求；(3) 用戶會收到要訪問的數據，也就是網頁中顯示的信息。URL分類過濾功能就 是針對前兩個步驟進行處理的：在建立連接時，從同步報文中提取用戶訪問 URL的IP地址，將其與地址庫中的IP地址比對，當IP地址匹配時，再進一 步將步驟(2)中的URL與地址庫中該IP地址對應的URL進行比對，如果 URL匹配成功，則說明用戶訪問的網站屬于地址庫中的不良網站，會將此連 接斷開，用戶將無法瀏覽這個非法網站，否則，允許報文通過防火墻，用戶 將會瀏覽到網站信息。

從上面介紹可知，將地址庫加載到防火墻內存中是URL分類過濾功能的 實現前提。然而，目前非法網站種類繁多，且數目龐大，因此，按照黃、賭、 毒、邪教等內容分門別類的存放了IP地址和相關URL的地址庫數據量非常大， 通常達1G以上，因此，無法一次加載到內存中。

為了解決無法將龐大地址庫加載到防火墻內存中的問題，目前已實現的 方案中，是僅將地址庫中的IP地址加載到防火墻的內存中，僅以IP地址進行 比對，從而過濾非法網站。然而，這種僅以IP地址過濾非法網站的方式存在 致命的缺陷，僅按照IP地址進行匹配，很容易造成對于用戶訪問的網站進行 誤操作，例如，色情網站經常利用更換IP地址的方式來達到逃避監控的目的， 如果只對IP地址進行比對，很很能由于原來色情網站的IP地址目前被一個正 常網站使用，而導致正常的網站得不到訪問。

發明內容

有鑒于此，本發明提供一種非法網站過濾方法及裝置，以解決現有方案 僅通過比對IP地址過濾非法網站而存在的對網站進行誤操作的問題。

為此，本發明實施例采用如下技術方案：

一種非法網站過濾方法，包括：獲取建立網站連接的IP地址，確定防火 墻內存中匹配有該IP地址且在內存中未保存符合該IP地址的URL時，將保 存于所述防火墻內存之外的符合該IP地址的所有URL加載到所述內存中； 在發送URL請求時，判斷發送的URL是否與防火墻內存中符合所述IP地址 的URL之一匹配，若是，斷開連接，否則，允許報文通過防火墻。

在將保存于所述防火墻內存之外的符合該IP的所有URL加載到所述內 存中之前，還包括：判斷所述防火墻內存使用量是否超過閾值，若是，將內 存中使用次數最少的IP地址記錄項刪除，再執行所述將保存于所述防火墻內 存之外的符合該IP的所有URL加載到所述內存中的步驟，否則，直接執行 將所述將保存于所述防火墻內存之外的符合該IP的所有URL加載到所述內 存中的步驟；其中，在每次匹配URL成功后，將IP地址記錄項的使用計數 加一，所述IP地址記錄項由一個IP地址及其對應的URL構成。

所述保存于所述防火墻內存之外的符合該IP的所有URL是以IP地址為 文件名的IP文件形式保存的。

當確定防火墻內存中既匹配有所述IP地址又保存了符合所述IP地址的 URL時，在發送URL請求時，直接執行以下步驟：判斷發送的URL是否與 防火墻內存中符合所述IP地址的URL之一匹配，若是，斷開連接，否則， 允許報文通過防火墻。

在所述防火墻內存初始化時，將IP地址集合加載到內存中，并在內存中 設置一個空的動態地址表，該動態地址表用于保存加載的URL。

在成功匹配IP地址后，將IP連接設置檢測標記，后續在發送URL請求 時，僅對具有檢測標記的IP連接的URL進行匹配。