• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(E6411 R6609)-6W107

目录

02-URL过滤功能典型配置举例

本章节下载 02-URL过滤功能典型配置举例  (461.86 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(E6411_R6609)-6W107/202009/1334125_30005_0.htm

02-URL过滤功能典型配置举例


1  简介

本文档介绍ACG1000设备URL过滤配置举例,包括自定义对象URL过滤和预定义对象URL过滤。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解URL过滤特性。

3  使用限制

·     ACG1000 R 6605版本的预定义URL对象和恶意URL对象暂不支持查看具体内容,如果存在错误过滤的问题,可使用自定义URL对象进行规避,因为自定义URL对象过滤优先于预定义URL对象过滤进行匹配。

·     网页中链接引用的情况非常普遍,同一个网页上的Flash、嵌入视频和图片等内容可能分别对应不同的URL,此时只允许其中某个URL通过,无法保证网页全部完整可用。

4  配置举例

4.1  组网需求

图1所示,某公司内网存在研发网段和财务网段,IP地址分别为192.168.3.0/24和172.16.2.0/24。使用ACG1000设备的ge2和ge3接口作为透明桥,串接部署在核心交换机和出口路由器之间,启用URL过滤功能,具体应用需求如下:

·     针对研发网段,不允许访问在线音乐和BBS站点类网站,允许访问其它类网站,并过滤恶意URL。

·     针对财务网段,阻止访问网易(包括网易新闻、网易娱乐等所有网易主站和子网站)网站,其它网站访问全部允许访问。

图1 行为审计功能配置组网图

 

4.2  配置思路

·     针对某一类别的URL过滤需求,通过预定义URL对象过滤实现。

·     针对具体某一个网站的URL过滤需求,通过自定义URL对象过滤实现。

·     在进行URL过滤匹配时,先进行自定义URL的匹配,匹配算法为在报文携带的URL中从前向后取自定义URL字符串,如果可以取到即匹配规则并返回结果,不再继续匹配。例如配置拒绝自定义对象“163”和允许自定义对象“com”,当URL是www.baidu.com时,从前到后先取到baidu字符串则拒绝,而其它com网页将被允许,继续进行预定义URL对象过滤规则匹配。

·     自定义URL对象过滤规则匹配完成后,将进行预定义URL对象过滤规则匹配,此时报文携带的URL将会遍历所有预定义URL对象过滤规则,如果匹配到阻断策略则会拒绝访问URL。

·     如果报文携带的URL在先后匹配了自定义和预定义URL对象过滤后都没有被阻断,那么最终URL将被放行。

4.3  使用版本

本举例是在R6608版本上进行配置和验证的。

4.4  配置步骤

4.4.1  配置ACG1000系列产品

1. 登录Web网管

图2所示,使用http或https的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。

图2 登录H3C ACG Web网管

 

2. 配置地址对象

图3所示,进入“对象管理>地址>IPv4地址对象”,点击<新建>,IP地址配置为192.168.3.0/24,创建研发网段地址对象,点击<提交>。按照同样的方法配置财务网段地址对象。

图3 配置地址对象

 

图4所示,创建成功的地址对象配置如下:

图4 地址对象配置成功

 

3. 配置自定义URL对象

图5所示,进入“对象管理> URL >自定义URL”,点击<新建>,配置自定义URL对象网易,“内容”配置为163,点击<提交>。

图5 配置自定义URL对象网易

 

图6所示,创建成功的自定义URL对象如下:

图6 自定义URL对象配置成功

 

4. 配置研发网段URL审计策略

图7所示,进入“上网行为管理>策略配置> IPv4策略”,点击<新建>,“源地址”配置为研发网段,接着配置“URL审计”部分。

图7 配置研发网段IPv4策略

 

图8所示,在IPV4策略页面的应用策略部分,将“过滤恶意URL”点击为<过滤>,并在“URL审计”中点击<新建>,“URL分类”配置为在线音乐和BBS站点,“处理动作”配置为拒绝,“日志级别”配置为信息,点击<提交>。

图8 配置“在线音乐”和“BBS站点”类URL阻断

 

图9所示,创建成功的研发网段URL审计策略配置如下:

图9 研发网段URL审计策略配置成功

 

5. 配置财务网段URL审计策略

图10所示,进入“上网行为管理>策略配置> IPv4策略”,点击<新建>,“源地址”配置为财务网段,接着配置“URL审计”部分。

图10 配置财务网段IPv4策略

 

图11所示,在IPV4策略页面的应用策略部分“URL审计”中,点击<新建>,“URL分类”配置为网易,“处理动作”配置为拒绝,“日志级别”配置为信息,点击<提交>。

图11 配置网易URL阻断

 

图12所示,创建成功的研发网段URL审计策略配置如下:

图12 财务网段URL审计策略配置成功

 

4.5  验证配置

(1)     验证研发网段URL过滤效果

图13所示,测试研发网段无法打开虾米音乐等在线音乐类网站。

图13 研发网段访问虾米音乐网站失败

 

图14所示,测试研发网段无法打开天涯论坛等BBS站点类网站。

图14 研发网段访问天涯论坛网站失败

 

图15所示,测试研发网段无法访问mykasker.com等恶意URL页面。

图15 研发网段访问mykasker.com失败

 

(2)     验证财务网段URL过滤效果

图16所示,测试财务网段无法访问网易主页。

图16 财务网段访问网易主页失败

 

图17所示,财务网段无法访问网易体育页面。

图17 财务网段访问网易体育页面失败

 

4.6  配置文件

!

address 研发网段

 ip subnet 192.168.3.0/24

!       

address 财务网段

 ip subnet 172.16.2.0/24

!

url-category 网易

  url 163

!

policy any any 研发网段 any any any any always audit 1

 website-policy malware enable

 website-policy 1 music,BBS, deny info FilterUrl 

  website-policy enable 1

policy any any 财务网段 any any any any always  audit 2

 app-policy 1 application any any any keyword include any accept info FilterIMLoginAction 

  app-policy enable 1

 website-policy malware disable

 website-policy 1 网易, deny info FilterUrl 

  website-policy enable 1

policy default-action permit

policy white-list enable

!

5  相关资料

·     《H3C SecPath ACG1000系列应用控制网关Web配置手册》中的“URL过滤”

·     《H3C SecPath ACG1000系列应用控制网关配置指导》中的“URL分类与网站策略配置指导”

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们