El filtrado de URLs proporciona a los administradores de TI potentes herramientas para gestionar y controlar el acceso a la web de los dispositivos de su organización. Mediante la aplicación de estas normas y ejemplos, los administradores pueden garantizar el cumplimiento de las políticas de seguridad y los requisitos normativos, al tiempo que permiten un uso productivo y seguro de internet a los usuarios.
El formato para definir filtros en las políticas de Lista de Bloqueo y Lista de Permitidos sigue un patrón específico:
[scheme://][.]host[:port][/path][@query]
Componentes de un filtro de URL #
- Esquema (opcional): Este campo especifica el protocolo utilizado en la URL, puede ser
http,https,ftp,chrome, etc, y debe ir seguido de ‘://‘. - Prefijo de punto (opcional): Un ‘.’ (punto) opcional puede preceder al campo host para desactivar la coincidencia de subdominios.
- Host (obligatorio): El campo host es obligatorio y representa un nombre de host válido o una dirección IP. También puede establecerse como “*“. Los subdominios pueden coincidir a menos que estén deshabilitados por un prefijo de punto.
- Puerto (opcional): Se puede especificar un puerto opcional después del host, y debe ser un valor de puerto válido comprendido entre 1 y 65535.
- Ruta (opcional): Puede seguir opcionalmente al puerto, indicando una ubicación específica dentro del host. En este campo se puede utilizar cualquier cadena de texto.
- Query(opcional): Viene al final del filtro URL, formado por pares clave-valor y tokens de solo clave delimitados por ‘&’.
- Los tokens clave-valor están separados por ‘=’.
- Un token de query puede terminar con “*” para indicar una coincidencia de prefijo.
- El orden de los token no se tiene en cuenta durante el emparejamiento.
Normas y consideraciones especiales #
- La ruta y la query distinguen entre mayúsculas y minúsculas.
- Se admiten esquemas personalizados con patrones restringidos (
scheme:*yscheme://*). - Si hay un separador de referencia ‘#’, se ignora todo lo que viene después.
- Los filtros se seleccionan en función de la coincidencia más específica encontrada:
- Se prefiere la coincidencia de host más larga.
- Los filtros con esquema o puerto no coincidentes se descartan.
- Se selecciona la ruta más larga.
- Se selecciona el conjunto más largo de tokens de consulta.
- Si no se encuentra ningún filtro válido, se elimina del host el subdominio situado más a la izquierda y se vuelve a intentar el filtrado.
- El host especial “*” coincide con todos los hosts y se busca en último lugar.
- Cuando se aplican tanto los filtros de la lista de bloqueo como los de la lista de permisos, tiene prioridad la lista de permisos.
- Los filtros con prefijo ‘.’ sólo coinciden con hosts exactos.
Ejemplos #
- [“ejemplo.com”]: Bloquea todas las peticiones al dominio “ejemplo.com” y cualquier subdominio.
- [“http://example.com”]: Bloquea todas las peticiones HTTP al dominio [“ejemplo.com”] y cualquier subdominio; otros esquemas (por ejemplo, HTTPS, FTP) siguen estando permitidos.
- [“mail.ejemplo.com”]: Bloquea las peticiones al dominio [“mail.ejemplo.com”] pero no a [“www.example.com”] o [“ejemplo.com”].
- [“.ejemplo.com”]: Bloquea exactamente [“ejemplo.com”] y no bloquea subdominios.
- [“*”]: Bloquea todas las solicitudes; sólo se permitirán las URL de la lista de permitidos.
- [“*:8080”]: Bloquea todas las peticiones al puerto 8080.
- [“192.168.1.2”]: Bloquea las peticiones a esta dirección IP exacta.
