• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(R6611P06 E6401)-6W108

目录

02-IPv4控制策略典型配置举例

本章节下载 02-IPv4控制策略典型配置举例  (1.74 MB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(R6611P06_E6401)/202204/1587527_30005_0.htm

02-IPv4控制策略典型配置举例


1  简介

本文档介绍ACG1000设备IPv4控制策略配置举例,IPv4控制策略包含终端公告提醒、URL过滤控制,应用过滤控制、终端类型控制,应用过滤控制细分为:应用控制、邮件控制、WEB关键字、虚拟账号。本文针对部分功能进行详细配置的举例介绍,以引导用户快速了解功能。各功能实现效果简要介绍如下所示。

WEB关键字实现效果:

·     搜索引擎:

对搜索引擎的搜索内容进行监控,提供告警、拒绝两种处理动作,并支持记录日志。

·     HTTP上传:

对http上传的POST内容进行监控,提供告警、拒绝两种处理动作,并支持记录日志,如:

web邮件过滤(发件人、收件人,主题、内容、附件名);

web社区论坛(发帖内容、附件上传);

·     网页内容:

支持所有http网页浏览内容过滤,网页内容必须为文本形式,不能为图片中的文字。

虚拟账号控制实现效果:

只支持QQ虚拟账号的控制,关键字过滤只支持精确匹配。根据匹配到的动作(黑名单|白名单)进行QQ账号控制并产生应用控制日志。

邮件控制实现效果:

邮件控制策略页面包含发件人过滤、收件人过滤、标题及内容过滤、邮件大小以及附件个数过滤。发件人和收件人过滤包括功能开启、策略属性(黑白名单)以及关键字配置。标题及内容支持关键字配置。

终端公告提醒实现效果:

终端公告提醒:当内网终端在访问网页时重定向到公告页面,以达到推送公告的目的,可以设置公告推送频率,支持设备内置公告以及外部公告。

URL过滤实现效果:

URL过滤是基于URL分类来对用户访问WEB站点进行控制,控制动作包含允许和拒绝。这样可以通过对HTTP协议的控制为用户提供应用级的安全防护和访问限制。

终端类型控制实现效果:

终端类型定义如下:

any:所有终端类型。

移动终端:基于Android或IOS系统的智能手机或Pad。

PC:基于Windows操作系统的PC或笔记本。

在某此场景下,为了保证办公内网的安全,管理员只允许受控的办公电脑可以正常访问网络,对其通过wifi热点接入的移动终端进行控制,以达到管控的目的。

 

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了IPv4控制策略功能特性。

3  使用限制及注意事项

·     配置WEB关键字过滤规则之前需要先配置解密策略,由于涉及加密的网站较多,不配置解密无法识别到对应的关键字会导致关键字过滤失败。

·     WEB关键字附件上传过滤不支持压缩文件。

·     关键字过滤同一条流只要检查到第一个符合条件的关键字就会停止匹配。

·     关键字过滤不支持附件内容过滤。

·     关键字过滤字母不区分大小写。

·     网页内容过滤时,有时关键字在网页中的位置比较靠后,此时检测到关键字后,部分网页内容已经加载成功,此时会出现网页部分加载的情况。

·     苹果系统虚拟账户控制不生效,特征加密问题。

·     虚拟账户控制:QQ账号黑白名单关键字控制,关键字匹配为精确匹配。

·     虚拟账号控制依赖应用特征库,特征库不识别时无法控制。

·     移动端(安卓)测试虚拟账号控制时,需要关闭移动网络。

·     关键字条目规格512和1024条,每个关键字对象里可以配置1024个关键字。

·     旁路模式qq 阻断不生效。

·     虚拟账户白名单,应用控制不产生日志(只有黑名单阻断后才产生日志)。

·     虚拟账号黑白名单关键字默认显示为“-”。

·     虚拟账号黑名单引用关键字的内容为空,不控制qq登录,不引用关键字策略不生效,不阻断。

·     虚拟账号白名单引用关键字的内容为空(匹配不上),阻断qq登录,并产生日志。不引用关键字策略不生效,不阻断。

·     配置关键字内容为qq号(关键字精确匹配),qq过滤引用白名单。

·     下联终端使用关键字内的qq号码登录,匹配后可以正常登录,不记录控制日志。

·     下联终端使用非关键字内的qq号码登录,qq无法登录,控制日志处应该记录一条日志。

·     配置的虚拟账号阻断,应用控制放行 qq登录阻断前后会有一条放行的日志--- QQ登录识别报文和获取账号报文不在同一个报文中,前一个报文识别为QQ登录,未获取到QQ账号,命中了应用控制策略报放行日志。后一个报文获取到QQ账号,命中了虚拟账号策略,报阻断日志,此情况属于正常现象。

·     使用终端公告提醒功能时内网接口管理方式必须开启http,终端才能正常访问公告页面。

 

 

4  WEB关键字过滤功能配置举例

4.1  组网需求

图1所示,某公司网络管理员针对内网用户上网不允许搜索引擎查找敏感关键字:毒品,不允许外发WEB邮件内容包含敏感关键字:内网资产,不允许浏览包含关键字<新闻> 的网页。

图1 WEB关键字过滤组网

 

4.2  配置思路

·     在ACG上配置各接口地址,如拓扑图所示。

·     生成CA根证书。

·     导出CA根证书(P12格式)。

·     将CA根证书导入本地证书。

·     创建https对象。

·     创建解密策略。

·     创建关键字对象。

·     创建WEB关键字过滤策略。

·     在测试终端导入证书。

·     验证配置。

4.3  使用版本

本举例是在R6611P01版本上进行配置和验证的。

4.4  配置步骤

1. 配置路由接口

图2图3所示,在ACG上配置各接口地址。点击“网络配置>接口配置>物理接口”,配置接口IP地址。

图2 配置ge0接口

 

图3 配置ge1接口

 

2. 生成CA根证书

图4所示,点击“策略配置>对象管理>CA服务器>根CA配置管理”,在根证书管理中点击生成CA根证书,配置CA信息。

图4 配置CA根证书

 

图5所示,查看已生成的CA根证书。

图5 查看已生成的CA根证书

 

3. 导出CA根证书

图6所示,点击“策略配置>对象管理>CA服务器>根CA配置管理”,在根证书管理中点击导出CA根证书。

图6 导出CA根证书

 

图7所示,查看已导出的CA根证书。

图7 查看导出的CA根证书

 

4. 将CA根证书导入本地证书

图8所示,在“策略配置>对象管理>本地证书>证书>本地证书”,点击导入,选择之前导出的证书,导入即可,注意密码必须与之前设置的密码一致。

图8 将CA根证书导入到本地证书

 

图9所示,查看导入成功的本地证书。

图9 导入成功的本地证书

 

5. 创建https对象

图10所示,点击“策略配置>对象管理>URL对象>HTTPS对象”,创建https对象。

图10 https对象

 

6. 创建解密策略

图11所示,由于部分测试网站为https加密网站,需要解密后才能识别到关键字,所以需要先创建解密策略,在导航栏中选择“策略配置 > SSL解密策略”,单击<新建>按钮,配置完成后下发。

图11 解密策略

 

7. 创建关键字对象

图12所示,创建关键字对象,在导航栏中选择“策略配置>对象管理>关键字对象”,单击<新建>按钮,配置完成后下发。

图12 关键字对象

 

8. 创建WEB关键字过滤策略

图13图14图15所示,创建WEB关键字过滤规则,在导航栏中选择“策略配置 > IPv4控制策略”,点击<新建>,在弹出页面中依次单击<新建>、<应用过滤>、<WEB关键字>,分别创建搜索引擎规则、HTTP上传规则、网页内容规则。

图13 搜索引擎关键字规则

 

图14 HTTP上传关键字规则

 

图15 网页内容关键字规则

 

9. 在测试终端中导入证书

不同终端的导入证书方式不一样,具体方法请参考“解密策略典型配置举例”。

4.5  验证配置

(1)     搜索引擎结果验证

使用百度搜索引擎搜索关键字“毒品”,访问被阻断,无结果回显,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图16图17所示。

图16 关键字搜索结果

 

图17 应用控制日志

 

(2)     WEB邮箱结果验证

使用126邮箱发送邮件,内容为:内网资产信息请查收,点击发送,邮件无法发送成功,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图18图19所示。

图18 邮件发送

 

图19 应用控制日志

 

(3)     网页浏览结果验证

使用测试PC访问腾讯网站http://www.qq.com/,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图20图21所示。

图20 访问腾讯

 

图21 应用控制日志

 

5  虚拟账号过滤功能配置举例

5.1  组网需求

图22所示,公司内网存在内网用户供内部人员使用;无需wifi供访客使用,具体需求如下:

·     针对内网用户,公司内部人员只放行特定的QQ账户上网,其它qq号阻断登录。

·     针对无线wifi网络,阻断特定qq账户,其它qq放行可以上网。

图22 虚拟账户组网图

 

5.2  配置思路

按照组网图组网

·     新建地址对象

·     配置关键字对象。

·     IPv4控制策略虚拟账户处启用qq账户过滤

5.3  使用版本

本举例是在R6611P01版本上进行配置和验证的。

5.4  配置步骤

5.4.1  配置ACG1000系列产品

1. 配置地址对象

通过菜单“策略配置>对象管理 > 地址对象”,点击<新建>地址对象,配置“内网用户”地址对象和“无线wifi”地址对象。如图23图24所示。

图23 添加内网用户地址对象

 

图24 添加无线wifi地址对象

 

2. 配置关键字对象

通过菜单“策略配置>对象管理 > 关键字对象”,点击<新建>关键字对象,配置“QQ白名单”关键字对象和“QQ黑名单”关键字对象,如图25图26所示。

图25 添加QQ白名单对象

 

图26 添加QQ黑名单对象

 

3. 配置IPv4控制策略,虚拟账户配置白名单。

通过菜单“策略配置>IPv4控制策略”,点击<新建>进入IPv4控制策略配置页面,源地址对象选择“内网用户”,虚拟账户启用白名单,如图27图28所示。

图27 IPv4控制策略配置内网用户源地址

 

图28 IPv4控制策略配置虚拟账户白名单控制

 

4. 配置IPv4控制策略,虚拟账户配置黑名单。

通过菜单“策略配置 >策略配置 >  IPv4控制策略”,点击<新建>进入IPv4控制策略配置页面,源地址对象选择 “无线wifi”,虚拟账户启用黑名单,如图29图30所示。

图29 IPv4控制策略配置无线wifi源地址

 

图30 IPv4控制策略配置虚拟账户黑名单控制

 

 

5.5  验证结果

(1)     内网用户匹配白名单策略效果

通过菜单“数据中心 > 日志中心 > 控制日志 > 应用控制日志”,查看虚拟控制日志。内网用户使用白名单关键字内的QQ账户可以登录,不记录控制日志。使用白名单以外的QQ账户,登录账户阻断后,点击日志详情可以查看匹配的策略名称和阻断账户,如图31所示。

图31 内网用户匹配白名单日志

 

(2)     无线WIFI网段用户匹配黑名单策略效果

通过菜单“数据中心 > 日志中心 > 控制日志 > 应用控制日志”,查看虚拟控制日志。无线WIFI网段用户使用黑名单以外的关键字登录qq,可以登录不记录控制日志。使用黑名单关键字的账户登录qq阻断后查看控制日志,点击日志条目详细可以看到匹配的策略名称和阻断账户进入如图32所示的页面。

图32 无线WIFI用户匹配黑名单日志

 

6  邮件控制功能配置举例

6.1  组网需求

图33所示,针对内网用户test发送邮件大小超过5M,则不允许发送,避免大量占用公司出口带宽。

图33 邮件控制组网图

6.2  配置思路

·     创建用户test。

·     配置阻断策略,选择用户test。

·     配置本地web认证。

·     开启邮件阻断策略,邮件阻断大小设置为5M。

6.3  使用版本

本举例是在R6611P01版本上进行配置和验证的。

6.4  配置步骤

(1)     创建用户test

进入“用户管理 > 用户”,新建“test”用户,如图34所示。

图34 用户配置

 

(2)     配置IPv4控制策略

进入“策略配置 > IPv4控制策略”,在“匹配条件”页面,选择用户“test”,并点击<提交>。如图35所示。

图35 配置IPv4控制策略

 

(3)     配置邮件控制策略

在“IPv4控制策略配置”页面,选择“应用过滤 > 邮件控制”,配置邮件控制,邮件大小设置为5M,并点击<提交>按钮提交该页配置,如图36所示。

图36 配置邮件控制

 

(4)     配置认证策略

进入“用户管理> 认证管理 > 认证策略”,配置本地WEB认证策略,如图37所示。

图37 配置本地WEB认证

 

6.5  验证配置

(1)     用户test通过本地认证后过设备发送大于5M的邮件,邮件发送失败,如图38所示。

图38 邮件发送

 

(2)     设备应用控制记录阻断日志,可以查看详情,如图39所示。

图39 应用控制记录阻断日志

 

7  终端公告推送功能配置举例

7.1  组网需求

图40所示,某公司为了加强上网管理,拟定了一个上网准则公告,需要周期性进行网络内部推送,使用ACG1000设备的ge0和ge1接口以三层路由模式部署在网络中,ACG上联出口FW,下联二层交换机。ACG1000产品上开启移动终端公告推送功能,检测上网行为并周期推送公告提醒。

图40 终端公告推送组网

 

7.2  配置思路

·     配置设备接口地址及路由。

·     配置地址对象。

·     配置用户识别范围。

·     配置自定义公告内容。

·     开启移动终端公告推送功能。

7.3  使用版本

本举例是在R6611P01版本上进行配置和验证的。

7.4  配置步骤

1. 配置接口地址

图41图42所示,进入“网络配置>接口配置”页面,点击编辑ge0、ge1操作,把ge0、ge1的地址分别配置为10.0.219.110/24、192.168.1.1/24。

图41 配置ge0接口

 

图42 配置ge1接口

 

2. 配置静态路由

图43所示,进入“网络配置>路由管理>静态路由”页面,新建一条访问外网的默认路由。

图43 配置静态路由

 

3. 配置地址对象

图44所示,进入“策略配置>对象管理>地址对象>IPv4地址对象”页面,点击<新建>按钮创建内网用户地址对象,设置地址为192.168.1.0/24,点击<提交>。

图44 配置地址对象

 

4. 配置用户识别范围

图45所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“内网用户”,其它配置默认,提交配置。

图45 用户识别范围

 

5. 配置自定义公告内容

图46所示,进入“策略配置>对象管理>公告页面”,点击名称中“默认公告”,弹出自定义公告编辑页面。

图46 自定义公告

 

6. 开启终端公告推送功能

图47所示,进入“策略配置 > IPv4控制策略”页面,新建IPv4控制策略,源IP选择“内网用户”并开启终端公告推送功能。

图47 移动终端推送配置

 

7.5  配置注意事项

·     内网接口管理方式必须开启http,终端才能正常访问公告页面。

7.6  验证配置

图48所示,某员工使用1台PC访问http网站,会被推送上网准则公告。

图48 推送公告

 

 

8  终端类型控制配置举例

8.1  组网需求

图49所示,某公司内部网段IP地址172.16.11.0/24,要求不允许移动终端及多终端访问外网,使用ACG1000设备的ge0和ge1接口作为路由模式,串接部署在网络中,ACG上联出口FW,下联路由器。ACG1000产品上开启基于终端的IPv4控制策略,移动终端或多终端用户无法访问外网。

图49 基于终端类型的IPv4控制策略组网图

8.2  配置思路

l     配置接口

l     配置静态路由

l     配置地址对象

l     配置用户识别范围

l     配置IPv4控制策略

8.3  使用版本

本举例是在R6611P01版本上进行配置和验证的。

8.4  配置注意事项

8.5  配置步骤

8.5.1  配置ACG1000系列产品

1. 登录Web网管

图50所示,使用http或https的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。

图50 登录H3C ACG Web网关

 

2. 配置接口

图51所示,进入“网络配置>接口配置”页面,进入物理接口页面,点击<编辑>按钮,ge0和ge1分别配置10.0.219.110/24和172.16.11.1/24。

图51 配置接口

 

 

3. 配置静态路由

图52所示,进入“网络配置>路由管理>静态路由”,点击<新建>,配置一条缺省路由。

图52 配置静态路由

4. 配置地址对象

图53所示,进入“策略配置>对象管理>地址对象”,进入IPv4地址对象页面,点击<新建>,新建一个“内网地址”地址对象,地址范围:172.16.11.1/24。

图53 配置地址对象

5. 配置用户识别范围

图54所示,进入“用户管理>认证管理>高级选项”,进入全局配置页面,修改<识别范围>为“内网地址”,其余配置为默认配置。

图54 配置用户识别范围

 

6. 配置IPv4控制策略

图55所示,进入“策略配置 >策略配置 > IPv4控制策略”,进入IPv4控制策略页面,点击<新建>,配置一条IPv4控制拒绝策略,终端选择多终端和移动终端。

图55 配置IPv4控制策略

 

 

8.6  验证配置

图56所示,移动终端访问页面,提示访问出错

图56 移动终端无法上网

 

图57所示,进入“策略配置 >策略配置 > IPv4控制策略”,进入IPv4控制策略页面,可以查到策略匹配记录。

图57 IPv4控制策略计数

使用PC可以正常上网,未被阻断。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们