Juniper防火墙做url过滤一般是和surfcontrol/websense配合(integrated或redirect方式)来做，这需要额外的license。那么有没有办法在不购买web filtering license的条件下实现基于关键字匹配方式的url过滤呢？通过实验，我们发现可以通过DI的http decoded http url的监测能力来实现基于关键字的url过滤 #j' t~m   
I3e*\1'6>  
1.自定义攻击模式:以过滤含“sohu“关键字的url为例 DS]!v/&  
set attack "CS:fliter sohu" http-url-parsed ".*sohu.*" severity high johk4]@7  
set attack group "CS:keyword filter" @!S+00F  
set attack group "CS:keyword filter" add "CS:fliter sohu" {WdAzun[;  
C;bjKlF60M  
DI 使用Perl type的正则表达式，因此可以用强大的正则表达式描述你想过滤的任何keyword。 @%(D3H$C  
}qrn?"K.j5  
TVlPIU?}q  
2.在具体规则里引用DI; l' K ]:  
set policy id 1 from "Trust" to "Untrust" "Any" "Any" "HTTP" nat src permit log ,k`>* a=RB  
set policy id 1 attack "CS:keyword filter" action drop ip-action "notify" target "serv" timeout 60 v /.P^_H  
set policy id 1 KtgyU0@  
exit ] ,>E8`+u  
 w[[  
E'$
$oP,K  
经测试效果良好，就是配置起来稍微麻烦点，不过据说ScreenOS5.4(大概7月底8月初发布)会有专门加强的URL过滤，拭目以待！

不知道什么原因，我配置了不起作用。(:lkao>/