- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-全局白名单典型配置举例
本章节下载 (363.54 KB)
本文档介绍设备的全局白名单功能配置举例,设备上配置全局白名单功能之后,针对配置白名单的用户网络基础转发会匹配,应用识别会匹配,其它策略模块流程将都不会匹配,直接放通处理。
全局白名单配置支持IP地址和MAC地址两种格式。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解全局白名单特性。
如图1所示,某企业对内网用户172.16.11.0/24在工作时间进行审计并控制登录即时通讯软件,但是对该内网用户中172.16.11.3地址不需要进行审计和控制,通过全局白名单实现该需求。
· 配置网络接口。
· 配置旁路部署、旁路阻断。
· 配置内网用户地址对象。
· 配置时间对象。
· 配置用户识别范围。
· 配置审计策略。
· 配置控制策略。
· 配置全局白名单。
本举例是在R6614版本上进行配置和验证的。
(1) 配置接口地址
如图2所示,进入“网络配置>接口配置>物理接口”,点击ge6<编辑>按钮,配置ge6的IP地址为172.16.11.2/24。
(2) 配置部署方式
如下图所示,进入“网络配置>基础网络>部署方式”,配置勾选ge8口启用。
图3 配置部署方式
(3) 配置旁路认证和阻断
如图4所示,进入“网络配置>基础网络>部署方式>高级配置”,配置旁路认证和旁路阻断。
(4) 配置内网用户地址对象
如下图所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>按钮创建内网用户地址对象172.16.11.0/24,点击<提交>。
(5) 配置用户识别范围
如下图所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“内网用户”,其它配置默认,提交配置。
(6) 配置审计策略
如图7所示,进入“策略配置>审计策略”,源地址选择内网用户,审计对象配置所有,时间选择工作时间,其它配置默认,<提交>策略。
图7 配置审计策略
(7) 配置控制策略
如图8所示,进入“策略配置>控制策略”,源地址选择内网用户,应用控制策略配置一条应用选择即时通讯类动作配置拒绝,日志级别配置通知,时间选择工作时间,其它配置默认,<提交>策略。
图8 配置控制策略
(8) 配置全局白名单
如图9所示,进入“策略配置>全局白名单”,点击<新建>配置一条地址172.16.11.3的全局白名单策略。
· 配置的全局白名单地址必须在用户识别范围中,且全局白名单地址只匹配会话中源IP和源MAC。
如图10所示,分别使用白名单用户(172.16.11.3)和非白名单用户(172.16.11.11)工作时间访问外网,白名单用户访问外网没有相关上网行为审计日志,非白名单用户访问外网有相关上网行为审计日志。
如图11所示,白名单用户非白名单用户工作时间分别登录QQ和微信即时通讯聊天软件,只有白名单用户能登录,无相关日志;非白名单用户无法登录,有相应的应用控制阻断日志。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
