• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(R6611P06 E6401)-6W108

目录

51-全局白名单典型配置举例

本章节下载 51-全局白名单典型配置举例  (447.82 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(R6611P06_E6401)/202204/1587576_30005_0.htm

51-全局白名单典型配置举例


1  简介

本文档介绍ACG1000设备全局白名单功能配置举例,ACG设备上配置全局白名单功能之后,针对配置白名单的用户网络基础转发会匹配,应用识别会匹配,其它策略模块流程将都不会匹配,直接放通处理。

全局白名单配置支持IP地址和MAC地址两种格式。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解全局白名单特性。

3  全局白名单配置举例

3.1.1  组网需求

图1所示,某企业对内网用户10.1.1.0/24和10.1.2.0/24工作时间都将进行审计并控制登录即时通讯软件,但是对该内网用户中10.1.2.2地址不需要进行审计和控制,通过全局白名单实现该需求。

图1 全局白名单组网

 

3.1.2  配置思路

·     配置设备接口地址、路由及NAT。

·     配置内网用户地址对象及地址对象组。

·     配置时间对象。

·     配置用户识别范围。

·     配置IPv4审计策略。

·     配置IPv4控制策略。

·     配置全局白名单。

3.1.3  使用版本

本举例是在R6611P01版本上进行配置和验证的。

3.1.4  配置步骤

(1)     配置接口地址

图2所示,进入“网络配置>接口配置>物理接口”,点击ge1、ge4<编辑>按钮,分别配置ge1和ge4为10.1.3.1/24、192.168.2.37/24。

图2 配置接口地址

 

(2)     配置静态路由

图3所示,进入“网络配置>路由管理>静态路由”,配置访问外网的默认路由及去往内网用户网段10.1.1.0/24,10.1.2.0/24路由。

图3 配置静态路由

 

(3)     配置源NAT

(3)图4所示,进入“策略配置>NAT转换策略>源NAT”,配置源NAT。

图4 配置源NAT

(4)     配置内网用户地址对象

(4)图5所示,进入“策略配置>对象管理>地址对象>IPv4地址对象”,点击<新建>按钮创建内网用户地址对象10.1.1.0/24和10.1.2.0/24,点击<提交>。

图5 配置内网用户地址对象

 

(5)     配置地址组对象

图6所示,进入“策略配置>对象管理>地址对象>地址组对象”,点击<新建>按钮创建地址组对象,将研发部和产品部两个地址对象添加至地址组中。

图6 配置地址组对象

 

(6)     配置用户识别范围

(6)图7所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“内网用户”,其它配置默认,提交配置。

图7 用户识别范围

 

(7)     配置IPv4审计策略

图8所示,进入“策略配置>IPv4审计策略”,源地址选择内网用户,审计对象配置所有,时间选择工作时间,其它配置默认,<提交>策略。

图8 配置IPv4审计策略

 

(8)     配置IPv4控制策略

图9所示,进入“策略配置>IPv4控制策略”,源地址选择内网用户,应用控制策略配置一条应用选择即时通讯类动作配置拒绝,日志级别配置通知,时间选择工作时间,其它配置默认,<提交>策略。

图9 配置IPv4控制策略

 

(9)     配置全局白名单

图10所示,进入“策略配置>全局白名单”,点击<新建>配置一条地址10.1.2.2的全局白名单策略。

图10 配置全局白名单

 

3.1.5  配置注意事项

·     配置的全局白名单地址必须在用户识别范围中,且全局白名单地址只匹配会话中源IP和源MAC。

3.1.6  验证配置

图11所示,分别使用白名单用户(10.1.2.2)和非白名单用户(10.1.1.11)工作时间访问外网,白名单用户访问外网没有相关上网行为审计日志,非白名单用户访问外网有相关上网行为审计日志。

图11 非白名单用户访问外网审计日志

 

图12所示, 白名单用户(10.1.2.2)非白名单用户(10.1.1.11)工作时间分别登录QQ和微信即时通讯聊天软件,只有白名单用户能登录,无相关日志;非白名单用户无法登录,有相应的应用控制阻断日志。

图12 非白名单用户登录即时聊天软件被阻断日志

 

4  配置文件

!

interface ge1

 ip address 10.1.3.1/24

 allow access https

 allow access http

 allow access ping

 allow access ssh

 allow access telnet

!

interface ge4

 traffic-mode extern

 ip address 192.168.2.37/24

 allow access https

 allow access http

 allow access ping

 allow access ssh

 allow access telnet

!

address 研发部

 ip subnet 10.1.1.0/24

!

address 产品部

 ip subnet 10.1.2.0/24

!

address-group 内网用户

 member 研发部

 member 产品部

!

schedule-day 工作时间

 periodic start 09:00 end 18:00

!

whitelist 10.1.2.2

 enable

 address 10.1.2.2

!

policy any any 内网用户 any any any any 工作时间 any permit 1

  app-policy control 1 action deny log-level notice 

  app-policy control 1 application IM_Software

  app-policy control 1 enable

policy default-action permit

policy white-list enable

!

audit_policy any any 内网用户 any any 工作时间 all any 1

    log level info

audit associate enable

!

ip route 0.0.0.0/0 192.168.2.1

ip route 10.1.1.0/24 10.1.3.2

ip route 10.1.2.0/24 10.1.3.2

!

user-param recognition scope 内网用户 strict

!

ip nat source ge4 any any any interface 1

!

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们