• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 Web配置指导(R6612 E6453)-6W106

44-全局白名单

本章节下载 44-全局白名单  (397.06 KB)

44-全局白名单


1 全局白名单

1.1  全局白名单简介

当前的网络环境中,出于信息安全的考虑对用户上网的数据进行控制和审计的限制;但是存在一些特权的用户(高层领导、特权管理员),他们不希望自己上网的数据被限制或者被审计;全局白名单可以针对特殊用户排除这些繁琐的策略审计,实现数据全放通。

本功能具有如下功能点:

·     支持对源IP地址配置(包括主机地址、网段地址、地址范围)配置白名单;

·     支持对源MAC地址配置白名单;

·     该功能支持IPv4/IPv6的使用场景。

1.2  配置全局白名单

通过菜单“策略配置 > 全局白名单”,进入如图1-1所示页面。在该页面上可以查看已配置的全局白名单信息,各个显示项含义如表1-1所示。

图1-1 全局白名单页面

 

表1-1 全局白名单配置项含义表

标题项

说明

名称

全局白名单策略的名称,必填项。

地址

配置全局白名单的地址,可支持配置IP地址和MAC地址两种方式。

描述

全局白名单策略的描述,选填项。

状态

全局白名单策略的状态分启用和禁用两种状态。

操作

操作选项可以对全局白名单策略执行编辑修改描述、地址、状态操作,也可以删除单条全局白名单策略操作。

 

点击图1-1的<新建>按钮,可以进入全局白名单配置界面,如图1-2所示。各个配置项的含义如表1-2所示。

 

图1-2 全局白名单配置页面

 

表1-2 全局白名单配置项含义表

标题项

说明

启用

全局白名单策略是否启用,勾选表示启用,不勾选表示禁用。

名称

全局白名单策略的名称,必填项。

描述

全局白名单策略的描述,选填项。

地址

配置全局白名单的地址,可支持配置IP地址和MAC地址两种方式。

 

说明

·     全局白名单只对会话中的源IP、源MAC进行匹配。

·     配置全局白名单的用户仅做会话识别,不做其它控制策略。

 

1.3  全局白名单典型配置举例

1.3.1  组网需求

测试终端通过设备访问外网资源,设备对测试终端所有用户(图中测试终端PC除外)访问外网资源进行审计并对终端访问外网要优先进行WEB认证,以及工作时间禁止使用即时通讯软件。

·     测试终端和设备网络可达。

·     设备上用户识别范围包含测试终端所在网段。

1.3.2  组网图

图1-3 全局白名单组网图

 

1.3.3  配置步骤

(1)     配置用户识别范围。如图1-4所示。

图1-4 配置用户识别范围

 

(2)     配置审计策略。如图1-5所示。

图1-5 审计策略配置页面

 

(3)     配置控制策略。如图1-6所示。

图1-6 控制策略配置

 

(4)     配置认证策略。如图1-7所示。

图1-7 认证策略配置

 

(5)     配置全局白名单,如图1-8所示。

图1-8 配置全局白名单

 

1.3.4  验证配置

配置完成后,在白名单用户测试PC(20.1.1.21)上访问外网不需要经过认证即可上网,且上网访问的记录将不会进行审计,工作时间登录qq也是正常的。

在其它非白名单用户终端(20.1.1.10)上访问外网首先需要进行认证才能访问外网,且访问外网的相关记录设备上可以进行审计,工作时间登录qq被阻断。

(1)     非白名单用户访问外网需要优先进行认证,如图1-9所示。

图1-9 非白名单用户访问外网优先进行认证

 

(2)     非白名单用户浏览网页审计记录正常,如图1-10所示。

图1-10 非白名单用户访问网页审计日志

 

(3)     非白名单用户即时通讯软件阻断正常,如图1-11所示。

图1-11 非白名单用户登录即时通讯软件被阻断

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们