上期我们谈到了解决软件合规准入问题，通过配置软件合规准入功能，可以有效防止运营商办公网用户"被动"影响办公网的网络安全以及业务风险。但对于用户网络活动中主动访问互联网中非法内容，比如病毒网站等对办公网的网络影响，仅实现用户合规准入基本束手无策，而且事后防护的效果显然没有事先禁止用户访问的效果明显。网康科技NS-ICG产品通过全球中文网址规模最大的网址预定义分类库，结合网址访问控制功能可以有效实现对非法网页的访问遏制。

技术原理：

目前网页URL数目数以千万计。传统的网页过滤通过预设的关键字，对网页内容进行匹配，效率很低，而且误封率居高不下，已经退出应用的主流。另外一种方法是预先设置需要封堵的URL列表，对URL进行实时的匹配过滤，这也存在很大的缺陷，由于URL数量巨大，依靠手工添加方式不可能实现完整的过滤，而且对URL列表的更新管理几乎不可能。网康科技NS-ICG的技术方式是先将URL按照基于网址内容的制定标准进行预分类，在结合网址访问策略实现对类别的过滤，既解决了过滤效率的问题，又保证了过滤的完整性与实效性。

配置实战：

前提条件是NS-ICG通过透明桥接模式部署在运营商办公网络中。目标是实现对指定用户在指定时间内所浏览的网页进行审计和控制，包括访问网站类型（如股票、色情）、网址类型（如聊天室）、文件类型（如mp3）、网址，标题，内容，请求数及流量等。

登录NS-ICG系统管理界面，通过点击【策略管理】→【审计策略设置】-【HTTP应用审计策略】-【网页浏览策略】进入如下图所示页面：

在"名称"中输入策略名称，如上图所示："对不良网站的访问阻塞并报警"，"描述"项是指针对该策略的进一步说明，可选输入。"优先级"是为了应对多个策略的复合作用而定的，从下拉框中选择策略的优先级，数值越低优先级越高，优先级可选范围随现有HTTP应用审计策略条数而变化。

网康NS-ICG可以针对多种条件维度进行设置，以满足网络管理员的实际业务需求，为防止运营商办公网内用户访问非法网址，可以配置针对指定的网站分类，办公网内用户不容许访问。

通过网址分类选择界面，设定"不良网站"的具体范围，如下图：

然后，在"策略动作"中勾选"设置控制动作"，这时右侧"策略内容"中会刷新出现相关操作说明，其中带下划线的蓝色文字通过点击可修改。调整操作内容为"阻塞该请求"。

点击"确认"按钮后，则新建一条非法网站过滤的策略。

目前整个策略还没有真正生效，若需要立刻生效，还缺少最后一步，点击右上方"立刻生效"按钮完成生效配置。