- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
74-防翻墙功能典型配置举例
本章节下载: 74-防翻墙功能典型配置举例 (586.11 KB)
设备支持防翻墙控制功能,通过海外IP库,DNS及其他方式对翻墙流量进行识别并控制翻墙行为,可有效识别“自由门”、“蓝灯”等翻墙软件。同时对设备产生的防翻墙日志进行分析和展示,精准记录各种违规行为,对防翻墙行为进行有效回溯,规避网络风险。
本文档介绍设备防翻墙控制功能的配置举例。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
在配置前,需要做如下准备:
· 客户已经了翻墙控制功能有一定的了解。
· 在一个PC上同时开启蓝灯和自由门软件时,防翻墙的应用识别会存在误识别的情况,原因是翻墙软件识别基于流量行为组合分析,涉及多流识别,识别结果只能记录在用户上,当一个pc同时打开两个软件时,产生行为识别分析时会覆盖用户上的识别结果,因此,多软件上网时,通过流量获取用户的识别结果会不准确。
· 自由门、蓝灯、无界软件阻断之后会不断地产生新的连接,目前识别控制是基于已发现的行为进行处理以及分析,针对在连接中新出现而未分析的行为,会导致漏识别的情况。
· 如果先打开自由门、蓝灯、无界等翻墙软件,再开启防翻墙控制功能,则识别会受到影响,因为有些特征是在应用连接的时候获取到的,会导致应用无法阻断。
· 由于自由门和蓝灯软件识别都是与用户以及会话行为进行了绑定,如果对设备进行了清除会话或清除用户操作,会影响识别和控制的效果。
· 建议用户识别范围配置现网中实际检测的网段,如果配置any的话有可能导致用户上线超规格从而影响应用识别。
· 无硬盘设备不支持翻墙行为分析功能。
· APP-R3.1.478及之后发布的特征库版本支持此功能。
如4.2 所示,某企业内网由多个业务部门组成,设备作为企业出口网关,以网关模式部署在企业网络出口处。企业管理层需要了解企业内部使用翻墙软件的情况,并且需要对企业内部使用翻墙的行为进行分析和展示,从而对企业内部的翻墙行为进行有效的回溯以及监管。
图1 防翻墙配置举例组网图
· 按照组网图组网
· 配置基础网络
· 配置控制策略
· 配置防翻墙功能
· 配置日志过滤
· 升级应用特征库
· 开启翻墙行为分析功能
本举例是在R6618版本上进行配置和验证的。
(1) 配置基础网络
进入“网络配置>接口配置>物理接口”页面,按组网图配置物理接口地址,如图2所示。
进入“网络配置>路由管理>静态路由”页面,配置内网能访问外网的路由,如图3所示。
进入“策略配置>NAT转换策略>源NAT”页面,配置源NAT,如图4所示。
(2) 配置控制策略
进入“策略配置>控制策略”页面,配置控制策略,默认规则为允许,如图5所示。
(3) 配置防翻墙功能
进入“策略配置 > 防翻墙配置”页面,配置防翻墙功能,如图6所示。
(4) 配置日志过滤
进入“系统管理>系统设定>日志设定>日志过滤”页面,配置本地记录翻墙控制日志,如图7所示。
(5) 升级应用特征库
进入“系统管理>系统维护>系统升级”页面,升级包含翻墙行为的应用特征库,如图8所示。
(6) 开启翻墙行为分析功能
进入“数据中心>安全分析>翻墙行为分析”页面,开启翻墙行为分析功能,如图9所示。
内网用户通过翻墙软件访问外网时可以识别到对应翻墙应用。
(1) 进入“数据分析 > 日志中心 > 翻墙控制日志”,可以查看到识别到的翻墙日志。
图10 翻墙控制日志
(2) 进入“数据分析 > 安全分析 > 翻墙行为分析”页面,可以查看到使用翻墙应用的TOP用户、用户组,以及使用较多的TOP翻墙应用软件。
图11 翻墙行为分析
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
