- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
18-控制策略
本章节下载: 18-控制策略 (2.68 MB)
目 录
控制策略对通过设备的用户、源接口/域、目的接口/域、源地址、目的地址、应用、服务、终端、时间等维度进行访问控制,针对应用、URL、入侵防御、病毒防护等内容进行统一管控,并且支持策略分组。控制策略适用于IPv4和IPv6网络的访问控制。
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示界面,如图1-1所示。查看设备上已有的控制策略条目。设备将按照从上到下的顺序依次匹配所有策略条目,用户可选中特定条目后点击<优先级>调整该条策略的优先级。
控制策略的默认规则为“允许”,用户可以根据需求在控制策略页签将默认规则配置为“拒绝”。默认规则优先级较低,仅在没有配置具体控制策略或者未匹配到任何控制策略的情况下,才会匹配默认规则。
控制策略的含义如表1-1所示:
|
标题项 |
说明 |
|
状态 |
控制策略的状态: · · |
|
ID |
控制策略的ID。 |
|
用户 |
匹配控制策略的用户对象。 |
|
行为 |
控制策略行为的状态包含:允许、拒绝 |
|
策略组 |
策略所属的分组名称。 |
|
源接口/域 |
匹配控制策略的源接口/域。 |
|
目的接口/域 |
匹配控制策略的目的接口/域。 |
|
源地址 |
匹配控制策略的源地址。 |
|
目的地址 |
匹配控制策略的目的地址。 |
|
应用 |
匹配控制策略的应用对象。 |
|
服务 |
匹配控制策略的服务对象。 |
|
终端 |
匹配控制策略匹配的终端类型,包括:any、移动终端、PC、多终端。 移动终端:基于Android或IOS系统的智能手机或Pad; PC:基于Windows操作系统的PC或笔记本; 多终端:单个IP下同时存在电脑和移动终端。 |
|
描述 |
控制策略描述。 |
|
匹配次数 |
匹配控制策略的次数。 |
|
应用安全 |
如果显示图标 |
|
时间 |
匹配控制策略匹配的时间对象。 |
|
日志 |
设备是否记录syslog格式的控制策略日志。 |
|
老化时间 |
基于控制策略的老化时间,缺省情况下,老化时间为0,表示使用各个协议默认的老化时间。 |
|
操作 |
控制策略支持的操作,包含编辑、删除和复制。 |
策略支持外部编辑,在导航栏中选择“策略配置 > 控制策略”,进入控制策略页面,点击任一支持外部编辑的7元组对象:用户、源接口/域、目的接口/域、源地址、目的地址、应用、服务,如图1-2所示。
策略外部编辑界面的详细信息如表1-2所示:
|
标题项 |
说明 |
|
类型 |
类型包含:用户、接口、源地址、目的地址、应用、服务 |
|
类型显示列 |
点击相应类型后,此列显示对应的类型数据,可直接选择进行配置。 |
|
已选列表 |
已配置类型的对象内容显示区。 |
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,进入控制策略配置页面,如下图所示。
图1-3 控制策略配置界面
控制策略详细配置说明,如表1-3所示。
|
标题项 |
说明 |
|
启用 |
策略启用和禁用,勾选表示开启策略,不勾选表示禁用策略。 |
|
行为 |
策略的行为包含: · 允许,对匹配条件的会话进行应用控制,如URL过滤和应用过滤。 · 拒绝,阻断命中匹配条件的会话。 · 根据自定义网络资源及访问权限,实现分时访问功能。即内网用户只能同时访问一个网络,当需要访问另一个网络时,进行网络切换。 |
|
策略分组 |
策略可以分组展示。 |
|
日志 |
勾选后,设备会记录syslog格式的控制策略日志。在“系统管理>系统设定>日志设定”页面,可以设置是否将指定级别的控制策略日志发送到日志服务器。 |
|
描述 |
控制策略描述信息。 |
|
匹配条件 |
控制策略的匹配条件,包含用户、接口、源地址、目的地址、应用、服务。 |
|
入侵防御 |
对匹配的对象执行入侵防御检查。勾选防护模式并且模板下的规则或协议异常检查配置了阻断,才会阻断流量,否则只根据日志配置决定是否记录日志。 |
|
病毒防护 |
对匹配的对象执行病毒防护检查。勾选启用复选框启用病毒防护,并选择需要防护的项目及防护行为。在上边栏选择数据中心,在菜单栏选择“日志中心安全日志病毒防护日志”查看详细日志信息。 |
|
URL过滤 |
URL过滤规则,包含URL控制和恶意URL控制。如果用户的访问行为触发了URL过滤规则,将会被重新定向到URL控制或恶意URL公告页面。详细配置请参考URL过滤。 |
|
应用过滤 |
应用过滤规则,包含应用控制、邮件控制、WEB关键字控制、虚拟账号控制、文件类型过滤和协议过滤。详细配置请参考应用控制。 |
|
终端公告提醒 |
给匹配条件的终端推送公告提醒页面。策略首次下发后会进行第一次推送,后续按间隔定期推送。详细配置请参考1.5 终端公告推送。 |
|
高级配置 |
包含时间对象配置、老化时间配置、终端类型、终端型号、VLAN及DSCP配置等。详细配置请参考高级配置。 |
· 控制策略动作为“拒绝”时,如果勾选了“日志”,设备只记录syslog格式的控制策略日志,不记录本地日志。如果需要在本地记录日志,可将控制策略的行为配置为“允许”,在应用过滤中配置处理动作为“拒绝”的策略,设备匹配到该策略后会在本地产生相应的日志。
· 控制策略动作为“允许”时,设备syslog日志支持记录级别为“info”的控制策略日志,在设置日志外发级别需要选择“全部级别”,或者“信息”,或者“调试”,远端syslog服务器才能收到日志。
· 控制策略动作为允许的时候,建议不要勾选“日志”。如果勾选日志并外发,会产生大量外发日志,可能会对设备性能产生影响。
在导航栏中选择“策略配置 > 控制策略”,单击<优先级>按钮进入控制策略优先级配置页面,如图1-4所示。
控制策略优先级详细配置说明,如表1-4所示。
|
标题项 |
说明 |
|
被移动的策略ID |
被移动的策略索引。 |
|
目标位置 |
移动后的位置: · 策略最前指移动到所有策略的最前面。 · 策略之前指移动到某条固定的策略之前。 · 策略之后指移动到某条固定的策略之后。 · 策略最后指移动到所有策略的后面。 |
|
目标位置策略ID |
参考策略索引,可以选择对应策略ID,将当前策略移动到该策略ID之前或之后。 |
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-5所示。勾选要启用或者禁用的控制策略,单击<启用>或<禁用>按钮可以启动和禁用该控制策略。
图1-5 控制策略启用和禁用
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面。单击需要复制的控制策略后面的
按钮,然后单击“确定”按钮,进入复制后的策略编辑页面,最后单击“提交”按钮即可以对该控制策略进行复制,生成一个新的控制策略。
图1-6 复制控制策略
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-7所示。勾选要删除的控制策略,单击<删除>按钮或点击操作中<删除>按钮,可以删除该控制策略。
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-8所示。勾选要清除匹配计数的控制策略,单击<匹配次数清零>按钮可以清除该控制策略的匹配计数。
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-9所示。勾选允许或拒绝单选框,可以修改默认控制策略行为。
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-10所示。单击查询,填写过滤条件可以查询出符合该过滤条件的控制策略。
控制策略查询配置详细说明,如表1-5所示。
|
标题项 |
说明 |
|
ID |
被查询的策略索引。 |
|
源接口/域 |
策略所选择的源接口。 |
|
源地址 |
策略所配置包含该地址的地址对象(可基于地址对象、IP地址和域名查询)。 |
|
用户 |
策略所选择的用户。 |
|
目的接口/域 |
策略所选择的目的接口。 |
|
目的地址 |
策略所配置包含该地址的地址对象(可基于地址对象、IP地址搜寻和域名查询)。 |
|
服务 |
策略所选择的服务。 |
|
描述 |
策略所对应的描述信息。 |
在导航栏中选择“策略配置>控制策略”,进入控制策略显示页面,如图1-11所示。移动到左边,点击 
,会弹出策略分组管理页面。
策略分组详细说明,如表1-6所示。
|
标题项 |
说明 |
|
|
新建策略分组。 |
|
|
修改策略分组名称。 |
|
|
删除策略分组。 |
禁止公司员工上班时间(8:00—18:00)访问QQ。
(1) 配置日计划
在导航栏中选择“策略配置 > 对象管理 > 时间对象> 日计划”,单击<新建>按钮,进入日计划配置页面,如图1-12所示。
点击<提交>按钮,提交配置。
(2) 配置控制策略
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,进入控制策略配置页面,行为选择拒绝,勾选日志,在“匹配条件”页面中,应用类型选择“即时通讯 > QQ”,如下图所示。
图1-13 控制策略配置
单击选择“高级配置”标签页,时间选择已配置的时间对象,如图1-14所示。
配置完成后,公司员工在8:00—18:00的时间范围内无法登录QQ,但在其它时间是可以登录的。
在多网络场景中,要求同一台终端不能同时访问多个网络资源,比如终端在访问互联网时,无法访问政务外网,当此终端访问政务外网时,无法访问互联网。用户需要根据业务的需要,自主进行网络切换,分时访问不同的网络资源,实现网络的隔离。
设备支持自定义网络资源及访问权限,通过分时访问策略实现分时访问功能。当用户访问的网络不是当前网络时,设备会对用户进行权限切换提醒,用户确认切换后,无需上网用户重新认证,自动匹配与之对应的访问权限,防止出现上网用户同时访问多类网络资源等情况。
分时访问功能应用于客户多网络场景,如下图所示,内网PC在访问内部服务器区时,不允许同时访问外网Internet;访问外网Internet时,不允许同时访问内部服务器区域,确保用户无法同时访问内网服务器区和外网Internet场景,从而实现内网服务器区和外网Internet隔离,如下图所示。
图1-15 分时访问应用场景组网图
分时访问的使用场景为受限场景:用户需要根据自己的组网情况,对认证用户访问的不同目的网络做划分,再通过设备的分时访问控制功能,针对划分的网络进行访问控制。如上图,对PC所访问的目的网络地址进行划分,将内网服务器区的地址划分为内网,将除内网服务器区的地址外的全部划分为互联网,即访问Internet。
需要对认证用户访问的目的网络地址进行网络划分,目的地址是指设备转发出去后的目的地址,请根据实际转发后的目的地址进行网络划分。
在控制策略配置时支持设置分时访问策略及分时访问规则。通过控制策略匹配条件中目的地址对网络资源进行划分。分时访问规则中用户加入设置的属性组与设置的目的地址网络相匹配对应,用户加入到该属性组即表示加入了该网络。
(1) 用户认证完成时第一次访问的分时网络即为用户当前所在的网络(默认网络)。
(2) 当认证用户的流量经过设备命中分时访问策略时,如果用户在当前网络(属性组)则对用户流量直接放行。
(3) 如果用户不在当前网络,根据分时访问规则的设置对用户流量进行处理。包括:流量劫持和流量劫持弹Portal切换网络。
· 分时访问控制策略只支持HTTP弹Portal方式。
· 分时访问为基于认证用户的访问控制,匹配的用户必须为认证用户。
· 由于认证用户可以多终端共享,即一个用户可以有个多个IP地址,同一用户的多终端网络保持一致(一个终端切换网络,所有的同用户终端都跟着切换)。
· 如果该用户已经加入其它属性组,当进行分时控制时会将其它属性组下该用户删除,只保留当前加入的属性组。
· 用户终端下线时会将用户从加入的属性组中删除。
· 网络切换的portal页面地址使用的是HTTP 8000端口,需要保证端口访问正常。
在导航栏中选择“策略配置 > 控制策略”,点击<新建>,行为选择“分时访问”。
选择匹配条件,目的地址选择创建的地址对象,根据选择的目的地址匹配不同的控制策略,配置前需要创建对应用户访问的不同目的地址的地址对象。
图1-16 配置分时访问匹配条件
选择“分时访问规则”标签页,编辑相关信息,点击<提交>。
图1-17 配置分时访问规则
表1-7 分时访问规则配置详细说明
|
参数 |
说明 |
|
动作 |
弹Portal:匹配到分时访问规则后,弹出网络切换提醒Portal页面,用户单击切换后,将用户切换到另外一个网络,否则继续访问原来的网络。 拒绝:用户加入了一个网络后,再访问另外一个网络,如果命中这条策略是拒绝的,则访问的网络会被阻断。 |
|
用户加入 |
选择用户加入的属性组,只能选择属性组。选择创建的属性组,将访问不同目的地址网络的用户分别加入所选的属性组。 新建属性组,根据网络划分新建属性组,属性组名代表网络名称。 |
|
页面跳转设置 |
之前访问的页面:弹Portal之后进行网络切换,页面跳转到弹Portal之前访问的页面。 重定向URL:弹Portal进行网络切换后,页面跳转到重定向的页面。 当前访问页面:即Portal页面。 |
按照上面的方法再新建一条控制策略,针对用户访问不同的网络配置不同的控制策略,根据匹配条件中选择的目的地址匹配不同的控制策略。
内网PC访问外网时,认证成功匹配到该分时策略后,根据内网PC首次访问目的地址,将认证用户加入对应的属性组,如“网络A”;当该认证用户属于“网络A”时,访问其他的网络地址如“网络B”,则会根据配置的分时访问动作进行弹Portal或阻断。
某公司内网用户通过设备访问内网服务器和互联网,需要保证内网用户只能同时访问一个网络,即访问互联网时不允许同时访问内网服务器,访问内网服务器时不允许同时访问互联网,当需要访问另一个网络时,可以进行网络切换,从而实现内网服务器网络和外网Internet的隔离。
图1-18 多网络分时访问配置举例组网图
(1) 按照组网图组网。通过菜单“策略配置> 对象管理> 地址对象”,点击<新建>创建两个地址对象,一个为互联网,一个内网地址。
图1-19 配置地址对象
(2) 通过菜单“用户管理> 高级选项> 自定义属性”,新建属性名“分时访问”,属性值为“互联网”、“内网”。
图1-20 创建自定义属性
(3) 通过菜单“用户管理> 用户组织结构> 本地属性结构”,新建两个属性组,分别为“互联网用户”、“内网用户”,增加自定义属性。
图1-21 配置本地属性组
(4) 配置分时访问控制
通过菜单“策略配置> 控制策略”,点击<新建>,针对用户访问不同的两条网络配置两条控制策略。匹配条件目的地址选择不同会匹配不同的控制策略。
图1-22 配置分时访问控制策略-匹配条件
选择分时访问规则标签页,用户加入选择创建的属性组“互联网用户”。
图1-23 配置分时访问规则
同样的方法,再创建一条控制策略,目的地址选择“内网”,用户加入选择属性组“内网用户”。
(5) 配置认证策略。
通过菜单“用户管理> 认证策略> 新建”,配置一条本地WEB认证策略。
图1-24 配置认证策略
(6) 配置本地用户
过菜单“用户管理> 用户组织结构”,创建本地认证用户,配置用户名及密码。
图1-25 配置本地用户
(1) 测试PC访问互联网弹Portal进行认证,本地认证上线成功。
图1-26 本地认证上线
(2) 认证成功后访问互联网,认证用户加入互联网用户属性组中。
图1-27 用户加入“互联网”属性组
(3) 该用户访问内网HTTP服务器,弹出Portal页面,单击“切换”按钮,该用户切换到属性组“内网用户”下面。
图1-28 网络切换portal页面
图1-29 用户切换属性组
应用控制是基于应用对象来进行控制,控制动作包含允许和拒绝。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>,选择“应用过滤>应用控制”标签页,新建应用控制策略,如图1-30所示。应用控制页面详细配置说明,如表1-8所示。
|
标题项 |
说明 |
|
启用 |
勾选后则启用搜索引擎规则。 |
|
描述 |
搜索引擎规则的描述信息。 |
|
应用 |
应用对象,通过点击<选择应用>弹框来选择相关的应用。 |
|
处理动作 |
处理动作包括:允许、拒绝。 |
|
日志级别 |
选择命中策略后生成的日志级别。在上边栏选择数据中心,在菜单栏选择“日志中心控制日志应用控制日志”查看详细日志信息。 |
应用控制策略创建成功后如图1-31所示。
邮件控制策略用于对SMTP发送邮件及POP3、IMAP接收邮件进行控制,可以根据收件人、发件人、主题、内容、附件名、邮件大小及附件个数等信息,控制收取的邮件,通过策略决定放行或阻断。邮件主题、正文、附件名支持关键字过滤。
· 发件人过滤:
¡ 黑名单:邮件的发件人信息,匹配到关键字则邮件被阻断,不匹配则放行。
¡ 白名单:邮件的发件人信息,匹配到关键字则邮件被放行,不匹配则阻断。
· 收件人过滤:
¡ 黑名单,邮件的收件人信息,匹配到关键字则邮件被阻断,不匹配则放行。
¡ 白名单,邮件的收件人信息,匹配到关键字则邮件被放行,不匹配则阻断。
· 标题及内容关键字:邮件的标题或者内容中,有匹配到关键字的信息,则邮件被阻断。
· 附件名关键字:邮件的附件名中,有匹配到关键字的信息,则邮件被阻断。
· 邮件大小:邮件的总大小,超过设置限制,则邮件被阻断。
· 附件个数:邮件的附件个数,超过设置限制,则邮件被阻断。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>,选择“应用过滤>邮件控制”标签页,进入如图1-32所示页面。在该页面上,可以查看已经配置的邮件控制信息。这些信息的详细说明如表1-9所示。
|
发送邮件 |
对发送邮件进行控制 |
|
接收邮件 |
对接收邮件进行控制 |
|
发件人过滤-黑名单 |
对邮件信息的发件人信息进行关键字判断,命中阻断,否则放行 |
|
发件人过滤-白名单 |
对邮件信息的发件人信息进行关键字判断,命中放行,否则阻断 |
|
收件人过滤-黑名单 |
对邮件信息的收件人信息进行关键字判断,命中阻断,否则放行 |
|
收件人过滤-白名单 |
对邮件信息的收件人信息进行关键字判断,命中放行,否则阻断 |
|
标题及内容关键字 |
对邮件信息的标题和内容进行关键字判断,命中阻断,否则放行 |
|
附件名关键字 |
对邮件信息的附件名进行关键字判断,命中阻断,否则放行 |
|
邮件大小 |
对邮件信息的邮件大小进行判断,超过限制大小阻断,否则放行 |
|
附件个数 |
对邮件信息的附件个数进行判断,超过限制个数阻断,否则放行 |
|
日志级别 |
日志记录的提示信息,或者不记录 |
web关键字过滤,支持针对搜索引擎内容的过滤、HTTP上传POST内容的过滤以及HTTP网页浏览内容的过滤,实现效果如下:
· 搜索引擎:
对搜索引擎的搜索内容进行监控,提供告警、拒绝两种处理动作,并支持记录日志。
· HTTP上传:
对http上传的POST内容进行监控,提供告警、拒绝两种处理动作,并支持记录日志,如:
web邮件过滤(发件人、收件人,主题、内容、附件名);
web社区论坛(发帖内容、附件上传)。
· 网页内容:
支持所有http网页浏览内容过滤,网页内容必须为文本形式,不能为图片中的文字。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤>WEB关键字>搜索引擎”标签页,点击<新建>进入搜索引擎规则配置界面,如图1-33所示。搜索引擎规则详细配置说明,如表1-10所示。
|
标题项 |
说明 |
|
启用 |
勾选后则启用搜索引擎规则。 |
|
描述 |
搜索引擎规则的描述信息。 |
|
关键字对象 |
选择关键字对象,支持通过<添加关键字>按钮来快速创建关键字对象。 |
|
处理动作 |
处理动作包括:放行、阻断。 |
|
日志级别 |
选择命中策略后生成的日志级别。在上边栏选择数据中心,在菜单栏选择“日志中心控制日志应用控制日志”查看详细日志信息。 |
|
提交 |
提交后当前规则新建成功。 |
|
取消 |
取消规则创建,不下发配置。 |
搜索引擎规则创建成功后如图1-34所示。
(2) HTTP上传规则
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤>WEB关键字> HTTP上传”标签页,点击<新建>进入HTTP上传规则配置界面,如图1-35所示。HTTP上传规则详细配置说明,如表1-11所示。
图1-35 HTTP上传规则
表1-11 HTTP上传规则详细配置说明
|
标题项 |
说明 |
|
启用 |
勾选后则启用搜索引擎规则。 |
|
描述 |
HTTP上传规则的描述信息。 |
|
关键字对象 |
选择关键字对象,支持通过<添加关键字>按钮来快速创建关键字对象。 |
|
处理动作 |
处理动作包括:放行、阻断。 |
|
日志级别 |
选择命中策略后生成的日志级别。在上边栏选择数据中心,在菜单栏选择“日志中心控制日志应用控制日志”查看详细日志信息。 |
|
提交 |
提交后当前规则新建成功。 |
|
取消 |
取消规则创建,不下发配置。 |
HTTP上传规则创建成功后如图1-36所示。规则显示详细说明,如表1-12所示。
图1-36 HTTP上传规则配置显示
表1-12 HTTP上传规则显示详细说明
|
标题项 |
说明 |
|
ID |
规则对应ID,代表规则优先级。 |
|
描述 |
规则描述信息显示。 |
|
关键字 |
规则引用的关键字对象。 |
|
动作 |
规则动作,包括:放行、阻断。 |
|
级别 |
规则日志级别,包括:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。 |
|
启用 |
规则启用状态显示,包括:启用和禁用。 |
|
操作 |
支持对当前规则进行编辑和删除。 |
(3) 网页内容规则
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤>WEB关键字>网页内容”标签页,点击<新建>进入网页内容规则配置界面,如图1-37所示。网页内容规则详细配置说明,如表1-13所示。
|
标题项 |
说明 |
|
启用 |
勾选后则启用搜索引擎规则。 |
|
描述 |
网页内容规则的描述信息。 |
|
关键字对象 |
选择关键字对象,支持通过<添加关键字>按钮来快速创建关键字对象。 |
|
处理动作 |
处理动作包括:放行、阻断。 |
|
日志级别 |
选择命中策略后生成的日志级别。在上边栏选择数据中心,在菜单栏选择“日志中心控制日志应用控制日志”查看详细日志信息。 |
|
提交 |
提交后当前规则新建成功。 |
|
取消 |
取消规则创建,不下发配置。 |
网页内容规则创建成功后如图1-38所示。规则显示详细说明,如表1-14所示。
|
标题项 |
说明 |
|
ID |
规则对应ID,代表规则优先级。 |
|
描述 |
规则描述信息显示。 |
|
关键字 |
规则引用的关键字对象。 |
|
动作 |
规则动作,包括:放行、阻断。 |
|
级别 |
规则日志级别,包括:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。 |
|
启用 |
规则启用状态显示,包括:启用和禁用。 |
|
操作 |
支持对当前规则进行编辑和删除。 |
QQ虚拟账号控制是指控制策略根据所引用关键字对象设置待过滤账号,只允许引用单个关键字对象,关键字过滤只支持精确匹配。根据匹配到的动作(黑名单或白名单)进行QQ账号控制并产生应用控制日志。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>,选择“应用过滤>虚拟账号”标签页,进入如图1-39所示页面。在该页面上可以配置虚拟账号功能。各个配置项含义如表1-15所示。
|
标题项 |
说明 |
|
启用 |
启用虚拟账号功能,未启用状态下无法配置黑白名单。 |
|
黑名单 |
启用虚拟账号黑名单,引用关键字对象,可以直接点击添加关键字按钮添加关键字对象。 |
|
白名单 |
启用虚拟账号白名单,引用关键字对象,可以直接点击添加关键字按钮添加关键字对象。 |
|
日志级别 |
选择匹配到虚拟账号后产生的虚拟账号控制日志级别。 |
如图1-40所示,公司内网存在内网用户供内部人员使用;无线WIFI供访客使用,具体需求如下:
· 针对内网用户,公司内部人员只放行特定的QQ账户上网,其它qq号阻断登录。
· 针对无线WIFI网络,阻断特定qq账户,其它qq放行可以上网。
(1) 配置地址对象
通过菜单“策略配置 > 对象管理 > 地址对象”,点击<新建>地址对象,配置“内网用户”地址对象和“无线wifi”地址对象。如图1-41、图1-42所示。
图1-41 添加内网用户地址对象
图1-42 添加无线wifi地址对象
通过菜单“策略配置 > 对象管理 > 关键字对象”,点击<新建>关键字对象,配置“QQ白名单”关键字对象和“QQ黑名单”关键字对象,如图1-43、图1-44所示。
图1-43 添加QQ白名单对象
图1-44 添加QQ黑名单对象
(3) 配置控制策略,虚拟账户配置白名单。
通过菜单“策略配置>控制策略”,点击<新建>进入控制策略配置页面,源地址对象选择“内网用户”,虚拟账户启用白名单,如图1-45、图1-46所示。
图1-45 控制策略配置内网用户源地址
(4) 配置控制策略,虚拟账户配置黑名单。
通过菜单“策略配置 > 控制策略”,点击<新建>进入控制策略配置页面,源地址对象选择 “无线wifi”,虚拟账户启用黑名单,如图1-47、图1-48所示。
配置完成后,内网用户使用白名单关键字内的QQ账号可以登录,WiFi用户使用黑名单关键字外的QQ账号可以登录。
利用网络来进行文件传输是许多用户的重要途径之一,而在文件传输过程中存在种种管理和安全隐患,如用户有意泄密者甚至会将外发文件的后缀名修改,然后通过HTTP、FTP协议进行外发则会产生文件的泄漏等安全风险。
支持基于文件类型的过滤行为,封堵HTTP、FTP协议传输文件。基于特征能够识别真实的文件类型,即便存在修改、删除外发文件后缀名,也能发现并且告警,保护组织的信息资产安全。
(1) 文件后缀超过15个字符时,日志记录会截断前15个字符;
(2) 阻断FTP时,本地会创建临时的文件;
(3) 升级特征库,预定义文件类型需要手动点击重置才可以更新;
(4) 真实文件类型识别中:jpg和jpeg无法区分;
(5) 开启真实文件类型过滤后,如果识别到真实文件类型为png,但配置为jpg阻断,文件名称后缀为.jpg,不会实现阻断,开启真实文件类型识别后优先进行真实文件判断;
(6) 默认真实文件类型识别为关闭状态;
(7) 解密后真实文件类型应用支持: 163邮箱(上传/下载)、QQ邮箱下载、126邮箱(上传/下载)、百度网盘下载、360云盘非真实文件类型上传和真实文件类型下载;
(8) 真实文件识别支持类型包括:avi、mp4、mp3、chm、jpg、jpeg、gif、bmp、tiff、png、dcm、heic、ico、jxr、psd、 zip、rar、gz、7z、docx、pptx、xlsx、pdf、rtf。
(9) 文件类型对象匹配不区分大小写,配置ZIP与配置zip阻断效果一样。
(10) 如果使用的FTP连接端口为非标准端口,需要在设备中配置FTP非标准端口,配置后就可以正常控制了,HTTP均是正常可以控制的。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>,选择“应用过滤>文件类型过滤”标签页,进入如图1-56所示页面。在该页面上,点击<新建>进入文件类型过滤配置界面,如下图所示。
图1-49 文件类型过滤页面
图1-50 新建文件类型过滤配置页面
表1-16 文件类型过滤详细配置
|
标题项 |
说明 |
|
启用规则 |
勾选后则启用该文件类型过滤策略。 |
|
描述 |
文件类型过滤策略的描述信息。 |
|
文件类型分类 |
选择文件类型对象,支持通过<添加文件类型>按钮来快速创建文件类型对象。 |
|
传输方向 |
传输方向包括:上传、下载,分别表示HTTP和FTP的上传和下载。 |
|
排除网站 |
仅对http上传下载有效,可以选择URL分类对象进行排除该网站不进行控制。 |
|
处理动作 |
处理动作包括:放行、阻断。 |
|
日志级别 |
置文件上传下载行为被允许或阻断时生成的日志级别。在上边栏选择数据中心,在菜单栏选择“日志中心控制日志应用控制日志”查看详细日志信息。 |
文件类型过滤策略创建成功后如下图所示。
图1-51 文件类型过滤配置显示
设备支持FTP协议、Telnet协议、DNS协议过滤,可以更好针对内网使用的协议进行控制,提高设备控制能力,并可以有效针对传输关键字或者传输命令更加深度的控制,协议过滤主要支持以下三种协议:
· FTP协议过滤:可以针对FTP传输文件名和相关操作命令进行过滤控制;
· Telnet协议过滤:可以针对Telnet传输的相关操作命令进行过滤控制;
· DNS协议过滤:可以针对DNS报文中域名字段进行过滤控制。
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,点击新建控制策略按钮,进入“应用过滤 > 协议过滤”页面,默认第一个就是FTP协议过滤配置页面,如图1-52所示。
图1-52 FTP协议过滤配置页面
表1-17 FTP协议过滤设置页面详细说明
|
项目 |
说明 |
|
启用 |
勾选复选框在创建完成后立即启用该FTP协议过滤。 |
|
文件名 |
开启后选择相关关键字对FTP协议传输的文件名进行控制。点击“添加关键字”可以快速添加关键字对象。 |
|
命令 |
开启后选择相关关键字对FTP协议传输的命令进行控制。点击“添加关键字”可以快速添加关键字对象。 |
|
处理动作 |
对匹配到关键字的FTP协议进行过滤,包括放行和阻断。 |
|
日志级别 |
设置FTP协议过滤生成的日志级别。在上边栏选择数据中心,在菜单栏选择“日志中心控制日志应用控制日志”查看详细日志信息。 |
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,点击新建控制策略按钮,进入“应用过滤 > 协议过滤”页面,选择Telnet页面,进入Telnet协议过滤配置页面,如图1-53所示。
图1-53 Telnet协议过滤配置页面
页面的详细说明如表1-18所示。
|
项目 |
说明 |
|
启用 |
勾选复选框在创建完成后立即启用该Telnet协议过滤。 |
|
命令 |
开启后选择相关关键字对Telnet协议传输的命令进行控制。点击“添加关键字”可以快速添加关键字对象。 |
|
处理动作 |
对匹配到关键字的Telnet协议进行过滤,包括放行和阻断。 |
|
日志级别 |
设置Telnet协议过滤生成的日志级别。在上边栏选择数据中心,在菜单栏选择“日志中心控制日志应用控制日志”查看详细日志信息。 |
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,点击新建控制策略按钮,进入“应用过滤 > 协议过滤”页面,选择DNS页面,进入DNS协议过滤配置页面,如图1-54所示。
图1-54 DNS协议过滤配置页面
页面的详细说明如表1-19所示。
|
项目 |
说明 |
|
启用 |
勾选复选框在创建完成后立即启用该DNS协议过滤。 |
|
域名 |
开启后选择相关关键字对Telnet协议传输的命令进行控制。点击“添加关键字”可以快速添加关键字对象。 |
|
处理动作 |
对匹配到关键字的DNS协议进行过滤,包括放行和阻断。 |
|
日志级别 |
设置DNS协议过滤生成的日志级别。在上边栏选择数据中心,在菜单栏选择“日志中心控制日志应用控制日志”查看详细日志信息。 |
|
添加关键字 |
快速添加关键字对象 |
URL过滤是基于URL分类来对用户访问WEB站点进行控制,控制动作包含允许和拒绝。这样可以通过对HTTP协议的控制为用户提供应用级的安全防护和访问限制。
对URL或恶意URL进行控制,需要配置解密类型为HTTPS解密的SSL解密策略,且HTTPS对象需包含访问HTTPS页面的域名,用户访问HTTPS页面被阻断时,才可以弹出阻断提示信息。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“URL过滤>URL控制”标签页,新建URL过滤策略,如图1-55所示。URL过滤策略页面详细配置说明,如表1-20所示。
图1-55 URL过滤策略
表1-20 URL过滤策略详细配置
|
标题项 |
说明 |
|
启用规则 |
勾选后则启用URL过滤策略。 |
|
DNS过滤 |
勾选后,终端用户访问网站时,在域名解析阶段进行阻断控制,在DNS请求包中提取域名进行判断。可以更快更有效的限制对URL进行阻断。 |
|
描述 |
URL过滤策略的描述信息。 |
|
URL分类 |
URL预定义分类和自定义分类。 |
|
处理动作 |
处理动作包括:允许、拒绝。 |
|
日志级别 |
日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。 |
|
提交 |
提交后当前规则新建成功。 |
|
取消 |
取消规则创建,不下发配置。 |
URL过滤策略创建成功后如图1-56所示。策略显示详细说明,如表1-21所示。
图1-56 URL过滤策略配置显示
表1-21 URL过滤策略配置显示详细说明
|
标题项 |
说明 |
|
ID |
策略对应ID,代表策略优先级。 |
|
描述 |
策略描述信息显示。 |
|
URL分类 |
URL预定义分类和自定义分类。 |
|
动作 |
规则动作,包括:允许、拒绝。 |
|
级别 |
规则日志级别,包括:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。 |
|
启用 |
规则启用状态显示,包括:启用和禁用。 |
|
操作 |
支持对当前规则进行编辑和删除。 |
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“URL过滤>恶意URL”标签页,如图1-57所示。恶意URL过滤页面详细配置说明,如表1-22所示。
表1-22 恶意URL过滤详细配置
|
标题项 |
说明 |
|
过滤 |
勾选后则启用恶意URL过滤策略。 |
|
不过滤 |
勾选后则关闭恶意URL过滤策略。 |
随着网络化的普及,网络的管理也日趋精细,经常需要在网络内部发布公告或通知内容。网络内部可以选择使用终端公告提醒的公告功能,公告发布后,内网终端能够在访问网页时重定向到公告页面,以达到公告的目的。
通过菜单“策略配置>控制策略”,新建一条控制策略,编辑此控制策略,进入如图1-58所示页面。在该页面上可以配置终端公告推送的相关功能。各个配置项含义如表1-23所示。
|
标题项 |
说明 |
|
启用 |
勾选复选框表示开启终端公告推送功能。 |
|
提醒频率(间隔) |
按配置间隔阈值,周期性进行公告提醒。 |
|
提醒频率(定时) |
配置定时时间,定时进行公告提醒。 |
|
页面选择 |
复选框,可以选择设备内置公告,也可以选择外置公告页面。 |
如图1-59所示,某公司为了加强上网管理,拟定了一个上网准则公告,需要周期性进行网络内部推送,使用设备的ge0和ge1接口以三层路由模式部署在网络中,上联出口FW,下联二层交换机。设备上开启移动终端公告推送功能,检测上网行为并周期推送公告提醒。
· 配置设备接口地址及路由。
· 配置地址对象。
· 配置用户识别范围。
· 配置自定义公告内容。
· 开启移动终端公告推送功能。
(1) 配置接口地址
如图1-60、图1-61所示,进入“网络配置 > 接口配置”页面,点击编辑ge0、ge1操作,把ge0、ge1的地址分别配置为10.0.219.110/24、192.168.1.1/24。
(2) 配置静态路由
如图1-62所示,进入“网络配置 > 路由管理 > 静态路由”页面,新建一条访问外网的默认路由。
(3) 配置地址对象
如图1-63所示,进入“策略配置 > 对象管理>地址对象>地址对象”页面,点击<新建>按钮创建内网用户地址对象,设置地址为192.168.1.0/24,点击<提交>。
(4) 配置用户识别范围
如图1-64所示,进入“用户管理 > 认证管理 > 高级选项 > 全局配置”页面,识别范围选择“内网用户”,其它配置默认,提交配置。
(5) 配置自定义公告内容
如图1-65所示,进入“策略配置 > 对象管理 > 公告页面”,点击名称中“默认公告”,弹出自定义公告编辑页面。
(6) 开启终端公告推送功能
如图1-66所示,进入“策略配置 > 控制策略”页面,新建控制策略,源IP选择“内网用户”并开启终端公告推送功能。
· 内网接口管理方式必须开启http,终端才能正常访问公告页面。
如图1-67所示,某员工使用1台PC访问http网站,会被推送上网准则公告。
高级配置包含时间、老化时间、终端配置,时间中引用时间对象以控制策略的生效时间,老化时间控制命中此控制策略的会话存活周期,终端可以控制当前控制策略基于哪些类型的终端生效。
通过菜单“策略配置>控制策略”,新建一条控制策略,点击<高级配置>,进入如图1-68所示页面。各个配置项含义如表1-24所示。
|
标题项 |
说明 |
|
时间 |
策略生效时间,可以引用时间对象。 |
|
老化时间 |
基于策略的老化时间,命中此策略的会话按此时间进行老化,默认为0。 |
|
终端 |
终端型号,包含any、移动终端、PC、多终端。 |
|
终端型号 |
选择终端型号,默认为any。此功能依赖于第三方用户同步中的ddi终端用户功能,需要将终端型号信息同步给设备。 |
|
VLAN |
选择策略匹配的虚拟局域网,any表示所有。可配置的范围为0~4094,单个/范围(用-连接),多项用,隔开,最多可配置8组。 |
|
DSCP |
选择策略匹配的差分服务代码点,any表示所有。可配置的范围为0~63,单个/范围(用-连接),多项用,隔开,最多可配置8组。 |
|
流标签 |
选择策略匹配的流标签,any表示所有。可配置的范围为0-1048575,单个/范围(用-连接),多项用,隔开,最多支持8组。 |
|
IPv6扩展头 |
选择策略匹配的拓展头,不勾选表示不进行匹配操作。 |
点击<选择终端>,弹出如图1-69所示页面。各个配置项含义如表1-25所示。
|
标题项 |
说明 |
|
已选终端 |
显示已选择的终端类型配置。 |
|
终端类型 |
终端类型包含: · any:所有终端类型。 · 移动终端:基于Android或IOS系统的智能手机或Pad。 · PC:基于Windows操作系统的PC或笔记本。 · 多终端:单个IP下同时存在PC和移动终端。 |
|
名称 |
终端类型的名称。 |
|
描述 |
终端类型实际含义的描述信息。 |
针对公司内部网络,不允许移动终端用户通过WIFI热点接入(如360wifi),进行上网,防止降低工作效率。
图1-70 终端控制组网图
(1) 创建终端控制策略,在导航栏中选择“策略配置 > 控制策略”,点击<新建>进入控制策略配置页面,行为选择“拒绝”,高级配置中的终端选择“移动终端”,如图1-71所示。
(2) 点击<提交>按钮,提交配置。
在办公电脑上,启用360wifi,使用移动终端连接wifi,访问网页,被阻断,PC端可以正常访问网络,如图1-72、图1-73所示。
图1-73 PC端可以正常访问网络
控制策略分析对当前存在或即将新建的策略进行分析,查看现有环境中有:冲突、冗余、隐藏、合并、过期和空策略中的哪一种情况,让设备更易于使用、便于维护和管理。
策略分析针对策略内的用户、源接口、目的接口、源地址、应用、服务、目的地址和时间进行对象内逐一分析。策略分析的结果包括六类:
· 冲突策略:不区分匹配的前后顺序,若策略A和策略B存在数据流交集(非包含和被包含关系),且AB策略的行为不同,则A和B互为冲突策略;
· 冗余策略:根据匹配的前后顺序(先匹配A策略匹配B策略),如果A策略匹配的所有数据流会被B策略包含在里面,删除A策略不会对其余策略产生影响,如果AB策略行为相同,那么A策略会被计算为冗余策略;
· 隐藏策略:根据匹配的前后顺序(先匹配A策略在匹配B策略),如果B策略匹配的所有数据流会被A策略包含在里面,如果AB策略行为相同,那么B策略会被计算为隐藏策略;
· 可合并策略:不区分匹配的前后顺序,策略内元组信息只有一项不同(且可合并)的情况下,则认为是可以合并的策略;
· 空策略:当策略中匹配的任何一个对象为空时,那么该策略会被计算为空策略;
· 过期策略:发现当前策略中,匹配的时间范围已经不会再次出现的策略。
策略分析分为全局分析和单独策略的即时分析两种方式。
在导航栏中选择“策略配置>控制策略>策略分析”,进入控制策略分析显示界面,如图1-1所示。
图2-1 控制策略分析显示界面
策略分支支持定时分析,在导航栏中选择“策略配置>控制策略>策略分析”,进入控制策略分析页面,点击策略分析设置,如图1-2所示。
图2-2 策略分析设置界面
策略分析设置界面的详细信息如表1-2所示:
表2-1 策略外部编辑界面详细信息
|
标题项 |
说明 |
|
开启分析 |
开启/关闭策略定时分析。 |
|
CPU高于 |
配置范围(50-99)内,当CPU高于配置信息后自动策略分析停止。 |
|
内存高于 |
配置范围(50-99)内,当内存高于配置信息后自动策略分析停止。 |
|
周期 |
可以选择每天、每周、每月。 |
|
时间 |
可以选择定时自动分析的时间。 |
策略分析界面默认显示上次的分析结果,单击<立即分析>按钮,可以对整体的策略进行策略分析,如图2-3所示。
控制策略分析完成后会显示开始分析时间和分析结束时间,并显示耗时时长,以柱状图及表格形式展现分析结果。在表格下方点击各页签查看异常策略的详细信息,
各类异常策略说明如下表所示。
|
标题项 |
说明 |
|
冲突策略 |
不区分匹配的前后顺序,若策略A和策略B存在数据流交集(非包含和被包含关系),且AB策略的行为不同,则A和B互为冲突策略。 |
|
冗余策略 |
根据匹配的前后顺序(先匹配A策略匹配B策略),如果A策略匹配的所有数据流会被B策略包含在里面,删除A策略不会对其余策略产生影响,如果AB策略行为相同,那么A策略会被计算为冗余策略。 |
|
隐藏策略 |
根据匹配的前后顺序(先匹配A策略在匹配B策略),如果B策略匹配的所有数据流会被A策略包含在里面,如果AB策略行为相同,那么B策略会被计算为隐藏策略。 |
|
可合并策略 |
不区分匹配的前后顺序,策略内元组信息只有一项不同(且可合并)的情况下,则认为是可以合并的策略。 |
|
空策略 |
当策略中匹配的任何一个对象为空时,那么该策略会被计算为空策略。 |
|
过期策略 |
发现当前策略中,匹配的时间范围已经不会再次出现的策略。 |
|
忽略策略 |
手动忽略不进行分析的策略。 |
在导航栏中选择“策略配置>控制策略”,点击新建按钮,进入控制策略配置显示界面,如图2-4所示。
控制策略配置完成后,点击<策略分析>按钮,进行即时分析并显示分析进度条,分析完成后弹出策略分析完成的提示,如图2-5所示。
如当前策略和已存在策略存在影响,会在页面显示分析结果。点击分析结果,会显示当前策略和哪些策略存在影响关系,如图2-6所示。如果当前策略和已存在策略互不影响,则会显示策略较合理,如图2-7所示。
图2-7 控制策略即时分析结果-策略合理
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
