- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
28-全局白名单
本章节下载: 28-全局白名单 (413.24 KB)
当前的网络环境中,出于信息安全的考虑对用户上网的数据进行控制和审计的限制;但是存在一些特权的用户(高层领导、特权管理员),他们不希望自己上网的数据被限制或者被审计;全局白名单可以针对特殊用户排除这些繁琐的策略审计,实现数据全放通。
全局白名单支持基于源IP地址、域名或源MAC地址进行匹配,匹配的用户不受审计策略、认证策略、控制策略、流量控制策略、用户限额策略、会话控制策略的控制。该功能支持IPv4/IPv6的使用场景。
通过菜单“策略配置 > 全局白名单”,进入如图1-1所示页面。在该页面上可以查看已配置的全局白名单信息。
勾选状态为“启用”的白名单,点击<禁用>,在弹出的对话框中点击<确定>可禁用该白名单;勾选状态为“禁用”的白名单,点击<启用>,在弹出的对话框中点击<确定>可启用该白名单。
点击图1-1的<新建>按钮,可以进入全局白名单配置界面,如图1-2所示。各个配置项的含义如表1-1所示。
|
标题项 |
说明 |
|
启用 |
全局白名单策略是否启用,勾选表示启用,不勾选表示禁用。 |
|
名称 |
全局白名单策略的名称,必填项。 |
|
描述 |
全局白名单策略的描述,选填项。 |
|
地址 |
配置全局白名单的地址,可支持配置IPv4、IPv6、MAC地址或域名。最多配置16项,用回车分隔。 |
· 全局白名单只对会话中的源IP、源MAC或域名进行匹配。
· 配置全局白名单的用户仅做会话识别,不做其它控制策略。
测试终端通过设备访问外网资源,设备对测试终端所有用户(图中测试终端PC除外)访问外网资源进行审计并对终端访问外网要优先进行WEB认证,以及工作时间禁止使用即时通讯软件。
· 测试终端和设备网络可达。
· 设备上用户识别范围包含测试终端所在网段。
图1-3 全局白名单组网图
(1) 配置用户识别范围。如图1-4所示。
(2) 配置审计策略。如图1-5所示。
(3) 配置控制策略。如图1-6所示。
(4) 配置认证策略。如图1-7所示。
(5) 配置全局白名单,如图1-8所示。
配置完成后,在白名单用户测试PC(20.1.1.21)上访问外网不需要经过认证即可上网,且上网访问的记录将不会进行审计,工作时间登录qq也是正常的。
在其它非白名单用户终端(20.1.1.10)上访问外网首先需要进行认证才能访问外网,且访问外网的相关记录设备上可以进行审计,工作时间登录qq被阻断。
(1) 非白名单用户访问外网需要优先进行认证,如图1-9所示。
(2) 非白名单用户浏览网页审计记录正常,如图1-10所示。
(3) 非白名单用户即时通讯软件阻断正常,如图1-11所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
