欢迎user
44-全局白名单
本章节下载: 44-全局白名单 (397.06 KB)
当前的网络环境中,出于信息安全的考虑对用户上网的数据进行控制和审计的限制;但是存在一些特权的用户(高层领导、特权管理员),他们不希望自己上网的数据被限制或者被审计;全局白名单可以针对特殊用户排除这些繁琐的策略审计,实现数据全放通。
本功能具有如下功能点:
· 支持对源IP地址配置(包括主机地址、网段地址、地址范围)配置白名单;
· 支持对源MAC地址配置白名单;
· 该功能支持IPv4/IPv6的使用场景。
通过菜单“策略配置 > 全局白名单”,进入如图1-1所示页面。在该页面上可以查看已配置的全局白名单信息,各个显示项含义如表1-1所示。
标题项 |
说明 |
名称 |
全局白名单策略的名称,必填项。 |
地址 |
配置全局白名单的地址,可支持配置IP地址和MAC地址两种方式。 |
描述 |
全局白名单策略的描述,选填项。 |
状态 |
全局白名单策略的状态分启用和禁用两种状态。 |
操作 |
操作选项可以对全局白名单策略执行编辑修改描述、地址、状态操作,也可以删除单条全局白名单策略操作。 |
点击图1-1的<新建>按钮,可以进入全局白名单配置界面,如图1-2所示。各个配置项的含义如表1-2所示。
标题项 |
说明 |
启用 |
全局白名单策略是否启用,勾选表示启用,不勾选表示禁用。 |
名称 |
全局白名单策略的名称,必填项。 |
描述 |
全局白名单策略的描述,选填项。 |
地址 |
配置全局白名单的地址,可支持配置IP地址和MAC地址两种方式。 |
· 全局白名单只对会话中的源IP、源MAC进行匹配。
· 配置全局白名单的用户仅做会话识别,不做其它控制策略。
测试终端通过设备访问外网资源,设备对测试终端所有用户(图中测试终端PC除外)访问外网资源进行审计并对终端访问外网要优先进行WEB认证,以及工作时间禁止使用即时通讯软件。
· 测试终端和设备网络可达。
· 设备上用户识别范围包含测试终端所在网段。
图1-3 全局白名单组网图
(1) 配置用户识别范围。如图1-4所示。
(2) 配置审计策略。如图1-5所示。
(3) 配置控制策略。如图1-6所示。
(4) 配置认证策略。如图1-7所示。
(5) 配置全局白名单,如图1-8所示。
配置完成后,在白名单用户测试PC(20.1.1.21)上访问外网不需要经过认证即可上网,且上网访问的记录将不会进行审计,工作时间登录qq也是正常的。
在其它非白名单用户终端(20.1.1.10)上访问外网首先需要进行认证才能访问外网,且访问外网的相关记录设备上可以进行审计,工作时间登录qq被阻断。
(1) 非白名单用户访问外网需要优先进行认证,如图1-9所示。
(2) 非白名单用户浏览网页审计记录正常,如图1-10所示。
(3) 非白名单用户即时通讯软件阻断正常,如图1-11所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!