• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6614)-6W102

目录

02-控制策略典型配置举例

本章节下载 02-控制策略典型配置举例  (2.35 MB)

02-控制策略典型配置举例


1  简介

本文档介绍设备的控制策略配置举例,控制策略包含终端公告提醒、URL过滤控制,应用过滤控制、终端类型控制,应用过滤控制细分为:应用控制、邮件控制、WEB关键字、虚拟账号。本文针对部分功能进行详细配置的举例介绍,以引导用户快速了解功能。各功能实现效果简要介绍如下所示。

WEB关键字实现效果:

·     搜索引擎:

对搜索引擎的搜索内容进行监控,提供告警、拒绝两种处理动作,并支持记录日志。

·     HTTP上传:

对http上传的POST内容进行监控,提供告警、拒绝两种处理动作,并支持记录日志,如:

web邮件过滤(发件人、收件人,主题、内容、附件名);

web社区论坛(发帖内容、附件上传);

·     网页内容:

支持所有http网页浏览内容过滤,网页内容必须为文本形式,不能为图片中的文字。

虚拟账号控制实现效果:

只支持QQ虚拟账号的控制,关键字过滤只支持精确匹配。根据匹配到的动作(黑名单|白名单)进行QQ账号控制并产生应用控制日志。

邮件控制实现效果:

邮件控制策略页面包含发件人过滤、收件人过滤、标题及内容过滤、邮件大小以及附件个数过滤。发件人和收件人过滤包括功能开启、策略属性(黑白名单)以及关键字配置。标题及内容支持关键字配置。

终端公告提醒实现效果:

终端公告提醒:当内网终端在访问网页时重定向到公告页面,以达到推送公告的目的,可以设置公告推送频率,支持设备内置公告以及外部公告。

URL过滤实现效果:

URL过滤是基于URL分类来对用户访问WEB站点进行控制,控制动作包含允许和拒绝。这样可以通过对HTTP协议的控制为用户提供应用级的安全防护和访问限制。

终端类型控制实现效果:

终端类型定义如下:

any:所有终端类型。

移动终端:基于Android或IOS系统的智能手机或Pad。

PC:基于Windows操作系统的PC或笔记本。

在某此场景下,为了保证办公内网的安全,管理员只允许受控的办公电脑可以正常访问网络,对其通过wifi热点接入的移动终端进行控制,以达到管控的目的。

 

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了控制策略功能特性。

3  使用限制及注意事项

·     配置WEB关键字过滤规则之前需要先配置解密策略,由于涉及加密的网站较多,不配置解密无法识别到对应的关键字会导致关键字过滤失败。

·     WEB关键字附件上传过滤不支持压缩文件。

·     关键字过滤同一条流只要检查到第一个符合条件的关键字就会停止匹配。

·     关键字过滤不支持附件内容过滤。

·     关键字过滤字母不区分大小写。

·     网页内容过滤时,有时关键字在网页中的位置比较靠后,此时检测到关键字后,部分网页内容已经加载成功,此时会出现网页部分加载的情况。

·     苹果系统虚拟账户控制不生效,特征加密问题。

·     虚拟账户控制:QQ账号黑白名单关键字控制,关键字匹配为精确匹配。

·     虚拟账号控制依赖应用特征库,特征库不识别时无法控制。

·     移动端(安卓)测试虚拟账号控制时,需要关闭移动网络。

·     关键字条目规格512和1024条,每个关键字对象里可以配置1024个关键字。

·     旁路模式qq 阻断不生效。

·     虚拟账户白名单,应用控制不产生日志(只有黑名单阻断后才产生日志)。

·     虚拟账号黑白名单关键字默认显示为“-”。

·     虚拟账号黑名单引用关键字的内容为空,不控制qq登录,不引用关键字策略不生效,不阻断。

·     虚拟账号白名单引用关键字的内容为空(匹配不上),阻断qq登录,并产生日志。不引用关键字策略不生效,不阻断。

·     配置关键字内容为qq号(关键字精确匹配),qq过滤引用白名单。

·     下联终端使用关键字内的qq号码登录,匹配后可以正常登录,不记录控制日志。

·     下联终端使用非关键字内的qq号码登录,qq无法登录,控制日志处应该记录一条日志。

·     配置的虚拟账号阻断,应用控制放行 qq登录阻断前后会有一条放行的日志--- QQ登录识别报文和获取账号报文不在同一个报文中,前一个报文识别为QQ登录,未获取到QQ账号,命中了应用控制策略报放行日志。后一个报文获取到QQ账号,命中了虚拟账号策略,报阻断日志,此情况属于正常现象。

·     使用终端公告提醒功能时内网接口管理方式必须开启http,终端才能正常访问公告页面。

 

4  WEB关键字过滤功能配置举例

4.1  组网需求

图1所示,某公司网络管理员针对内网用户上网不允许搜索引擎查找敏感关键字:毒品,不允许外发WEB邮件内容包含敏感关键字:内网资产,不允许浏览包含关键字<新闻> 的网页。

图1 WEB关键字过滤组网

 

4.2  配置思路

·     在设备上配置各接口地址,如拓扑图所示。

·     生成CA根证书。

·     导出CA根证书(P12格式)。

·     将CA根证书导入本地证书。

·     创建https对象。

·     创建解密策略。

·     创建关键字对象。

·     创建WEB关键字过滤策略。

·     在测试终端导入证书。

·     验证配置。

4.3  使用版本

本举例是在R6614版本上进行配置和验证的。

4.4  配置步骤

1. 配置路由接口

图2图3所示,在设备上配置各接口地址。点击“网络配置>接口配置>物理接口”,配置接口IP地址。

图2 配置ge0接口

 

图3 配置ge1接口

 

2. 生成CA根证书

图4所示,点击“策略配置>对象管理>CA服务器>根CA配置管理”,在根证书管理中点击生成CA根证书,配置CA信息。

图4 配置CA根证书

 

图5所示,查看已生成的CA根证书。

图5 查看已生成的CA根证书

 

3. 导出CA根证书

图6所示,点击“策略配置>对象管理>CA服务器>根CA配置管理”,在根证书管理中点击导出CA根证书。

图6 导出CA根证书

 

图7所示,查看已导出的CA根证书。

图7 查看导出的CA根证书

 

4. 将CA根证书导入本地证书

图8所示,在“策略配置>对象管理>本地证书>证书>本地证书”,点击导入,选择之前导出的证书,导入即可,注意密码必须与之前设置的密码一致。

图8 将CA根证书导入到本地证书

 

图9所示,查看导入成功的本地证书。

图9 导入成功的本地证书

 

5. 创建https对象

图10所示,点击“策略配置>对象管理>URL对象>HTTPS对象”,创建https对象。

图10 https对象

 

6. 创建解密策略

图11所示,由于部分测试网站为https加密网站,需要解密后才能识别到关键字,所以需要先创建解密策略,在导航栏中选择“策略配置 > SSL解密策略”,单击<新建>按钮,配置完成后下发。

图11 解密策略

 

7. 创建关键字对象

图12所示,创建关键字对象,在导航栏中选择“策略配置>对象管理>关键字对象”,单击<新建>按钮,配置完成后下发。

图12 关键字对象

 

8. 创建WEB关键字过滤策略

图13图14图15所示,创建WEB关键字过滤规则,在导航栏中选择“策略配置 > 控制策略”,点击<新建>,在弹出页面中依次单击<新建>、<应用过滤>、<WEB关键字>,分别创建搜索引擎规则、HTTP上传规则、网页内容规则。

图13 搜索引擎关键字规则

 

图14 HTTP上传关键字规则

 

图15 网页内容关键字规则

 

9. 在测试终端中导入证书

不同终端的导入证书方式不一样,具体方法请参考“解密策略典型配置举例”。

4.5  验证配置

(1)     搜索引擎结果验证

使用百度搜索引擎搜索关键字“毒品”,访问被阻断,无结果回显,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图16图17所示。

图16 关键字搜索结果

 

图17 应用控制日志

 

(2)     WEB邮箱结果验证

使用126邮箱发送邮件,内容为:内网资产信息请查收,点击发送,邮件无法发送成功,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图18图19所示。

图18 邮件发送

 

图19 应用控制日志

 

(3)     网页浏览结果验证

使用测试PC访问腾讯网站http://www.qq.com/,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图20图21所示。

图20 访问腾讯

 

图21 应用控制日志


 

5  虚拟账号过滤功能配置举例

5.1  组网需求

图22所示,公司内网存在内网用户供内部人员使用;无线wifi供访客使用,具体需求如下:

·     针对内网用户,公司内部人员只放行特定的QQ账户上网,其它QQ号阻断登录。

·     针对无线wifi网络,阻断特定qq账户,其它qq放行可以上网。

图22 虚拟账户组网图

 

5.2  配置思路

按照组网图组网

·     新建地址对象

·     配置关键字对象。

·     控制策略虚拟账户处启用qq账户过滤

5.3  使用版本

本举例是在R6614版本上进行配置和验证的。

5.4  配置步骤

5.4.1  配置设备

1. 配置地址对象

通过菜单“策略配置>对象管理 > 地址对象”,点击<新建>地址对象,配置“内网用户”地址对象和“无线wifi”地址对象。如图23图24所示。

图23 添加内网用户地址对象

 

图24 添加无线wifi地址对象

 

2. 配置关键字对象

通过菜单“策略配置>对象管理 > 关键字对象”,点击<新建>关键字对象,配置“QQ白名单”关键字对象和“QQ黑名单”关键字对象,如图25图26所示。

图25 添加QQ白名单对象

 

图26 添加QQ黑名单对象

 

3. 配置控制策略,虚拟账户配置白名单。

通过菜单“策略配置>控制策略”,点击<新建>进入控制策略配置页面,源地址对象选择“内网用户”,虚拟账户启用白名单,如图27图28所示。

图27 控制策略配置内网用户源地址

 

图28 控制策略配置虚拟账户白名单控制

 

4. 配置控制策略,虚拟账户配置黑名单。

通过菜单“策略配置 >策略配置 >  控制策略”,点击<新建>进入控制策略配置页面,源地址对象选择 “无线wifi”,虚拟账户启用黑名单,如图29图30所示。

图29 控制策略配置无线wifi源地址

 

图30 控制策略配置虚拟账户黑名单控制

 

5.5  验证结果

(1)     内网用户匹配白名单策略效果

通过菜单“数据中心 > 日志中心 > 控制日志 > 应用控制日志”,查看虚拟控制日志。内网用户使用白名单关键字内的QQ账户可以登录,不记录控制日志。使用白名单以外的QQ账户,登录账户阻断后,点击日志详情可以查看匹配的策略名称和阻断账户,如图31所示。

图31 内网用户匹配白名单日志

 

(2)     无线WIFI网段用户匹配黑名单策略效果

通过菜单“数据中心 > 日志中心 > 控制日志 > 应用控制日志”,查看虚拟控制日志。无线WIFI网段用户使用黑名单以外的关键字登录qq,可以登录不记录控制日志。使用黑名单关键字的账户登录qq阻断后查看控制日志,点击日志条目详细可以看到匹配的策略名称和阻断账户进入如图32所示的页面。

图32 无线WIFI用户匹配黑名单日志


 

6  邮件控制功能配置举例

6.1  组网需求

图33所示,某公司为避免敏感信息泄露,需要对公司内网用户与外网用户之间传递的邮件内容进行过滤,将包含敏感信息的邮件内容进行阻断。

设备通过路由模式串接部署在网络中,上联出口FW,下联路由器。在设备上配置邮件控制,对内网接收或发送的邮件进行相应过滤。

图33 邮件控制组网图

6.2  配置思路

·     配置控制策略。

·     在控制策略中配置邮件过滤策略。

6.3  使用版本

本举例是在R6613版本上进行配置和验证的。

6.4  配置步骤

6.4.1  配置设备

1. 配置接口地址

图55图56所示,进入“网络配置>接口配置”页面,点击编辑ge0、ge1操作,把ge0、ge1的地址分别配置为10.0.219.110/24、192.168.1.1/24。

图34 配置ge0接口

 

图35 配置ge1接口

 

2. 配置静态路由

图57所示,进入“网络配置>路由管理>静态路由”页面,新建一条访问外网的默认路由。

图36 配置静态路由

 

3. 配置地址对象

9.5.1  3. 图66所示,进入“策略配置>对象管理>地址对象”,进入IPv4地址对象页面,点击<新建>,新建一个“内网地址”地址对象,地址范围:172.16.11.1/24。

图37 配置地址对象

 

4. 配置用户识别范围

图38所示,进入“用户管理>认证管理>高级选项”,进入全局配置页面,修改<识别范围>为“内网地址”,其余配置为默认配置。

图38 配置用户识别范围

 

5. 配置邮件控制策略

(1)     进入“策略配置>策略配置>控制策略”,单击“新建”进入控制策略配置页面,选择“应用过滤>邮件控制”标签页,进入邮件控制配置页面,勾选启用接收邮件,日志级别选择信息如图39所示。

图39 邮件控制配置页面

 

(2)     在邮件控制页面,单击“添加关键字”创建关键字对象,如下图所示。

图40 关键字对象

 

(3)     勾选“标题及内容关键字”,单击下拉列表中选择关键字对象,配置完成后单击“提交”。

图41 选择标题及内容关键字

 

6.5  验证配置

1. 收取邮件

向内网用户的邮箱发送内容包含关键字信息的邮件,内网用户收取邮件时,提示加载失败,收邮件被阻断。

图42 邮件收取失败

 

登录设备Web管理界面,进入“数据中心>日志中心>控制日志>应用控制日志”,可以查看到阻断日志,点击详情可以查看日志详情。

图43 控制日志列表

2. 发送邮件

用户通过设备发送内容包含关键字信息的邮件,提示发送失败,如图44所示。阻断日志如图45所示。

图44 邮件发送失败

 

图45 发邮件阻断详情

 

6.6  配置注意事项

l     收邮件控制支持协议为pop3和imap。

l     发邮件控制支持协议snmp。


 

7  协议过滤功能配置举例

1. 组网需求

内网PC通过设备进行协议传输,开启FTP协议过滤功能,对PC向FTP服务器上传或下载文件的文件名进行过滤控制,不允许传输文件名包含指定关键字的文件。

2. 组网图

图46 协议过滤配置举例组网图

 

3. 配置步骤

(1)     配置设备连接测试PC接口ge11地址为:172.1.1.1/24,配置出接口mgt0地址为:10.4.1.124/24。

图47 配置设备接口地址

 

(2)     配置设备默认路由指向网关防火墙10.4.1.1的静态路由。

图48 配置默认到网关防火墙的静态路由

 

(3)     配置出接口源NAT地址转换

图49 配置出接口源地址转换

 

(4)     配置FTP协议过滤,针对传输文件名为:test的流量进行阻断处理。

图50 配置FTP协议过滤

 

4. 验证配置

(1)     测试PC过设备向FTP服务器上传或下载文件名包含“test”的文件被阻断。

图51 FTP协议阻断

 

(2)     FTP协议阻断记录控制日志。

进入“数据中心>日志中心>控制日志>应用控制日志”,查看FTP协议阻断日志,如下图所示。

图52 FTP协议阻断记录控制日志

图53 FTP协议阻断日志详情

 

8  终端公告推送功能配置举例

8.1  组网需求

图54所示,某公司为了加强上网管理,拟定了一个上网准则公告,需要周期性进行网络内部推送,使用设备的ge0和ge1接口以三层路由模式部署在网络中,设备上联出口FW,下联二层交换机。设备上开启移动终端公告推送功能,检测上网行为并周期推送公告提醒。

图54 终端公告推送组网

 

8.2  配置思路

·     配置设备接口地址及路由。

·     配置地址对象。

·     配置用户识别范围。

·     配置自定义公告内容。

·     开启移动终端公告推送功能。

8.3  使用版本

本举例是在R6614版本上进行配置和验证的。

8.4  配置步骤

1. 配置接口地址

图55图56所示,进入“网络配置>接口配置”页面,点击编辑ge0、ge1操作,把ge0、ge1的地址分别配置为10.0.219.110/24、192.168.1.1/24。

图55 配置ge0接口

 

图56 配置ge1接口

 

2. 配置静态路由

图57所示,进入“网络配置>路由管理>静态路由”页面,新建一条访问外网的默认路由。

图57 配置静态路由

 

3. 配置地址对象

图58所示,进入“策略配置>对象管理>地址对象>IPv4地址对象”页面,点击<新建>按钮创建内网用户地址对象,设置地址为192.168.1.0/24,点击<提交>。

图58 配置地址对象

 

4. 配置用户识别范围

图59所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“内网用户”,其它配置默认,提交配置。

图59 用户识别范围

 

5. 配置自定义公告内容

图60所示,进入“策略配置>对象管理>公告页面”,点击名称中“默认公告”,弹出自定义公告编辑页面。

图60 自定义公告

 

6. 开启终端公告推送功能

图61所示,进入“策略配置 > 控制策略”页面,新建控制策略,源IP选择“内网用户”并开启终端公告推送功能。

图61 移动终端推送配置

 

8.5  配置注意事项

·     内网接口管理方式必须开启http,终端才能正常访问公告页面。

8.6  验证配置

图62所示,某员工使用1台PC访问http网站,会被推送上网准则公告。

图62 推送公告


 

9  终端类型控制配置举例

9.1  组网需求

图63所示,某公司内部网段IP地址172.16.11.0/24,要求不允许移动终端及多终端访问外网,使用设备的ge0和ge1接口作为路由模式,串接部署在网络中,设备上联出口FW,下联路由器。设备上开启基于终端的控制策略,移动终端或多终端用户无法访问外网。

图63 基于终端类型的控制策略组网图

 

9.2  配置思路

l     配置接口

l     配置静态路由

l     配置地址对象

l     配置用户识别范围

l     配置控制策略

9.3  使用版本

本举例是在R6614版本上进行配置和验证的。

9.4  配置注意事项

9.5  配置步骤

9.5.1  配置设备

1. 配置接口

图64所示,进入“网络配置>接口配置”页面,进入物理接口页面,点击<编辑>按钮,ge0和ge1分别配置10.0.219.110/24和172.16.11.1/24。

图64 配置接口

 

 

2. 配置静态路由

图65所示,进入“网络配置>路由管理>静态路由”,点击<新建>,配置一条缺省路由。

图65 配置静态路由

3. 配置地址对象

图66所示,进入“策略配置>对象管理>地址对象”,进入IPv4地址对象页面,点击<新建>,新建一个“内网地址”地址对象,地址范围:172.16.11.1/24。

图66 配置地址对象

 

4. 配置用户识别范围

图67所示,进入“用户管理>认证管理>高级选项”,进入全局配置页面,修改<识别范围>为“内网地址”,其余配置为默认配置。

图67 配置用户识别范围

 

5. 配置控制策略

图68所示,进入“策略配置 >策略配置 > 控制策略”,进入控制策略页面,点击<新建>,配置一条拒绝控制策略。

图68 配置控制策略

 

选择“高级配置”,配置终端型号,点击<选择终端>进入“选择终端”页面,选择“移动终端”、“多终端”,点击“提交”。

 

9.6  验证配置

图69所示,移动终端访问页面,提示访问出错

图69 移动终端无法上网

 

图70所示,进入“策略配置 >策略配置 > 控制策略”,进入控制策略页面,可以查到策略匹配记录。

图70 控制策略计数

使用PC可以正常上网,未被阻断。


 

10  IPv6控制策略配置举例

10.1  简介

控制策略不仅适用于IPv4网络,也同样适用于IPv6网络的,可以对通过设备的源接口,目的接口,源IPv6地址,目的IPv6地址,服务,用户,以及应用七元组进行访问控制。

说明

·     匹配基于IPv6的控制策略,用户识别范围需要配置为any或者识别方式配置为启发模式。

·     匹配基于IPv6的控制策略,需要在命令行启用IPv6 enable功能。

 

10.2  组网需求

内网用户通过设备访问远端服务器,通过控制策略禁止内网用户访问远端IPv6的HTTP服务器和FTP服务器。

10.3  组网图

图71 IPv6控制策略组网图

 

10.4  配置步骤

(1)     配置基于IPv6地址对象。

进入“策略配置>对象管理>地址对象”页面,新建一条地址对象。

图72 新建IPv6地址对象

 

(2)     配置基于IPv6的URL控制策略。

进入“策略配置>控制策略”页面,新建一条控制策略,在URL过滤策略中新建一条URL控制策略,URL分类选择其它类,处理动作选择拒绝,日志级别配置通知,提交策略。

图73 新建控制策略-新建URL控制策略

 

图74 URL控制策略配置完成

 

(3)     配置应用过滤策略。

单击选择“应用过滤”标签页,新建一条应用过滤策略,应用分类选择“文件传输”,如下图所示。

图75 应用过滤策略选择应用


处理动作选择“拒绝”,日志级别配置为“通知”,如下图所示。

图76 基于IPv6的控制策略-新建应用过滤策略

 

点击<提交>按钮,提交应用过滤配置,如下图所示。

图77 应用过滤策略配置完成

 

(4)     选择源地址为IPv6地址对象host。

单击选择“匹配条件”标签页,源地址选择“host”,如下图所示。

图78 应用过滤策略选择应用

 

点击IPv6策略配置页面的<提交>按钮,完成IPv6策略配置。

图79 基于IPv6的控制策略配置完成

 

10.5  验证配置

配置完成后,内网用户host通过IPv6地址能ping通远端IPv6服务器,访问远端服务器IPv6的HTTP服务和登录FTP服务被拒绝。

(1)     测试PC访问IPv6服务器的HTTP服务被拒绝,有相应的阻断提示信息。

图80 访问IPv6服务器的HTTP服务被拒绝

 

进入“数据中心>日志中心>控制日志>应用控制日志”,有匹配控制策略中URL控制策略的阻断日志。

图81 URL过滤控制阻断日志

 

(2)     测试终端通过FTP客户端登录IPv6服务器的FTP server,登录失败。

图82 终端登录FTP服务器失败

 

进入“数据中心>日志中心>控制日志>应用控制日志”,有匹配IPv6控制策略中应用过滤策略的阻断日志。

图83 应用控制阻断日志

 


 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们