- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-控制策略配置指导
本章节下载: 01-控制策略配置指导 (287.70 KB)
目录
控制策略,可以对经过设备的IPv4数据流进行有效的控制和管理。以下述七元组:出接口、入接口、源地址、目的地址、服务、用户、应用作为匹配条件,决定数据流后续的处理,实现数据流的丢弃、审计、免审计。决定哪些用户和数据能进出,以及它们进出的时间等。
根据实际网络情况,保证控制策略对应匹配条件的对象已存在,关于配置对象的详细介绍,请参考“对象管理配置指导”:
· 控制策略引用的源、目的地址对象或者地址组已存在。
· 控制策略引用的服务对象或者服务组已经存在。
· 控制策略引用的用户对象或者用户组已经存在。
· 控制策略引用的应用对象或者应用组已经存在。
· 控制策略引用的时间对象已经存在。
在配置准备所涉及到的匹配对象都已经存在的前提下,具体控制策略配置如表1-1所示。
表1-1 配置控制策略
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
必选 |
|
配置控制策略 |
Policy in-interface out-interface source-addr dst-addr service user application schedule terminal { permit | deny} [ id ] |
必选 |
在没有任何控制策略配置的情况下,设备会有一个默认的允许或者禁止转发报文经过设备的配置,配置控制策略默认动作的配置如表1-2所示。
表1-2 配置控制策略默认动作
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
必选 |
|
配置控制策略 |
policy default-action { permit | deny } |
可选 缺省情况下,默认动作是permit |
终端型号配置如下表所示。
表1-3 配置终端型号
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
必选 |
|
配置终端型号 |
policy terminal model { any | ddi } |
可选 ddi:只对DDI设备同步过来的终端用户ip,进行策略匹配。 缺省情况下,默认是any。 |
控制策略可以通过发件人、收件人、标题及内容关键字、邮件大小和附件个数对邮件进行控制。
· 保证邮箱控制对应的控制策略已经存在,关于配置控制策略的详细介绍,请参考“控制策略配置指导”
· 保证邮箱控制对应的关键字已经存在,关于配置关键字的详细介绍,请参考“对象管理配置指导”
在配置准备所涉及的控制策略存在的前提下,具体配置如表1-3所示
表1-4 配置邮件控制
|
操作 |
命令 |
说明 |
|
进入策略视图 |
policy interface-in interface-out source-addr dst-addr service user application schedule terminal { permit | deny } [ id ] |
_ |
|
开启、关闭邮件控制 |
app-policy mail { enable | disable } |
必选 |
|
发件人黑/白名单 |
app-policy mail sender { white_list | black_list } |
必选 |
|
收件人黑/白名单 |
app-policy mail receiver { white_list | black_list } |
必选 |
|
发件人关键字过滤 |
app-policy mail sender action { permit | deny } keyword { KEYWORD | NULL } |
必选 |
|
收件人关键字过滤 |
app-policy mail sender action { permit | deny } keyword { KEYWORD|NULL } |
必选 |
|
开启/关闭标题及内容关键字 |
app-policy mail title-content { enable | disable } |
可选 |
|
标题及内容关键字配置 |
app-policy mail title-content keyword { KEYWORD |NULL} |
可选 |
|
开启/关闭 邮件大小 |
app-policy mail mail-size { enable | disable } |
可选 |
|
邮件大小配置 |
app-policy mail mail-size <0-100> |
可选 |
|
开启/关闭 附件个数 |
app-policy mail attach-file num { enable | disable } |
可选 |
|
附件个数配置 |
app-policy mail attach-file num <0-100> |
可选 |
web关键字过滤,支持针对搜索引擎内容的过滤、HTTP上传的过滤及网页内容的过滤,具体实现效果如下:
搜索引擎:对网页搜索引擎的内容进行监控,提供告警、拒绝两种处理动作,记录日志
HTTP上传:对http上传的内容进行监控,提供告警、拒绝两种处理动作,记录日志;(包括web邮件,web论坛等)
网页内容:对网页文本内容进行过滤,提供告警、拒绝两种处理动作,记录日志。
· 保证邮箱控制对应的控制策略已经存在,关于配置控制策略的详细介绍,请参考“控制策略配置”
· 保证邮箱控制对应的关键字已经存在,关于配置关键字的详细介绍,请参考“对象管理配置指导”
在配置准备所涉及的控制策略存在的前提下,具体配置如表1-4所示
表1-5 配置web关键字
|
操作 |
命令 |
说明 |
|
进入策略视图 |
Policy interface-in interface-out source-addr dst-addr service user application schedule type { permit | deny } [ id ] |
_ |
|
开启、关闭搜索关键字 |
app-policy search <1-64> { enable | disable } |
必选 |
|
搜索关键字配置 |
app-policy search <1-64> keyword { KEYWORD | NULL } action { permit | deny } log-level { emerg | alert | crit | err | warning | notice | info | debug | ignore } [ .DESCRIPTION ] |
必选 |
|
开启/关闭http上传关键字 |
app-policy http post <1-64> { enable | disable } |
必选 |
|
开启/关闭网页访问关键字 |
app-policy web-content <1-64> { enable | disable } |
必选 |
|
网页访问关键字配置 |
app-policy web-content <1-64> keyword { KEYWORD | NULL } action { permit | deny } log-level { emerg | alert | crit | err | warning | notice | info | debug | ignore } [ .DESCRIPTION ] |
|
文件类型过滤,支持针对HTTP、FTP、SMTP上传和下载文件类型过滤。
保证文件类型过滤对应的控制策略已经存在,关于配置控制策略的详细介绍,请参考“控制策略配置”。
在配置准备所涉及的控制策略存在的前提下,具体配置如下表所示。
表1-6 配置文件类型过滤
|
操作 |
命令 |
说明 |
|
进入策略视图 |
Policy interface-in interface-out source-addr dst-addr service user application schedule type { permit | deny } [ id ] |
_ |
|
配置文件类型过滤策略 |
file-type-policy <1-64> file-type (FILE-TYPE|any) trans-direction (upload|download|all) action (permit|deny) log-level (emerg|alert|crit|err|warning|notice|info|debug|ignore) [DESCRIPTION] |
必选 |
QQ虚拟账号控制是指控制策略根据所引用关键字对象设置待过滤账号,只允许引用单个关键字对象,关键字过滤只支持精确匹配。根据匹配到的动作(黑名单|白名单)进行QQ账号控制并产生应用控制日志。
· 保证邮箱控制对应的控制策略已经存在,关于配置控制策略的详细介绍,请参考“控制策略配置”。
· 保证邮箱控制对应的关键字已经存在,关于配置关键字的详细介绍,请参考“对象管理配置指导”。
在配置准备所涉及的控制策略存在的前提下,具体配置如表1-5所示
表1-7 配置邮件控制
|
操作 |
命令 |
说明 |
|
进入策略视图 |
policy interface-in interface-out source-addr dst-addr service user application schedule terminal { permit | deny } [ id ] |
_ |
|
启用/关闭qq账号过滤 |
app-policy account qq { enable | disable } |
必选 |
|
黑/白名单使能 |
app-policy account qq { white_list | black_list } |
必选 |
|
黑/白名单关键字配置 |
app-policy account qq action { permit | deny } keyword { KEYWORD | NULL } |
必选 |
该功能可以对接入设备的终端来设定一个自动弹公告的功能,可以选择定时在某个时间点弹公告或者是每一段时间间隔来弹出一个公告。在“上网行为管理>公告页面”中可以设置终端公告页面的模板,设备默认会有一个默认公告,用户可以自定义模板并且上传模板,一共可以在设备上传32个内置模板,每个模板会形成一个Announce ID号,可以在“控制策略>终端公告提醒”中调用自定义的模板。
同样在“上网行为管理>公告页面>其它页面”中可以设置终端策略阻断页面,如:javascript:;、javascript:;、javascript:;、javascript:;、javascript:;、javascript:;这6种策略阻断页面,页面内容同样可以自定义。
在配置终端公告配置之前,需完成以下任务:
· 配置相关接口的IP地址。
· 配置SNAT使HOST主机可以上网。
表1-1 配置终端公告
|
操作 |
命令 |
说明 |
|
进入系统视图 |
configure terminal |
该视图享有配置权限 |
|
进入策略视图 |
Policy <ID> |
进入对应ID号的策略视图 |
|
配置终端公告 |
terminal-remind enable |
启用公告推送页面功能 |
|
terminal-remind remind-type { fix hour hour minute minute | interval interval } |
设定公告推送频率类型,设定固定推送时间或间隔时间 |
|
|
设定公告推送页面类型 |
terminal-remind announce-type { internal internal | external URL } |
设定公告推送页面类型,选择推送页面为设备内置页面或外部URL |
终端公告页面(只能基于控制策略实现)。
终端策略阻断页面(只有在策略阻断时才会弹出)。
在完成上述配置后,在任意视图下执行display命令,可以显示设备上控制策略的配置情况。
表1-2 控制策略配置显示
|
操作 |
命令 |
|
控制策略配置显示 |
display running-config policy |
|
控制策略删除命令 |
no policy id |
设备作为网关,内网用户通过设备访问外网资源。
图1-1 配置控制策略组网图
· 内网PC通过ge1口进入设备,从ge0口接入外网。
· 在设备上配置对所有流量的允许策略。
· 开启邮箱控制,阻断标题及内容为“股票”的邮件。
# 配置控制策略。
host#system-view
host(config)# policy ge1 ge0 any any any any any always any permit
host(config-policy)# app-policy mail enable
host(config-policy)# app-policy mail title-content keyword 股票
host(config-policy)# app-policy mail title-content enable
1) 通过执行display running-config policy命令来验证配置。
host# display running-config policy
policy ge1 ge0 any any any any any always any permit 2
app-policy mail title-content keyword 股票
app-policy mail title-content enable
app-policy mail enable
2) policy default-action deny网关设备和链路均正常工作时,验证发送包含关键字“股票”的邮件阻断成功,其余流量都能正常通过设备。
按照如下组网配置设备与终端IP地址。
图1-2 终端公告页面推送本地组网图
· 配置相关接口IP地址。
· 配置SNAT使HOST主机可以上网
· 配置一条默认的控制策略。
· 在控制策略中启用设备终端公告页面推送功能。
· 设置一个公告模板:在公告页面中上传一个公告模板,announce ID为2,如图1-3所示。
策略1下启用公告推送页面功能。
HOST# configure terminal
HOST(config)# policy 1
HOST(config-policy)# terminal-remind enable
策略1下设置公告推送为固定时间19:30。
HOST# configure terminal
HOST(config)# policy 1
HOST(config-policy)# terminal-remind remind-type fix hour 19 minute 30
策略1下设置公告推送页面,调用本地已上传的announce ID为2自定义页面。
HOST# configure terminal
HOST(config)# policy 1
HOST(config-policy)# terminal-remind announce-type internal 2
当时间超过19:30后,使用本地PC连接设备上网访问HTTP网站,成功弹出终端公告页面;
图1-4 公告页面
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
