• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

04-系统管理配置指导

目录

12-全局白名单配置指导

本章节下载 12-全局白名单配置指导  (174.27 KB)

12-全局白名单配置指导


1 全局白名单

1.1  全局白名单简介

·     全局白名单目的

之前的白名单实现方法都是基于业务逐个排除用户,这种操作非常麻烦;出于易用性和可操作行的考虑,希望实现一种从用户角度出发,简单可操作,即通过配置全局白名单,对源地址为白名单的用户报文实现全放通。

·     全局白名单支持的范围:

基于IP地址、IP地址范围、mac地址配置白名单

1.2  全局白名单使用限制

·     不支持基于用户、U-key的白名单、只支持基于源IP、源MAC。

·     白名单优先级高于黑名单,按照全局白名单走,不去匹配黑名单。

·     对于白名单用户,防共享不生效,因为白名单是要放开审计的,但是防共享是依赖于的审计功能中的特征检测机制,所以防共享对白名单是不生效的。

·     对于白名单用户,在线用户中属于默认组,显示为匿名用户(白名单)。

·     在全局白名单中使用ip地址进行搜索支持模糊匹配,没有进行名称、地址、描述的区分,按照字符的模糊匹配的原则。

1.3  新建全局白名单规则

表1-1所示步骤新建全局白名单

表1-1 新建全局白名单

操作

命令

说明

进入配置视图

system-view

-

新建全局白名单名称

whitelist NAME

必选

启用全局白名单

enable

必选

添加全局白名单地址

address A.B.C.D

必选

 

1.4  删除全局白名单规则

表1-2所示步骤删除全局白名单

表1-2 配置删除全局白名单

操作

命令

说明

进入配置视图

system-view

-

删除全局白名单

no whitelist NAME

必选

 

1.5  修改全局白名单规则

表1-3所示步骤配置修改全局白名单规则。

表1-3 修改全局白名单规则

操作

命令

说明

进入配置视图

system-view

-

修改全局白名单规则

address A.B.C.D

必选

修改白名单描述

description [ news-description ]

news-description是白名单描述。

 

1.6  全局白名单的显示和维护

在完成上述配置后,在任意视图下执行display命令显示全局白名单的配置情况。

表1-4 全局白名单规则的显示

操作

命令

说明

显示全局白名单规则

display running-config whitelist

显示全局白名单规则

 

1.7  全局白名单典型配置举例

1. 组网需求

当前的网络环境中,出于信息安全的考虑对用户上网的数据进行控制和审计的限制;但是存在一些特权的用户(高层领导、特权管理员),他们不希望自己上网的数据被限制或者被审计;全局白名单刚好可以针对特殊用户排除这些繁琐的策略审计,实现数据全放通,实现数据全放通,组网拓扑如下图所示:

图1-1 配置全局白名单组网图

 

2. 配置步骤

(1)     按照组网图组网。

(2)     设备配置。

HOST # system-view

HOST (config)# whitelist 白名单

HOST(global-whitelist)# enable

HOST(global-whitelist)# address 192.168.200.36

 

3. 验证配置

(1)     白名单用户不需要认证即可上网。

(2)     白名单用户不受安全策略控制。

(3)     白名单用户不会被入侵检测和病毒防护识别。

(4)     白名单用户不受会话限制。

(5)     白名单用户不受Qos策略、限额策略限制。

(6)     白名单用户不受应用审计。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们