12-全局白名单配置指导
本章节下载: 12-全局白名单配置指导 (174.27 KB)
之前的白名单实现方法都是基于业务逐个排除用户,这种操作非常麻烦;出于易用性和可操作行的考虑,希望实现一种从用户角度出发,简单可操作,即通过配置全局白名单,对源地址为白名单的用户报文实现全放通。
· 全局白名单支持的范围:
· 不支持基于用户、U-key的白名单、只支持基于源IP、源MAC。
· 白名单优先级高于黑名单,按照全局白名单走,不去匹配黑名单。
· 对于白名单用户,防共享不生效,因为白名单是要放开审计的,但是防共享是依赖于的审计功能中的特征检测机制,所以防共享对白名单是不生效的。
· 对于白名单用户,在线用户中属于默认组,显示为匿名用户(白名单)。
· 在全局白名单中使用ip地址进行搜索支持模糊匹配,没有进行名称、地址、描述的区分,按照字符的模糊匹配的原则。
操作 |
命令 |
说明 |
进入配置视图 |
system-view |
- |
新建全局白名单名称 |
||
启用全局白名单 |
enable |
必选 |
添加全局白名单地址 |
address A.B.C.D |
必选 |
操作 |
命令 |
说明 |
进入配置视图 |
system-view |
- |
删除全局白名单 |
no whitelist NAME |
必选 |
按表1-3所示步骤配置修改全局白名单规则。
操作 |
命令 |
说明 |
进入配置视图 |
system-view |
- |
修改全局白名单规则 |
address A.B.C.D |
必选 |
修改白名单描述 |
description [ news-description ] |
news-description是白名单描述。 |
在完成上述配置后,在任意视图下执行display命令显示全局白名单的配置情况。
操作 |
命令 |
说明 |
显示全局白名单规则 |
当前的网络环境中,出于信息安全的考虑对用户上网的数据进行控制和审计的限制;但是存在一些特权的用户(高层领导、特权管理员),他们不希望自己上网的数据被限制或者被审计;全局白名单刚好可以针对特殊用户排除这些繁琐的策略审计,实现数据全放通,实现数据全放通,组网拓扑如下图所示:
图1-1 配置全局白名单组网图
(1) 按照组网图组网。
(2) 设备配置。
HOST # system-view
HOST (config)# whitelist 白名单
HOST(global-whitelist)# enable
HOST(global-whitelist)# address 192.168.200.36
(1) 白名单用户不需要认证即可上网。
(2) 白名单用户不受安全策略控制。
(3) 白名单用户不会被入侵检测和病毒防护识别。
(4) 白名单用户不受会话限制。
(5) 白名单用户不受Qos策略、限额策略限制。
(6) 白名单用户不受应用审计。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!