- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
13-控制策略
本章节下载: 13-控制策略 (2.50 MB)
目 录
控制策略对通过设备的用户、源接口/域、目的接口/域、源地址、目的地址、应用、服务、终端、时间等维度进行访问控制,针对应用、URL、入侵防御、病毒防护等内容进行统一管控,并且支持策略分组。
控制策略适用于IPv4和IPv6网络的访问控制。
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示界面,如图1-1所示。
控制策略的含义如表1-1所示:
|
标题项 |
说明 |
|
状态 |
控制策略的状态: · · |
|
ID |
控制策略的ID |
|
行为 |
控制策略行为的状态包含: · 允许 · 拒绝 |
|
策略组 |
策略所属的分组名称 |
|
用户 |
匹配控制策略的用户对象 |
|
源接口/域 |
匹配控制策略的源接口/域 |
|
目的接口/域 |
匹配控制策略的目的接口/域 |
|
源地址 |
匹配控制策略的源地址 |
|
目的地址 |
匹配控制策略的目的地址 |
|
应用 |
匹配控制策略的应用对象 |
|
服务 |
匹配控制策略的服务对象 |
|
终端 |
匹配控制策略匹配的终端类型,包括:any、移动终端、PC、多终端 · 移动终端:基于Android或IOS系统的智能手机或Pad · PC:基于Windows操作系统的PC或笔记本 · 多终端:单个IP下同时存在电脑和移动终端 |
|
描述 |
控制策略描述 |
|
匹配次数 |
匹配控制策略的次数 |
|
应用安全 |
如果显示图标 |
|
时间 |
匹配控制策略匹配的时间对象 |
|
日志 |
控制策略行为选择为拒绝时是否记录日志 |
|
老化时间 |
基于控制策略的老化时间 缺省情况下,老化时间为0,表示使用各个协议默认的老化时间 |
|
操作 |
控制策略支持的操作,包含编辑和删除 |
策略支持外部编辑,在导航栏中选择“策略配置 > 控制策略”,进入控制策略页面,点击任一支持外部编辑的7元组对象:用户、源接口/域、目的接口/域、源地址、目的地址、应用、服务,即可进入对应的策略外部编辑配置页面,如图1-2所示。
策略外部编辑界面的详细信息如表1-2所示。
|
标题项 |
说明 |
|
类型 |
类型包含:用户、接口、源地址、目的地址、应用、服务 |
|
类型显示列 |
点击相应类型后,此列显示对应的类型数据,可直接选择进行配置 |
|
已选列表 |
已配置类型的对象内容显示区 |
单击<新建>按钮,进入控制策略配置页面,如图1-3所示。
控制策略详细配置说明,如表1-3所示。
|
标题项 |
说明 |
|
启用 |
策略启用和禁用,勾选表示开启策略,不勾选表示禁用策略 |
|
行为 |
策略的行为包含: · 允许,对匹配条件的会话进行应用控制,如URL过滤和应用过滤 · 拒绝,阻断命中匹配条件的会话 |
|
策略分组 |
策略可以分组展示 |
|
描述 |
控制策略描述信息 |
|
匹配条件 |
控制策略的匹配条件,包含用户、接口、源地址、目的地址、应用、服务 |
|
入侵防御 |
入侵防御配置,包括事件集等 |
|
病毒防护 |
病毒防护配置,包括防护项目等 |
|
URL过滤 |
URL过滤规则,包含URL控制和恶意URL控制 |
|
应用过滤 |
应用过滤规则,包含应用控制、邮件控制、WEB关键字控制、虚拟账号控制、文件类型过滤 |
|
终端公告提醒 |
给匹配条件的终端推送公告提醒页面 策略首次下发后会进行第一次推送,后续按间隔定期推送 |
|
高级配置 |
包含时间对象配置、老化时间配置、终端、终端型号配置 |
在导航栏中选择“策略配置 > 控制策略”,单击<优先级>按钮进入控制策略优先级配置页面,如图1-4所示。
控制策略优先级详细配置说明,如表1-4所示。
|
标题项 |
说明 |
|
被移动的策略ID |
被移动的策略索引 |
|
目标位置 |
移动后的位置: · 策略最前指移动到所有策略的最前面 · 策略ID之前指移动到某条固定的策略之前 · 策略ID之后指移动到某条固定的策略之后 · 策略最后指移动到所有策略的后面 |
|
目标位置策略ID |
参考策略索引,可以选择对应策略ID,将当前策略移动到该策略ID之前或之后 |
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-5所示。勾选要启用或者禁用的控制策略,单击<启用>或<禁用>按钮可以启动和禁用该控制策略。
图1-5 控制策略启用和禁用
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面。单击需要复制的控制策略后面的
按钮,然后单击<确定>按钮,进入复制后的策略编辑页面,最后单击<提交>按钮即可以对该控制策略进行复制,生成一个新的控制策略。
图1-6 复制控制策略
图1-7 复制控制策略编辑界面
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-8所示。勾选要删除的控制策略,单击<删除>按钮或点击操作中<删除>按钮,可以删除该控制策略。
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-9所示。勾选要清除匹配计数的控制策略,单击<匹配次数清零>按钮可以清除该控制策略的匹配计数。
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-10所示。勾选允许或拒绝单选框,可以修改默认控制策略行为。
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-11所示。单击查询,填写过滤条件可以查询出符合该过滤条件的控制策略。
控制策略查询配置详细说明,如表1-5所示。
|
标题项 |
说明 |
|
ID |
被查询的策略索引 |
|
源接口/域 |
策略所选择的源接口 |
|
源地址 |
策略所配置包含该地址的地址对象,可基于地址对象、IP地址和域名查询 |
|
用户 |
策略所选择的用户 |
|
目的接口/域 |
策略所选择的目的接口 |
|
目的地址 |
策略所配置包含该地址的地址对象,可基于地址对象、IP地址搜寻和域名查询 |
|
服务 |
策略所选择的服务 |
|
描述 |
策略所对应的描述信息 |
在导航栏中选择“策略配置>控制策略”,进入控制策略显示页面,如图1-12所示。移动到左边,点击
,会弹出策略分组管理页面。
策略分组详细说明,如表1-6所示。
|
标题项 |
说明 |
|
|
新建策略分组 |
|
|
修改策略分组名称 |
|
|
删除策略分组 |
禁止公司员工上班时间(8:00—18:00)访问QQ。
(1) 配置日计划
在导航栏中选择“策略配置 > 对象管理 > 时间对象”,点击“日计划”标签页,进入日计划显示页面。单击<新建>按钮,进入日计划配置页面,如图1-13所示。
点击<提交>按钮,提交配置。
(2) 配置控制策略
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,进入控制策略配置页面,行为选择拒绝,勾选日志,在“匹配条件”页面中,应用类型选择“即时通讯 > QQ”,如图1-14所示。
单击选择“高级配置”标签页,时间选择已配置的时间对象,如图1-15所示。
配置完成后,公司员工在8:00—18:00的时间范围内无法登录QQ,但在其它时间是可以登录的。
控制策略不仅适用于IPv4网络,也同样适用于IPv6网络的,可以对通过设备的源接口、目的接口、源IPv6地址、目的IPv6地址、服务、用户以及应用七元组进行访问控制。
· 匹配基于IPv6的控制策略,用户识别范围需要配置为any或者识别方式配置为启发模式。
· 匹配基于IPv6的控制策略,需要在命令行启用IPv6 enable功能。
内网用户通过设备访问远端服务器,通过控制策略禁止内网用户访问远端IPv6的HTTP服务器和FTP服务器。
图1-16 IPv6控制策略组网图
(1) 配置基于IPv6地址对象。
在导航栏中选择“策略配置 > 对象管理 > 地址对象”,单击<新建>按钮,新建一条地址对象。
图1-17 新建IPv6地址对象
(2) 配置基于IPv6的URL控制策略。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,新建一条控制策略,在“URL过滤”标签页下新建一条URL控制策略,URL分类选择其他类,处理动作选择拒绝,日志级别配置通知,提交策略。
图1-18 新建URL控制策略
图1-19 URL控制策略配置完成
(3) 配置应用过滤策略。
单击“应用过滤”标签页,新建一条应用过滤策略,在弹出的对话框中单击“选择应用”,应用分类选择“文件传输”,如图1-20所示。
处理动作选择“拒绝”,日志级别配置为“通知”,如图1-21所示。
点击<提交>按钮,提交应用过滤配置,如图1-22所示。
(4) 选择源地址为IPv6地址对象host。
单击“匹配条件”标签页,源地址选择“host”,如图1-23所示。
点击控制策略配置页面的<提交>按钮,完成IPv6策略配置,如图1-24所示。
图1-24 基于IPv6的控制策略配置完成
配置完成后,内网用户host通过IPv6地址能ping通远端IPv6服务器,访问远端服务器IPv6的HTTP服务和登录FTP服务被拒绝。
Web关键字过滤,支持针对搜索引擎内容的过滤、HTTP上传POST内容的过滤以及HTTP网页浏览内容的过滤,实现效果如下:
· 搜索引擎
对搜索引擎的搜索内容进行监控,提供告警、拒绝两种处理动作,并支持记录日志。
· HTTP上传
对http上传的POST内容进行监控,提供告警、拒绝两种处理动作,并支持记录日志,如:
web邮件过滤(发件人、收件人,主题、内容、附件名);
web社区论坛(发帖内容、附件上传)。
· 网页内容
支持所有http网页浏览内容过滤,网页内容必须为文本形式,不能为图片中的文字。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤 > WEB关键字”标签页,如图1-25所示。
图1-25 WEB关键字页面
页面上方的快捷功能按钮说明,如表1-7所示。
|
标题项 |
说明 |
|
新建 |
点击新建创建规则 |
|
删除 |
选中对应规则进行快捷删除 |
|
查询 |
支持根据条件查询规则 |
|
启用 |
支持选中对应规则进行快捷启用 |
|
禁用 |
支持选中对应规则进行快捷禁用 |
|
优先级 |
支持对选中规则调整优先级顺序 |
点击<查询>按钮,可根据条件查询规则,如图1-26所示。查询页面详细说明,如表1-8所示。
|
标题项 |
说明 |
|
ID |
根据ID查询WEB关键字规则 |
|
描述 |
根据描述查询WEB关键字规则 |
|
处理动作 |
根据处理动作查询WEB关键字规则 |
|
日志级别 |
根据日志级别查询WEB关键字规则 |
|
重置 |
清空当前查询页面信息 |
|
提交 |
提交后根据查询条件显示结果 |
|
取消 |
取消查询操作 |
点击<优先级>按钮,如图1-27所示。优先级配置详细说明,如表1-9所示。
|
标题项 |
说明 |
|
被移动策略ID |
当前操作的策略ID |
|
目标位置 |
移动的目标位置,包括:策略最前、策略ID之前、策略ID之后、策略最后 |
|
目标策略ID |
选择的目标策略ID,只有目标位置为策略ID之前和策略ID之后时此选项生效 |
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤 > WEB关键字 > 搜索引擎”标签页,点击<新建>进入搜索引擎规则配置界面,如图1-28所示。搜索引擎规则详细配置说明,如表1-10所示。
|
标题项 |
说明 |
|
启用 |
勾选后则启用搜索引擎规则 |
|
描述 |
搜索引擎规则的描述信息 |
|
关键字对象 |
选择关键字对象,支持通过<添加关键字>按钮来快速创建关键字对象 |
|
处理动作 |
处理动作包括:放行、阻断 |
|
日志级别 |
日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录 |
|
提交 |
提交后当前规则新建成功 |
|
取消 |
取消规则创建,不下发配置 |
搜索引擎规则创建成功后如图1-29所示。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤 > WEB关键字 > HTTP上传”标签页,点击<新建>进入HTTP上传规则配置界面,如图1-30所示。HTTP上传规则详细配置说明,如表1-11所示。
图1-30 HTTP上传规则
表1-11 HTTP上传规则详细配置说明
|
标题项 |
说明 |
|
启用 |
勾选后则启用HTTP上传规则 |
|
描述 |
HTTP上传规则的描述信息 |
|
关键字对象 |
选择关键字对象,支持通过<添加关键字>按钮来快速创建关键字对象 |
|
处理动作 |
处理动作包括:放行、阻断 |
|
日志级别 |
日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录 |
|
提交 |
提交后当前规则新建成功 |
|
取消 |
取消规则创建,不下发配置 |
HTTP上传规则创建成功后如图1-31所示。规则显示详细说明,如表1-12所示。
图1-31 HTTP上传规则配置显示
表1-12 HTTP上传规则显示详细说明
|
标题项 |
说明 |
|
ID |
规则对应ID,代表规则优先级 |
|
描述 |
规则描述信息显示 |
|
关键字 |
规则引用的关键字对象 |
|
动作 |
规则动作,包括:放行、阻断 |
|
级别 |
规则日志级别,包括:紧急、告警、严重、错误、警告、通知、信息、调试、不记录 |
|
启用 |
规则启用状态显示,包括:启用和禁用 |
|
操作 |
支持对当前规则进行编辑和删除 |
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤 > WEB关键字 > 网页内容”标签页,点击<新建>进入网页内容规则配置界面,如图1-32所示。网页内容规则详细配置说明,如表1-13所示。
|
标题项 |
说明 |
|
启用 |
勾选后则启用网页内容规则 |
|
描述 |
网页内容规则的描述信息 |
|
关键字对象 |
选择关键字对象,支持通过<添加关键字>按钮来快速创建关键字对象。 |
|
处理动作 |
处理动作包括:放行、阻断 |
|
日志级别 |
日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录 |
|
提交 |
提交后当前规则新建成功 |
|
取消 |
取消规则创建,不下发配置 |
网页内容规则创建成功后如图1-33所示。规则显示详细说明,如表1-14所示。
|
标题项 |
说明 |
|
ID |
规则对应ID,代表规则优先级 |
|
描述 |
规则描述信息显示 |
|
关键字 |
规则引用的关键字对象 |
|
动作 |
规则动作,包括:放行、阻断 |
|
级别 |
规则日志级别,包括:紧急、告警、严重、错误、警告、通知、信息、调试、不记录 |
|
启用 |
规则启用状态显示,包括:启用和禁用 |
|
操作 |
支持对当前规则进行编辑和删除 |
针对内网用户上网不允许搜索引擎查找敏感关键字“毒品”,不允许外发WEB邮件内容包含敏感关键字“内网资产”,不允许浏览包含关键字“新闻”的网页。
图1-34 WEB关键字组网图
(1) 创建解密策略。
由于部分测试网站为https加密网站,需要解密后才能识别到关键字,所以需要先创建解密策略,在导航栏中选择“策略配置 > SSL解密策略”,单击<新建>按钮,配置解密策略。完成配置后点击<提交>按钮下发配置,如图1-35所示。
(2) 创建关键字对象。
在导航栏中选择“策略配置 > 对象管理 > 关键字对象”,单击<新建>按钮,进入关键字对象配置页面,配置关键字对象。点击<提交>按钮,提交配置,如图1-36所示。
(3) 创建WEB关键字过滤规则
在导航栏中选择“策略配置 > 控制策略”,点击<新建>按钮,在弹出页面中单击选择“应用过滤 > WEB关键字”,分别创建搜索引擎规则、HTTP上传规则、网页内容规则,如图1-37、图1-38、图1-39所示。
图1-38 HTTP上传规则
点击<提交>按钮,提交配置。
(1) 搜索引擎结果验证
使用百度搜索引擎搜索关键字“毒品”,访问被阻断,无结果回显,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图1-40、图1-41所示。
(2) WEB邮箱结果验证
使用126邮箱发送邮件,发送内容为“内网资产信息请查收”的邮件无法发送成功,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图1-42、图1-43所示。
(3) 网页浏览结果验证
使用测试PC访问腾讯网站www.qq.com,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图1-44、图1-45所示。
URL过滤是基于URL分类来对用户访问WEB站点进行控制,控制动作包含允许和拒绝。这样可以通过对HTTP协议的控制为用户提供应用级的安全防护和访问限制。
对URL或恶意URL进行控制,需要配置解密类型为HTTPS解密的SSL解密策略,且HTTPS对象需包含访问HTTPS页面的域名,用户访问HTTPS页面被阻断时,才可以弹出阻断提示信息。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“URL过滤 > URL控制”标签页,新建URL过滤策略,如图1-46所示。URL过滤策略页面详细配置说明,如表1-15所示。
图1-46 URL过滤策略
表1-15 URL过滤策略详细配置
|
标题项 |
说明 |
|
启用 |
勾选后则启用URL过滤策略 |
|
DNS过滤 |
勾选后则启用DNS过滤功能 启用DNS过滤功能且URL策略配置为阻断时,终端访问域名时,DNS查询请求无法通过设备转发出去,终端无法获得要访问的域名的IP地址 |
|
描述 |
URL过滤策略的描述信息 |
|
URL分类 |
URL预定义分类和自定义分类 |
|
处理动作 |
处理动作包括:允许、拒绝 |
|
日志级别 |
日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录 |
|
提交 |
提交后当前规则新建成功 |
|
取消 |
取消规则创建,不下发配置 |
URL过滤策略创建成功后如图1-47所示。策略显示详细说明,如表1-16所示。
图1-47 URL过滤策略配置显示
表1-16 URL过滤策略配置显示详细说明
|
标题项 |
说明 |
|
ID |
策略对应ID,代表策略优先级 |
|
描述 |
策略描述信息显示 |
|
URL分类 |
URL预定义分类和自定义分类 |
|
动作 |
规则动作,包括:允许、拒绝 |
|
级别 |
规则日志级别,包括:紧急、告警、严重、错误、警告、通知、信息、调试、不记录 |
|
启用 |
规则启用状态显示,包括:启用和禁用 |
|
操作 |
支持对当前规则进行编辑和删除 |
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“URL过滤 > 恶意URL”标签页,如图1-48所示。恶意URL过滤页面详细配置说明,如表1-17所示。
表1-17 恶意URL过滤详细配置
|
标题项 |
说明 |
|
过滤 |
勾选后则启用恶意URL过滤策略 |
|
不过滤 |
勾选后则关闭恶意URL过滤策略 |
针对内网用户不允许访问”新闻媒体”网站。
图1-49 应用控制组网图
(1) 创建URL过滤策略
在导航栏中选择“策略配置 > 控制策略”,点击<新建>,选择“URL过滤 > URL控制”标签页,创建URL过滤策略,点击<提交>按钮提交配置,如图1-50所示。
图1-50 创建URL过滤策略
使用终端访问腾讯新闻网站news.qq.com,访问被阻断,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图1-51、图1-52所示。
针对内网用户不允许获取“新闻媒体”类型的DNS。
图1-53 应用控制组网图
(1) 创建URL过滤策略
在导航栏中选择“策略配置 > 控制策略”,点击<新建>按钮,选择“URL过滤 > URL控制”标签页,创建URL过滤策略,并且勾选DNS过滤,如图1-54所示。
图1-54 创建URL过滤策略
点击<提交>按钮,提交配置。
使用终端访问腾讯新闻网站news.qq.com,因为无法通过DNS获取IP地址,访问被阻断,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图1-55所示。
图1-56 应用控制日志
应用控制是基于应用对象来进行控制,控制动作包含允许和拒绝。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>,选择“应用过滤 > 应用控制”标签页,新建应用控制策略,如图1-57所示。应用控制页面详细配置说明,如表1-18所示。
|
标题项 |
说明 |
|
启用 |
勾选后则启用搜索引擎规则 |
|
描述 |
搜索引擎规则的描述信息 |
|
应用 |
应用对象,通过点击<选择应用>弹框来选择相关的应用 |
|
处理动作 |
处理动作包括:告警、拒绝 |
|
日志级别 |
日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录 |
|
提交 |
提交后当前规则新建成功 |
|
取消 |
取消规则创建,不下发配置 |
应用控制策略创建成功后如图1-58所示。
针对内网用户不允许玩游戏,将所有游戏应用全部阻断。
图1-59 应用控制组网图
(1) 创建应用控制策略
在导航栏中选择“策略配置 > 控制策略”,点击<新建>按钮,在弹出页面中选择“应用过滤 > 应用控制”标签页,创建应用控制策略。点击<提交>按钮提交配置,如图1-60所示。
使用终端无法登录腾讯QQ游戏,可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图1-61所示。
邮件控制策略页面包含发件人过滤、收件人过滤、标题及内容过滤、邮件大小以及附件个数过滤。发件人和收件人过滤包括功能开启、策略属性(黑白名单)以及关键字配置。标题及内容支持关键字配置。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤 > 邮件控制”标签页,进入如图1-62所示页面。在该页面上,可以查看已经配置的邮件控制信息。
邮件控制的显示信息的详细说明如表1-19所示。
|
标题项 |
说明 |
|
启用 |
开启邮件控制功能 |
|
发件人过滤-黑名单 |
黑名单的用户发送邮件会被阻断 |
|
发件人过滤-白名单 |
仅允许白名单的用户发送邮件 |
|
收件人过滤-黑名单 |
黑名单的用户收邮件会被阻断 |
|
收件人过滤-白名单 |
仅允许白名单的用户收邮件 |
|
标题和内容关键字 |
标题和内容中带有配置的关键字的将会被阻断 |
|
邮件大小 |
发送邮件的大小,如果超过配置值将会被阻断 |
|
附件个数 |
发送附件个数如果大于配置值将会被阻断 |
|
日志 |
邮件被阻断会发送阻断日志,阻断级别可以选择 |
用户test发送邮件大小超过5M,发送的邮件被阻断。
图1-63 邮件控制组网图
(1) 创建用户test
在导航栏选择“用户管理 > 用户组织结构”,新建“test”用户,如图1-64所示。
(2) 配置控制策略
进入“策略配置 > 控制策略”,单击<新建>按钮,在“匹配条件”页面,选择用户“test”,并点击<提交>。如图1-65所示。
图1-65 配置控制策略
(3) 配置邮件控制策略
在“控制策略配置”页面,选择“应用过滤 > 邮件控制”,配置邮件控制策略,邮件大小设置为5M,并点击<提交>按钮提交该页配置,如图1-66所示。
图1-66 配置邮件控制
(1) 用户test通过本地认证后过设备发送大于5M的邮件,邮件发送失败,如图1-67所示。
(2) 设备应用控制记录阻断日志,可以查看详情的日志信息,如图1-68、图1-69所示。
QQ虚拟账号控制是指控制策略根据所引用关键字对象设置待过滤账号,只允许引用单个关键字对象,关键字过滤只支持精确匹配。根据匹配到的动作(黑名单或白名单)进行QQ账号控制并产生应用控制日志。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤 > 虚拟账号”标签页,进入虚拟账号配置页面,如图1-70所示。在该页面上可以配置虚拟账号功能。各个配置项含义如表1-20所示。
|
标题项 |
说明 |
|
启用 |
启用虚拟账号功能,未启用状态下无法配置黑白名单 |
|
黑名单 |
启用虚拟账号黑名单,引用关键字对象,可以直接点击<添加关键字>按钮添加关键字对象 |
|
白名单 |
启用虚拟账号白名单,引用关键字对象,可以直接点击<添加关键字>按钮添加关键字对象 |
|
日志级别 |
选择匹配到虚拟账号后产生的虚拟账号控制日志级别 |
如图1-71所示,公司内网供内部人员使用,无线WIFI供访客使用,具体需求如下:
· 针对内网用户,公司内部人员只放行特定的QQ账户上网,其它QQ号阻断登录。
· 针对无线WIFI网络,阻断特定QQ账户,其它QQ放行可以上网。
(1) 配置地址对象
在导航栏选择“策略配置 > 对象管理 > 地址对象”,点击<新建>按钮,创建地址对象,配置“内网用户”地址对象和“无线wifi”地址对象。如图1-72、图1-73所示。
图1-72 添加内网用户地址对象
图1-73 添加无线wifi地址对象
在导航栏选择“策略配置 > 对象管理 > 关键字对象”,点击<新建>按钮,创建关键字对象,配置“QQ白名单”关键字对象和“QQ黑名单”关键字对象,如图1-74、图1-75所示。
图1-74 添加QQ白名单对象
图1-75 添加QQ黑名单对象
(3) 配置控制策略,虚拟账户配置白名单。
在导航栏选择“策略配置>控制策略”,点击<新建>按钮,进入控制策略配置页面,源地址对象选择“内网用户”,如图1-76所示。
图1-76 控制策略配置内网用户源地址
选择“应用过滤 > 虚拟账号”标签页,进入虚拟账号配置页面,虚拟账号启用白名单,如图1-77所示。
(4) 配置控制策略,虚拟账户配置黑名单。
通过菜单“策略配置 > 控制策略”,点击<新建>按钮,进入控制策略配置页面,源地址对象选择“无线wifi”,如图1-78所示。
选择“应用过滤 > 虚拟账号”标签页,进入虚拟账号配置页面,虚拟账号启用黑名单,如图1-80所示。
(1) 内网用户匹配白名单策略效果
通过菜单“数据中心 > 日志中心 > 控制日志 > 应用控制日志”,查看虚拟控制日志。内网用户使用白名单关键字内的QQ账户可以登录,不记录控制日志。使用白名单以外的QQ账户,登录账户阻断后,点击日志详情可以查看匹配的策略名称和阻断账户,如图1-80所示。
(2) 无线WIFI网段用户匹配黑名单策略效果
通过菜单“数据中心 > 日志中心 > 控制日志 > 应用控制日志”,查看虚拟控制日志。无线WIFI网段用户使用黑名单以外的关键字登录QQ,可以登录不记录控制日志。使用黑名单关键字的账户登录QQ阻断后查看控制日志,点击日志条目详细可以看到匹配的策略名称和阻断账户,如图1-81所示。
图1-81 无线WIFI用户匹配黑名单日志
利用网络来进行文件传输是许多用户的重要途径之一,而在文件传输过程中存在种种管理和安全隐患,如用户有意泄密者甚至会将外发文件的后缀名修改,然后通过HTTP、FTP协议进行外发则会产生文件的泄漏等安全风险。
支持基于文件类型的过滤行为,封堵HTTP、FTP协议传输文件。基于特征能够识别真实的文件类型,即便存在修改、删除外发文件后缀名,也能发现并且告警,保护组织的信息资产安全。
(1) 文件后缀超过15个字符时,日志记录会截断前15个字符。
(2) 阻断FTP时,本地会创建临时的文件。
(3) 升级特征库,预定义文件类型需要手动点击重置才可以更新。
(4) 真实文件类型识别中:jpg和jpeg无法区分。
(5) 开启真实文件类型过滤后,如果识别到真实文件类型为png,但配置为jpg阻断,文件名称后缀为.jpg,不会实现阻断,开启真实文件类型识别后优先进行真实文件判断。
(6) 默认真实文件类型识别为关闭状态。
(7) 解密后真实文件类型应用支持:163邮箱(上传/下载)、QQ邮箱下载、126邮箱(上传/下载)、百度网盘下载、360云盘非真实文件类型上传和真实文件类型下载。
(8) 真实文件识别支持类型包括:avi、mp4、mp3、chm、jpg、jpeg、gif、bmp、tiff、png、dcm、heic、ico、jxr、psd、 zip、rar、gz、7z、docx、pptx、xlsx、pdf、rtf。
(9) 文件类型对象匹配不区分大小写,配置ZIP与配置zip阻断效果一样。
(10) 如果使用的FTP连接端口为非标准端口,需要在设备中配置FTP非标准端口,配置后就可以正常控制了,HTTP均是正常可以控制的。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤 > 文件类型过滤”标签页,进入如图1-82所示页面。在该页面上,点击<新建>按钮,进入文件类型过滤配置界面,如图1-83所示。
文件类型过滤详细配置详细说明如表1-21所示。
|
标题项 |
说明 |
|
启用 |
勾选后则启用该文件类型过滤策略 |
|
描述 |
文件类型过滤策略的描述信息 |
|
文件类型分类 |
选择文件类型对象,支持通过<添加文件类型>按钮来快速创建文件类型对象 |
|
传输方向 |
传输方向包括:上传、下载,分别表示HTTP和FTP的上传和下载 |
|
排除网站 |
仅对http上传下载有效,可以选择URL分类对象进行排除 |
|
处理动作 |
处理动作包括:允许、拒绝 |
|
日志级别 |
日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录 |
|
提交 |
提交后当前规则新建成功 |
|
取消 |
取消规则创建,不下发配置 |
文件类型过滤策略创建成功后如图1-84所示。
在导航栏中选择“策略配置 > 对象管理 > 应用识别模式”,单击<应用识别高级配置>标签页,可以跳转到应用识别高级审计页面,在该页面选择是否开启真实文件类型识别,如图1-85所示。
· 真实文件识别支持类型如下:avi、mp4、mp3、chm、jpg、jpeg、gif、bmp、tiff、png、dcm、heic、ico、jxr、psd、 zip、rar、gz、7z、docx、pptx、xlsx、pdf、rtf。
· 开启真实文件类型识别后,下载/上传该文件在支持类型列表中就会识别其真实文件类型,即使修改该文件的后缀名,也会只识别其真实的文件类型。
针对通过FTP或者HTTP下载图片文件(JPG)的用户进行阻断。
图1-86 文件类型过滤配置组网图
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤>文件类型过滤”标签页,点击<新建>按钮,创建文件类型过滤策略。点击<提交>按钮提交配置,如图1-87所示。
使用测试PC通过HTTP或者FTP无法下载png图片文件,该操作被阻断,可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中查看相应阻断日志,如图1-88所示。
随着网络化的普及,网络的管理也日趋精细,经常需要在网络内部发布公告或通知内容。网络内部可以选择使用终端公告提醒功能,公告发布后,内网终端能够在访问网页时重定向到公告页面,以达到公告的目的。
在导航栏选择“策略配置 > 控制策略”,单击<新建>按钮,点击“终端公告提醒”标签页,进入如图1-89所示页面。在该页面上可以配置终端公告推送的相关功能。各个配置项含义如表1-22所示。
终端公告提醒配置的详细说明如表1-22所示。
|
标题项 |
说明 |
|
启用 |
勾选复选框表示开启终端公告推送功能 |
|
提醒频率(间隔) |
按配置间隔阈值,周期性进行公告提醒 |
|
提醒频率(定时) |
配置定时时间,定时进行公告提醒 |
|
页面选择 |
可以选择: · 使用设备内置的公告页面 · 使用外部的公告页面 |
高级配置包含时间、老化时间、终端配置,时间中引用时间对象使控制策略的生效时间,老化时间控制命中此控制策略的会话存活周期,终端可以控制当前控制策略基于哪些类型的终端生效。
在导航栏选择“策略配置 > 控制策略”,单击<新建>按钮,点击“高级配置”标签页,进入如图1-90所示页面。各个配置项含义如表1-23所示。
|
标题项 |
说明 |
|
时间 |
策略生效时间,可以引用时间对象 |
|
老化时间 |
基于策略的老化时间,命中此策略的会话按此时间进行老化,默认为0 |
|
终端 |
终端型号,包含:any、移动终端、PC、多终端 |
|
终端型号 |
选择终端型号,默认为any 此功能依赖于第三方用户同步中的ddi终端用户功能,需要将终端型号信息同步给设备 |
点击<选择终端>,弹出如图1-91所示页面。各个配置项含义如表1-24所示。
|
标题项 |
说明 |
|
已选终端 |
显示已选择的终端类型配置 |
|
终端类型 |
终端类型包含: · any:所有终端类型 · 移动终端:基于Android或IOS系统的智能手机或Pad · PC:基于Windows操作系统的PC或笔记本 · 多终端:单个IP下同时存在PC和移动终端 |
|
名称 |
终端类型的名称 |
|
描述 |
终端类型实际含义的描述信息 |
针对公司内部网络,不允许移动终端用户通过WIFI热点接入,进行上网,防止降低工作效率。
图1-92 终端控制组网图
(1) 创建终端控制策略,在导航栏中选择“策略配置 > 控制策略”,点击<新建>按钮,进入控制策略配置页面,行为选择“拒绝”,“高级配置”标签页下的终端选择“移动终端”,如图1-93所示。
(2) 点击<提交>按钮,提交配置。
在办公电脑上,启用360wifi,使用移动终端连接wifi,访问网页,被阻断,PC端可以正常访问网络,如图1-94、图1-95所示。
图1-95 PC端可以正常访问网络
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
