• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

03-安全策略配置指导

04-URL分类与网站策略配置指导

本章节下载 04-URL分类与网站策略配置指导  (186.72 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Operation_Manual/H3C_ACG1000_CG(E6401_E6451)-6W106/03/202009/1334538_30005_0.htm

04-URL分类与网站策略配置指导


1 URL分类与网站策略

1.1  URL分类与网站策略概述

URL(Uniform Resource Locator,统一资源定位符)分类是一种网页分类功能,支持自定义URL分类和预定义URL分类。

自定义URL分类是指,用户可以根据需要,在设备上手动指定域名的匹配规则,对收到的HTTP请求报文进行分类。

预定义URL分类是指,设备收到HTTP请求报文后。设备根据预先定义的分类URL的规则,对收到的HTTP请求报文进行分类。

在网站策略中引用自定义或者预定义的URL分类,实现URL过滤的功能。

1.2  自定义URL配置

表1-1所示步骤来配置自定义URL。

表1-1 配置自定义URL分类

操作

命令

说明

进入系统视图

system-view

新建URL对象

url-category url-name

必选

添加URL内容

url url

必选

 

说明

自定义URL分类若与预定义URL分类冲突,自定义URL的优先级更高。

 

1.3  网站策略配置

1.3.1  配置准备

网站策略是基于安全策略的,配置网站策略之前,需要配置安全策略,并且安全策略的动作必须是审计,安全策略的配置过程,请参见“安全策略配置指导”。

1.3.2  配置网站策略

表1-2所示步骤来配置网站策略。

表1-2 配置网站策略

操作

命令

说明

进入系统视图

system-view

进入策略配置视图

policy policy-id

必选

添加网站策略

website-policy id{ url-category|any } { accept|deny }{ emerg|alert|crit|err|notice|info|ignore} display

必选

 

1.4  URL分类与网站策略显示与维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后URL分类与网站策略的运行情况,通过查看显示信息验证配置的效果。

表1-3 URL分类与网站策略显示与维护

操作

命令

显示配置的URL分类

display url-category{ predefined |user-defined }

显示配置的网站策略

display running-config policy

 

1.5  URL分类与网站策略典型配举例

1.5.1  禁止访问预定义URL分类博彩类网站

1. 组网需求

·     PC与ACG的ge1连。

·     ACG的ge2与internet相连。

·     PC通过ACG来访问internet。

图1-1 配置网站策略组网图

 

2. 配置思路

(1)     配置允许ge1到ge2的安全策略。

(2)     配置网站策略,禁止访问博彩类的网站。

3. 配置步骤

(1)     配置允许ge1到ge2的安全策略。

host(config)# policy ge1 ge2 any anyanyanyany always audit 1

host(config)# enable

(2)     配置禁止访问博彩类的网站策略,日志级别为信息。

host(config-policy)# website-policy 1 lottery, deny info FilterUrl

4. 验证配置

执行display running-config policy命令验证配置。

host# display running-config policy

policy any anyanyanyanyanyany always audit 1

website-policy malware disable

website-policy 1 lottery, deny info FilterUrl

website-policy enable 1

policy default-action deny

!

1.5.2  禁止访问自定义URL分类网站

1. 组网需求

·     PC与ACG的ge1相连。

·     ACG的ge2与internet相连。

·     PC通过ACG来访问internet。

图1-2 配置网站策略组网图

 

2. 配置思路

(1)     配置自定义url分类自定义门户网站,并添加网址www.163.com。

(2)     配置允许ge1到ge2的安全策略。

(3)     配置网站策略,禁止访问自定义门户网站。

3. 配置步骤

(1)     配置自定义url分类自定义门户网站,并添加网址www.163.com。

host# configure terminal

host(config)# url-category 自定义门户网站

host(config-url-category)# url www.163.com

host(config-url-category)# exit

host(config)#

(2)     配置允许ge1到ge2的安全策略。

host(config)# policy ge1 ge2 any anyanyanyany always audit 1

host(config)# enable

(3)     配置禁止访问自定义门户网站的网站策略,日志级别为信息。

host(config-policy)# website-policy 1 自定义门户网站 deny info FilterUrl

4. 验证配置

(1)     执行displayurl-category user-defined来验证URL分类的配置。

host# displayurl-category user-defined 自定义门户网站

category 自定义门户网站 :        1 items

==========================================

 www.163.com

==========================================

(2)     执行display running-configpolicy命令验证网站策略的配置。

host# display running-config policy

policy any anyanyanyanyanyany always audit 1

website-policy malware disable

 website-policy 1 自定义门户网站, deny info FilterUrl

website-policy enable 1

policy default-action deny

!

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们