- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-URL过滤配置
本章节下载: 05-URL过滤配置 (368.17 KB)
目 录
1.6 在URL过滤策略中引用URL过滤告警动作参数profile
1.12.2 配置URL过滤仅对网站根目录下资源的访问进行日志记录
1.12.3 配置URL过滤对指定类型网页资源的访问不进行日志记录
URL过滤功能是指对用户访问的URL进行控制,即允许或禁止用户访问的Web资源,达到规范用户上网行为的目的。
URL(Uniform Resource Locator,统一资源定位符)是互联网上标准资源的地址。URL用来完整、精确的描述互联网上的网页或者其他共享资源的地址,URL格式为:“protocol://host[:port]/path/[;parameters][?query]#fragment”,格式示意如图1-1所示:
图1-1 URL格式示意图
URL各字段含义如表1-1所示:
表1-1 URL各字段含义表
|
字段 |
描述 |
|
protocol |
表示使用的传输协议,例如HTTP |
|
host |
表示存放资源的服务器的主机名或IP地址 |
|
[:port] |
(可选)传输协议的端口号,各种传输协议都有默认的端口号 |
|
/path/ |
是路径,由零或多个“/”符号隔开的字符串,一般用来表示主机上的一个目录或文件地址 |
|
[parameters] |
(可选)用于指定特殊参数 |
|
[?query] |
(可选)表示查询用于给动态网页传递参数,可有多个参数,用“&”符号隔开,每个参数的名和值用“=”符号隔开 |
|
URI |
URI(Uniform Resource Identifier,统一资源标识符)是一个用于标示某一互联网资源名称的字符 |
URL过滤功能实现的前提条件是对URL的识别。可通过使用URL过滤规则匹配URL中主机名字段和URI字段的方法来识别URL。
URL过滤规则是指对用户HTTP报文中的URL进行匹配的原则,且其分为两种规则:
· 预定义规则:根据设备中的URL过滤特征库自动生成,包括百万级的主机名或URI。预定义规则能满足多数情况下的URL过滤需求。
· 自定义规则:由管理员手动配置生成,可以通过使用正则表达式或者文本的方式配置规则中主机名或URI的内容。
URL过滤规则支持两种匹配方式:
· 文本匹配:使用指定的字符串对主机名和URI字段进行匹配。
¡ 匹配主机名字段时,首先判断主机名开头或结尾位置是否含有通配符“*”,若均未出现,则URL中的主机名字段与规则中指定的主机名字符串必须完全一致,才能匹配成功;若“*”出现在开头位置,则该字符串或以该字符串结尾的URL会匹配成功;若“*”出现在结尾位置,则该字符串或以该字符串开头的URL会匹配成功。若“*”同时出现在开头或结尾位置,则该字符串或含有该字符串的URL均会匹配成功。
¡ 匹配URI字段时,和主机名字段匹配规则一致。
· 正则表达式匹配:使用正则表达式对主机名和URI字段进行匹配。例如,规则中配置主机名的正则表达式为sina.*cn,则主机名为news.sina.com.cn的URL会匹配成功。
为便于管理员对数目众多的URL过滤规则进行统一部署,URL过滤模块提供了URL过滤分类功能,以便对具有相似特征的URL过滤规则进行归纳以及为匹配这些规则的URL统一指定处理动作。每个URL过滤分类具有一个严重级别属性,该属性值表示对属于此过滤分类URL的处理优先级。
URL过滤分类包括两种类型:
· 预定义分类:根据设备中的URL过滤特征库自动生成,其名称、内容和严重级别不可被修改。名称以Pre-开头。设备为预定义URL过滤分类保留的严重级别为最低,取值范围为1~999。URL过滤支持两级分类,包含父分类和子分类。仅支持预定义父分类,且父分类下仅包含预定义子分类。
· 自定义分类:由管理员手动配置,可修改其严重级别,可添加URL过滤规则。自定义分类严重级别的取值范围为1000~65535。
可通过URL过滤黑/白名单规则快速筛选出不需要进行URL过滤的报文。如果报文中的URL与URL过滤策略中的黑名单规则匹配成功,则丢弃此报文;如果与白名单规则匹配成功,则允许此报文通过。
一个URL过滤策略中可以配置如下内容:
· URL过滤分类及其处理动作。其中,处理动作包括:丢弃、允许、阻断、重置、重定向和生成日志。
· URL过滤黑/白名单规则。
以及对于未匹配到URL过滤策略(包括URL过滤分类、URL过滤黑/白名单和URL信誉)时,设备对报文执行的缺省动作。
当用户通过设备使用HTTP访问某个网络资源时,设备将对此HTTP报文进行URL过滤。URL过滤处理流程如图1-2所示:
图1-2 URL过滤实现流程图
URL过滤功能是通过在DPI应用profile中引用URL过滤策略,并在安全策略中引用DPI应用profile实现的,URL过滤实现流程如下:
(1) 设备对报文进行规则(即安全策略规则)匹配:
如果规则引用了URL过滤业务,设备将对匹配了规则的报文进行URL过滤业务处理。设备将提取报文的URL字段,并与URL过滤规则进行匹配。
有关安全策略的详细介绍请参见“安全配置指导”中的“安全策略”。
(1) 设备提取报文中的URL,并将其与URL过滤策略中的过滤规则进行匹配,如果匹配成功,则进行下一步处理;如果匹配失败,则进入步骤(4)的处理。
(2) 首先判断匹配的规则中是否存在URL过滤黑/白名单规则,如果存在白名单规则,设备将直接允许此报文通过;如果不存在白名单规则,则继续判断是否存在黑名单规则,如果存在,则设备将直接阻断此报文。其中,如果开启仅支持白名单功能,则仅判断匹配的规则中是否存在白名单规则。如果存在,则允许此报文通过;如果不存在,则将此报文阻断。不再进行后续流程的判断。
(3) 如果匹配的规则中不存在URL过滤黑/白名单规则,则进行如下判断:
a. 如果匹配的规则中存在自定义URL过滤分类规则,则根据各规则所属分类中严重级别最高的分类的动作对报文进行处理。如果匹配的规则中不存在自定义URL过滤分类规则,则继续进行下一步处理。
b. 如果匹配的规则中存在预定义URL过滤分类规则,则根据各规则所属分类中严重级别最高的分类的动作对报文进行处理。
(4) 如果设备上配置了URL过滤的缺省动作,则根据配置的缺省动作对此报文进行处理;否则直接允许报文通过。
URL过滤特征库是用来对经过设备的用户访问Web请求中的URL进行识别的资源库。随着互联网业务的不断变化和发展,需要及时升级设备中的URL过滤特征库,同时设备也支持URL过滤特征库回滚功能。
URL过滤特征库的升级包括如下几种方式:
· 定期自动在线升级:设备根据管理员设置的时间定期自动更新本地的URL过滤特征库。
· 立即自动在线升级:管理员手工触发设备立即更新本地的URL过滤特征库。
· 手动离线升级:当设备无法自动获取URL过滤特征库时,需要管理员先手动获取最新的URL过滤特征库,再更新本地的URL过滤特征库。
如果管理员发现设备当前URL过滤特征库对用户访问Web的URL过滤的误报率较高或出现异常情况,则可以将其回滚到出厂版本和上一版本。
URL过滤配置任务如下:
(5) (可选)配置URL过滤分类
(6) 配置URL过滤策略
(7) (可选)复制URL过滤策略或分类
(8) (可选)在URL过滤策略中引用URL过滤告警动作参数profile
(10) (可选)激活URL过滤的策略和规则配置
(11) 在安全策略中引用URL过滤业务
(12) 配置URL过滤特征库升级和回滚
(13) (可选)开启应用层检测引擎日志信息功能
(14) (可选)配置URL过滤日志信息筛选功能
当URL过滤特征库中预定义的URL过滤分类和URL过滤规则不能满足对URL的控制需求时,管理员可以自行创建URL过滤分类,并在分类中创建URL过滤规则。
不同URL过滤分类的严重级别不能相同,数值越大表示严重级别越高。
(15) 进入系统视图。
system-view
(16) 创建URL过滤分类,并进入URL过滤分类视图。
url-filter category category-name [ severity severity-level ]
缺省情况下,只存在预定义的URL过滤分类,且分类名称以字符串Pre-开头。
自定义的URL过滤分类不能以字符串Pre-开头。
(17) (可选)配置URL过滤分类的描述信息。
description text
(18) 配置URL过滤规则,请至少选择其中一项进行配置。
¡ 配置自定义URL过滤规则。
rule rule-id host { regex regex | text string } [ uri { regex regex | text string } ]
¡ 添加预定义URL过滤分类中的规则。
include pre-defined category-name
缺省情况下,URL过滤分类中未添加预定义URL过滤分类中的规则。
URL过滤功能基于URL过滤策略实现,请选择以下一项任务进行配置:
¡ 配置URL过滤分类动作
¡ 配置URL过滤分类缺省动作
¡ (可选)配置白名单/黑名单规则
当动作配置为logging时,设备将记录日志并支持如下两种方式输出日志。
· 快速日志:此方式生成的日志信息直接发送到管理员指定的日志主机。
· 系统日志:此方式生成的日志信息将发送到信息中心,由信息中心决定日志的输出方向。本业务产生的系统日志不支持输出到控制台和监视终端。如需快速获取日志信息,可通过执行display logbuffer命令进行查看。
系统日志会对设备性能产生影响,建议采用快速日志方式。
有关display logbuffer命令的详细介绍,请参见“设备管理命令参考”中的“信息中心”;有关快速日志的详细介绍,请参见“设备管理命令参考” 中的“快速日志输出”。
(19) 进入系统视图。
system-view
(20) 创建URL过滤策略,并进入URL过滤策略视图。
url-filter policy policy-name
(21) 配置URL过滤分类动作。
category category-name action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
缺省情况下,未配置URL过滤分类动作。
若报文成功匹配的URL过滤规则中存在多个URL过滤分类的规则,则根据严重级别最高的URL过滤分类中指定的动作对此报文进行处理。
(22) (可选)配置URL过滤策略的缺省动作。
default-action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
(23) (可选)向URL过滤策略中添加黑/白名单规则。
add { blacklist | whitelist } [ id ] host { regex host-regex | text host-name } [ uri { regex uri-regex | text uri-name } ]
(24) (可选)开启内嵌白名单功能。
referer-whitelist enable
缺省情况下,内嵌白名单功能处于开启状态,用户可以访问白名单网页下内嵌的其他网页链接。
(25) (可选)重命名URL过滤策略,并进入新的URL过滤策略视图。
rename new-name
当管理员只希望通过配置白名单指定内部用户可以访问的网站,不想进行其他复杂配置时(例如配置URL过滤分类、URL过滤分类动作和URL过滤策略缺省动作),可以开启仅支持URL过滤白名单功能。
开启URL过滤白名单功能后,设备仅允许用户访问白名单规则中定义的网站,其他网站均不允许访问。
(26) 进入系统视图。
system-view
(27) 创建URL过滤策略,并进入URL过滤策略视图。
url-filter policy policy-name
(28) 向URL过滤策略中添加白名单规则。
add whitelist [ id ] host { regex host-regex | text host-name } [ uri { regex uri-regex | text uri-name } ]
(29) (可选)开启内嵌白名单功能。
referer-whitelist enable
缺省情况下,内嵌白名单功能处于开启状态,用户可以访问白名单网页下内嵌的其他网页链接。
(30) 开启仅支持URL过滤白名单功能。
whitelist-only enable
缺省情况下,仅支持URL过滤白名单功能处于关闭状态。
此功能用来复制已存在的URL过滤策略,可以方便用户快速创建URL过滤策略。
(31) 进入系统视图
system-view
(32) 复制URL过滤策略
url-filter copy policy old-name new-name
此功能用来复制已存在的URL过滤分类,可以方便用户快速创建URL过滤分类。
在复制URL过滤分类时,如果指定优先级与已经存在的分类优先级相同,则复制失败。
(33) 进入系统视图。
system-view
(34) 复制URL过滤分类。
url-filter copy category old-name new-name severity severity-level
当设备阻断了客户端访问的URL后,会向客户端浏览器返回告警信息。告警信息的具体内容可在URL过滤告警动作参数profile中配置。管理员可通过在URL过滤策略中引用指定的URL过滤告警动作参数profile,为设备提供相应的告警信息。有关URL过滤告警动作参数profile的详细介绍,请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
(35) 进入系统视图。
system-view
(36) 创建URL过滤策略,并进入URL过滤策略视图。
url-filter policy policy-name
(37) 引用URL过滤告警动作参数profile。
warning parameter-profile profile-name
缺省情况下,URL过滤策略中未引用URL过滤告警动作参数profile,设备向客户端返回缺省告警信息,具体内容请参见“DPI深度安全命令参考”中的“URL过滤”手册中对本命令行缺省情况的详细介绍。
DPI应用profile是一个安全业务的配置模板,为实现URL过滤功能,必须在DPI应用porfile中引用指定的URL过滤策略。
一个DPI应用profile中只能引用一个URL过滤策略,如果重复配置,则后配置的覆盖已有的。
(38) 进入系统视图。
system-view
(39) 进入DPI应用profile视图。
app-profile app-profile-name
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
(40) 在DPI应用profile中引用URL过滤策略。
url-filter apply policy policy-name
缺省情况下,DPI应用profile中未引用URL过滤策略。
缺省情况下,当URL过滤业务发生配置变更时(即策略或规则被创建、修改和删除),系统将会检测在20秒的间隔时间内是否再次发生了配置变更,并根据判断结果执行如下操作:
· 如果间隔时间内未发生任何配置变更,则系统将在下一个间隔时间结束时(即40秒时)执行一次激活操作,使这些策略和规则的配置生效。
· 如果间隔时间内再次发生了配置变更,则系统将继续按照间隔时间周期性地检测是否发生配置变更。
如果用户希望对变更的配置立即进行激活,可执行inspect activate命令手工激活,使配置立即生效。
有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
(41) 进入系统视图。
system-view
(42) 激活URL过滤策略和规则配置。
inspect activate
缺省情况下,URL过滤策略和规则被创建、修改和删除后,系统会自动激活配置使其生效。
执行此命令会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制等。
(43) 进入系统视图。
system-view
(44) 进入安全策略视图。
security-policy { ip | ipv6 }
(45) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(46) 配置安全策略规则的动作为允许。
action pass
缺省情况下,安全策略规则动作是丢弃。
(47) 配置安全策略规则引用DPI应用profile。
profile app-profile-name
缺省情况下,安全策略规则中未引用DPI应用profile。
· 请勿删除设备存储介质根目录下的/dpi/文件夹,否则设备升级或回滚特征库会失败。
· 当系统内存使用状态处于告警门限状态时,请勿进行特征库升级或回滚,否则易造成设备特征库升级或回滚失败,进而影响URL过滤业务的正常运行。有关内存告警门限状态的详细介绍请参见“设备管理配置指导”中的“设备管理”。
· 自动在线升级(包括定期自动在线升级和立即自动在线升级)URL过滤特征库时,需要确保设备能通过静态或动态域名解析方式获得官方网站的IP地址,并与之路由可达,否则设备升级URL过滤特征库会失败。有关域名解析功能的配置请参见“网络互通配置指导”中的“域名解析”。
· 同一时刻只能对一个特征库进行升级,如果当前已有其他特征库正在升级,请稍后再试。
如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的URL过滤特征库进行升级。
(48) 进入系统视图。
system-view
(49) 开启定期自动在线升级URL过滤特征库功能,并进入自动在线升级配置视图。
url-filter signature auto-update
缺省情况下,定期自动在线升级URL过滤特征库功能处于关闭状态。
(50) 配置定期自动在线升级URL过滤特征库的时间。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情况下,设备在每天01:00:00至03:00:00之间开始自动升级URL过滤特征库。
当管理员发现官方网站上的特征库服务专区中的URL过滤特征库有更新时,可以选择立即自动在线升级方式来及时升级URL过滤特征库版本。
(51) 进入系统视图。
system-view
(52) 立即自动在线升级URL过滤特征库。
url-filter signature auto-update-now
如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级URL过滤特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的URL过滤特征库版本。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的URL过滤特征库版本。
(53) 进入系统视图。
system-view
(54) 手动离线升级URL过滤特征库。
url-filter signature update file-path
H3C官方网站上的特征库服务专区根据设备的内存大小以及软件版本为用户提供了不同的特征库。管理员需要根据设备实际情况获取相应的特征库,如果为小内存设备(8GB以下)升级了适用于大内存设备(8GB以上)的特征库,可能会导致设备异常,请谨慎操作。
URL过滤特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前URL过滤特征库版本是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
(55) 进入系统视图。
system-view
(56) 回滚URL过滤特征库。
url-filter signature rollback { factory | last }
应用层检测引擎日志是为了满足管理员审计需求。设备生成应用层检测引擎日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。
(57) 进入系统视图。
system-view
(58) 开启应用层检测引擎日志信息功能。
url-filter log enable
缺省情况下,生成应用层检测引擎日志信息功能处于关闭状态。
开启URL过滤日志功能后(即执行category action logging或default-action logging命令)会产生大量的日志信息,不利于查看和分析。管理员可从以下方式中任选其一,对需要进行日志记录的资源进行筛选:
· 仅对网站根目录下资源的访问进行日志记录
· 对指定类型的网页资源的访问不进行日志记录
(59) 进入系统视图。
system-view
(60) 配置URL过滤仅对网站根目录下资源的访问进行日志记录。
url-filter log directory root
缺省情况下,URL过滤对网站所有路径下资源的访问均进行日志记录。
(61) 进入系统视图。
system-view
(62) 配置URL过滤不进行日志记录访问的网页资源类型。
¡ 配置URL过滤对指定预定义类型网页资源的访问不进行日志记录。
url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml }
¡ 配置URL过滤对指定自定义类型网页资源的访问不进行日志记录。
url-filter log except user-defined text
缺省情况下,URL过滤仅对预定义类型(即css、gif、ico、jpg、js、png、swf和xml类型)网页资源的访问不进行日志记录。
如图1-3所示,Switch作为DHCP服务器为AP和Client分配IP地址,其中AP与AC使用VLAN 100建立CAPWAP隧道,Client使用VLAN 200接入无线网络。现要求:
· 配置URL过滤功能,允许Client访问外网的www.sina.com。
· 配置预定义URL过滤分类Pre-Games的动作为丢弃并生成日志。
· 配置URL过滤策略的缺省动作为丢弃和生成日志。
图1-3 在安全策略中引用URL过滤业务配置组网图
(63) 配置AC的接口
# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AP将获取该IP地址与AC建立CAPWAP隧道。
<AC> system-view
[AC] vlan 100
[AC-vlan100] quit
[AC] interface vlan-interface 100
[AC-Vlan-interface100] ip address 192.1.1.1 24
[AC-Vlan-interface100] quit
# 创建VLAN 200及其对应的VLAN接口,并为该接口配置IP地址。Client使用该VLAN接入无线网络。
[AC] vlan 200
[AC-vlan200] quit
[AC] interface vlan-interface 200
[AC-Vlan-interface200] ip address 192.2.1.1 24
[AC-Vlan-interface200] quit
# 配置AC和Switch相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 100和VLAN 200通过,当前Trunk口的PVID为100。
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] port link-type trunk
[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200
[AC-GigabitEthernet1/0/1] port trunk pvid vlan 100
[AC-GigabitEthernet1/0/1] quit
(64) 配置无线服务
# 创建无线服务模板1,并进入无线服务模板视图。
[AC] wlan service-template 1
# 配置SSID为service。
[AC-wlan-st-1] ssid service
# 配置无线客户端上线后加入到VLAN 200。
[AC-wlan-st-1] vlan 200
# 使能无线服务模板。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
(65) 配置AP
# 创建手工AP,名称为ap1,型号为WA6320。
[AC] wlan ap ap1 model WA6320
# 设置AP序列号为219801A28N819CE0002T。
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 进入AP的Radio 1视图,并将无线服务模板1绑定到Radio 1上。
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] service-template 1
# 开启Radio 1的射频功能。
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
# 进入AP的Radio 2视图,并将无线服务模板1绑定到Radio 2上。
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] service-template 1
# 开启Radio 2的射频功能。
[AC-wlan-ap-ap1-radio-2] radio enable
[AC-wlan-ap-ap1-radio-2] quit
[AC-wlan-ap-ap1] quit
(66) 配置对象组
# 创建名为urlfilter的IP地址对象组,并定义其子网地址为192.2.1.0/24。
[AC] object-group ip address urlfilter
[AC-obj-grp-ip-urlfilter] network subnet 192.2.1.0 24
[AC-obj-grp-ip-urlfilter] quit
(67) 配置URL过滤功能
# 创建名为news的URL过滤分类,并进入URL过滤分类视图,设置该分类的严重级别为2000。
[AC] url-filter category news severity 2000
# 在URL过滤分类news中添加一条URL过滤规则,并使用字符串www.sina.com对主机名字段进行精确匹配。
[AC-url-filter-category-news] rule 1 host text www.sina.com
[AC-url-filter-category-news] quit
# 创建名为urlnews的URL过滤策略,并进入URL过滤策略视图。
[AC] url-filter policy urlnews
# 在URL过滤策略urlnews中,配置URL过滤分类news绑定的动作为允许。
[AC-url-filter-policy-urlnews] category news action permit
# 在URL过滤策略urlnews中,配置预定义URL过滤分类Pre-Games绑定的动作为丢弃并生成日志。
[AC-url-filter-policy-urlnews] category Pre-Games action drop logging
# 在URL过滤策略urlnews中,配置策略的缺省动作为丢弃和打印日志。
[AC-url-filter-policy-urlnews] default-action drop logging
[AC-url-filter-policy-urlnews] quit
(68) 配置DPI应用profile
# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。
[AC] app-profile sec
# 在DPI应用profile sec中应用URL过滤策略urlnews。
[AC-app-profile-sec] url-filter apply policy urlnews
[AC-app-profile-sec] quit
# 激活URL过滤策略和规则配置。
[AC] inspect activate
(69) 配置安全策略引用URL过滤业务
# 进入IPv4安全策略视图
[AC] security-policy ip
# 创建名为urlfilter的安全策略规则,过滤条件为:源IP地址对象组urlfilter。动作为允许,且引用的DPI应用profile为sec。
[AC-security-policy-ip] rule name urlfilter
[AC-security-policy-ip-13-urlfilter] source-ip urlfilter
[AC-security-policy-ip-13-urlfilter] action pass
[AC-security-policy-ip-13-urlfilter] profile sec
[AC-security-policy-ip-13-urlfilter] quit
# 激活安全策略的加速功能。
[AC-security-policy-ip] accelerate enhanced enable
[AC-security-policy-ip] quit
以上配置生效后,Client可以访问外网的www.sina.com,但是不能访问游戏类的网页。Client尝试访问游戏类的URL请求将会被AC阻断并且打印日志。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
