- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
02-URL过滤功能典型配置举例
本章节下载 (534.40 KB)
目录
本文档介绍F1000--ServerBlade设备URL过滤配置举例,包括自定义对象URL过滤和预定义对象URL过滤。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解URL过滤特性。
· 网页中链接引用的情况非常普遍,同一个网页上的Flash、嵌入视频和图片等内容可能分别对应不同的URL,此时只允许其中某个URL通过,无法保证网页全部完整可用。
如图1所示,某公司内网存在研发网段和财务网段,IP地址分别为192.168.3.0/24和172.16.2.0/24。使用设备的npi3和ge3接口作为透明桥,串接部署在核心交换机和出口路由器之间,启用URL过滤功能,具体应用需求如下:
· 针对研发网段,不允许访问在线音乐和BBS站点类网站,允许访问其它类网站,并过滤恶意URL。
· 针对财务网段,阻止访问网易(包括网易新闻、网易娱乐等所有网易主站和子网站)网站,其它网站访问全部允许访问。
图1 URL过滤配置组网图
· 针对某一类别的URL过滤需求,通过预定义URL对象过滤实现。
· 针对具体某一个网站的URL过滤需求,通过自定义URL对象过滤实现。
· 在进行URL过滤匹配时,先进行自定义URL的匹配,匹配算法为在报文携带的URL中从前向后取自定义URL字符串,如果可以取到即匹配规则并返回结果,不再继续匹配。例如配置拒绝自定义对象“baidu”和允许自定义对象“com”,当URL是www.baidu.com时,从前到后先取到baidu字符串则拒绝,而其它com网页将被允许,继续进行预定义URL对象过滤规则匹配。
· 自定义URL对象过滤规则匹配完成后,将进行预定义URL对象过滤规则匹配,此时报文携带的URL将会遍历所有预定义URL对象过滤规则,如果匹配到阻断策略则会拒绝访问URL。
· 如果报文携带的URL在先后匹配了自定义和预定义URL对象过滤后都没有被阻断,那么最终URL将被放行。
如图2所示,使用http或https的方式登录设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。
图2 登录Web网管
如图3所示,进入“资源管理>地址>IPv4地址对象”,点击<新建>,IP地址配置为192.168.3.0/24,创建研发网段地址对象,点击<提交>。按照同样的方法配置财务网段地址对象。
如图4所示,创建成功的地址对象配置如下:
如图5所示,进入“资源管理> URL >自定义URL”,点击<新建>,配置自定义URL对象网易,“内容”配置为163,点击<提交>。
图5 配置自定义URL对象网易
如图6所示,创建成功的自定义URL对象如下:
图6 自定义URL对象配置成功
如图7所示,进入“防火墙>安全策略> IPv4安全策略”,点击<新建>,“源地址”配置为研发网段,接着配置“URL过滤”部分。
如图8所示,在IPV4策略页面的“URL过滤”标签页,将“过滤恶意URL”点击为<过滤>,点击<新建>,“URL分类”配置为在线音乐和BBS站点,“处理动作”配置为拒绝,“日志级别”配置为信息,点击<提交>。
图8 配置“在线音乐”和“BBS站点”类URL阻断
如图9所示,创建成功的研发网段URL过滤策略配置如下:
图9 研发网段URL过滤策略配置成功
如图10所示,进入“防火墙>安全策略> IPv4安全策略”,点击<新建>,“源地址”配置为财务网段,接着配置“URL过滤”部分。
如图11所示,在“URL过滤”标签页中,点击<新建>,“URL分类”配置为网易,“处理动作”配置为拒绝,“日志级别”配置为信息,点击<提交>。
如图12所示,创建成功的研发网段URL过滤策略配置如下:
图12 财务网段URL过滤策略配置成功
(1) 验证研发网段URL过滤效果
如图13所示,测试研发网段无法打开虾米音乐等在线音乐类网站。
如图14所示,测试研发网段无法打开天涯论坛等BBS站点类网站。
如图15所示,测试研发网段无法访问恶意URL页面。
(2) 验证财务网段URL过滤效果
如图16所示,测试财务网段无法访问网易主页。
如图17所示,财务网段无法访问网易体育页面。
!
address 研发网段
ip subnet 192.168.3.0/24
!
address 财务网段
ip subnet 172.16.2.0/24
!
url-category 网易
url 163
!
policy any any 研发网段 any any any any always audit 1
website-policy malware enable
website-policy 1 music,BBS, deny info FilterUrl
website-policy enable 1
policy any any 财务网段 any any any any always audit 2
app-policy 1 application any any any keyword include any accept info FilterIMLoginAction
app-policy enable 1
website-policy malware disable
website-policy 1 网易, deny info FilterUrl
website-policy enable 1
policy default-action permit
policy white-list enable
!
· 《H3C SecPath F1000-ServerBlade 服务器安全智能模块 Web配置手册》中的“URL过滤”
· 《H3C SecPath F1000-ServerBlade 服务器安全智能模块 配置指导》中的“URL分类与网站策略配置指导”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
