H3C SecPath ACG1000系列应用控制网关典型配置(R6616)-6W101

03-控制策略典型配置

1 简介

本文档介绍设备的控制策略配置举例，控制策略包含终端公告提醒、URL过滤控制，应用过滤控制、终端类型控制，应用过滤控制细分为：应用控制、邮件控制、WEB关键字、虚拟账号。本文针对部分功能进行详细配置的举例介绍，以引导用户快速了解功能。各功能实现效果简要介绍如下所示。

WEB关键字实现效果：

· 搜索引擎：

对搜索引擎的搜索内容进行监控，提供告警、拒绝两种处理动作，并支持记录日志。

· HTTP上传：

对http上传的POST内容进行监控，提供告警、拒绝两种处理动作，并支持记录日志，如：

web邮件过滤（发件人、收件人，主题、内容、附件名）；

web社区论坛（发帖内容、附件上传）；

· 网页内容：

支持所有http网页浏览内容过滤，网页内容必须为文本形式，不能为图片中的文字。

虚拟账号控制实现效果：

只支持QQ虚拟账号的控制，关键字过滤只支持精确匹配。根据匹配到的动作（黑名单|白名单）进行QQ账号控制并产生应用控制日志。

邮件控制实现效果：

邮件控制策略页面包含发件人过滤、收件人过滤、标题及内容过滤、邮件大小以及附件个数过滤。发件人和收件人过滤包括功能开启、策略属性（黑白名单）以及关键字配置。标题及内容支持关键字配置。

终端公告提醒实现效果：

终端公告提醒：当内网终端在访问网页时重定向到公告页面，以达到推送公告的目的，可以设置公告推送频率，支持设备内置公告以及外部公告。

URL过滤实现效果：

URL过滤是基于URL分类来对用户访问WEB站点进行控制，控制动作包含允许和拒绝。这样可以通过对HTTP协议的控制为用户提供应用级的安全防护和访问限制。

终端类型控制实现效果：

终端类型定义如下：

any：所有终端类型。

移动终端：基于Android或IOS系统的智能手机或Pad。

PC：基于Windows操作系统的PC或笔记本。

在某此场景下，为了保证办公内网的安全，管理员只允许受控的办公电脑可以正常访问网络，对其通过wifi热点接入的移动终端进行控制，以达到管控的目的。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了控制策略功能特性。

3 使用限制及注意事项

· 配置WEB关键字过滤规则之前需要先配置解密策略，由于涉及加密的网站较多，不配置解密无法识别到对应的关键字会导致关键字过滤失败。

· WEB关键字附件上传过滤不支持压缩文件。

· 关键字过滤同一条流只要检查到第一个符合条件的关键字就会停止匹配。

· 关键字过滤不支持附件内容过滤。

· 关键字过滤字母不区分大小写。

· 网页内容过滤时，有时关键字在网页中的位置比较靠后，此时检测到关键字后，部分网页内容已经加载成功，此时会出现网页部分加载的情况。

· 苹果系统虚拟账户控制不生效，特征加密问题。

· 虚拟账户控制：QQ账号黑白名单关键字控制，关键字匹配为精确匹配。

· 虚拟账号控制依赖应用特征库，特征库不识别时无法控制。

· 移动端（安卓）测试虚拟账号控制时，需要关闭移动网络。

· 关键字条目规格512和1024条，每个关键字对象里可以配置1024个关键字。

· 旁路模式qq 阻断不生效。

· 虚拟账户白名单，应用控制不产生日志（只有黑名单阻断后才产生日志）。

· 虚拟账号黑白名单关键字默认显示为“-”。

· 虚拟账号黑名单引用关键字的内容为空，不控制qq登录，不引用关键字策略不生效，不阻断。

· 虚拟账号白名单引用关键字的内容为空（匹配不上），阻断qq登录，并产生日志。不引用关键字策略不生效，不阻断。

· 配置关键字内容为qq号（关键字精确匹配），qq过滤引用白名单。

· 下联终端使用关键字内的qq号码登录，匹配后可以正常登录，不记录控制日志。

· 下联终端使用非关键字内的qq号码登录，qq无法登录，控制日志处应该记录一条日志。

· 配置的虚拟账号阻断，应用控制放行 qq登录阻断前后会有一条放行的日志--- QQ登录识别报文和获取账号报文不在同一个报文中，前一个报文识别为QQ登录，未获取到QQ账号，命中了应用控制策略报放行日志。后一个报文获取到QQ账号，命中了虚拟账号策略，报阻断日志，此情况属于正常现象。

· 使用终端公告提醒功能时内网接口管理方式必须开启http，终端才能正常访问公告页面。

4 应用过滤配置举例

4.1 应用控制配置案例

4.1.1 组网需求

针对内网用户不允许玩游戏，将所有游戏应用全部阻断。

如图1所示，某公司网络管理员针对内网用户不允许玩游戏，将所有游戏应用全部阻断。

4.1.2 组网图

图1 应用控制组网图

4.1.3 配置步骤

(1) 在导航栏中选择“策略配置 > 控制策略”，点击<新建>，新建控制策略，行为“允许”。

(2) 选择“应用过滤>应用控制”标签页，点击<新建>，创建应用控制策略，应用分类选择“网络游戏”，处理动作选择“拒绝”，日志级别配置为“告警”，如下图所示。

图2 创建应用控制策略

(3) 点击<提交>按钮，提交配置。

图3 应用控制策略配置完成

2. 验证配置

使用终端登录腾讯QQ游戏，无法登录，被阻断，进入“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志，如图4所示。

图4 应用控制日志

4.2 WEB关键字过滤功能配置举例

4.2.1 组网需求

如图5所示，某公司网络管理员针对内网用户上网不允许搜索引擎查找敏感关键字：毒品，不允许外发WEB邮件内容包含敏感关键字：内网资产，不允许浏览包含关键字<新闻> 的网页。

图5 WEB关键字过滤组网

4.2.2 配置思路

· 在设备上配置各接口地址，如拓扑图所示。

· 生成CA根证书。

· 导出CA根证书（P12格式）。

· 将CA根证书导入本地证书。

· 创建https对象。

· 创建解密策略。

· 创建关键字对象。

· 创建WEB关键字过滤策略。

· 在测试终端导入证书。

· 验证配置。

4.2.3 使用版本

本举例是在R6616版本上进行配置和验证的。

4.2.4 配置步骤

1. 配置路由接口

如图6、图7所示，在设备上配置各接口地址。点击“网络配置>接口配置>物理接口”，配置接口IP地址。

图6 配置ge0接口

图7 配置ge1接口

2. 生成CA根证书

如图8所示，点击“策略配置>对象管理>CA服务器>根CA配置管理”，在根证书管理中点击生成CA根证书，配置CA信息。

图8 配置CA根证书

如图9所示，查看已生成的CA根证书。

图9 查看已生成的CA根证书

3. 导出CA根证书

如图10所示，点击“策略配置>对象管理>CA服务器>根CA配置管理”，在根证书管理中点击导出CA根证书。

图10 导出CA根证书

如图11所示，查看已导出的CA根证书。

图11 查看导出的CA根证书

4. 将CA根证书导入本地证书

如图12所示，在“策略配置>对象管理>本地证书>证书>本地证书”，点击导入，选择之前导出的证书，导入即可，注意密码必须与之前设置的密码一致。

图12 将CA根证书导入到本地证书

如图13所示，查看导入成功的本地证书。

图13 导入成功的本地证书

5. 创建https对象

如图14所示，点击“策略配置>对象管理>URL对象>HTTPS对象”，创建https对象。

图14 https对象

6. 创建解密策略

如图15所示，由于部分测试网站为https加密网站，需要解密后才能识别到关键字，所以需要先创建解密策略，在导航栏中选择“策略配置 > SSL解密策略”，单击<新建>按钮，配置完成后下发。

图15 解密策略

7. 创建关键字对象

如图16所示，创建关键字对象，在导航栏中选择“策略配置>对象管理>关键字对象”，单击<新建>按钮，配置完成后下发。

图16 关键字对象

8. 创建WEB关键字过滤策略

如图17、图18、图19所示，创建WEB关键字过滤规则，在导航栏中选择“策略配置 > 控制策略”，点击<新建>，在弹出页面中依次单击<新建>、<应用过滤>、<WEB关键字>，分别创建搜索引擎规则、HTTP上传规则、网页内容规则。

图17 搜索引擎关键字规则

图18 HTTP上传关键字规则

图19 网页内容关键字规则

9. 在测试终端中导入证书

不同终端的导入证书方式不一样，具体方法请参考“解密策略典型配置举例”。

4.2.5 验证配置

(1) 搜索引擎结果验证

使用百度搜索引擎搜索关键字“毒品”，访问被阻断，无结果回显，同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志，如图20、图21所示。

图20 关键字搜索结果

图21 应用控制日志

(2) WEB邮箱结果验证

使用126邮箱发送邮件，内容为：内网资产信息请查收，点击发送，邮件无法发送成功，同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志，如图22、图23所示。

图22 邮件发送

图23 应用控制日志

(3) 网页浏览结果验证

使用测试PC访问腾讯网站http://www.qq.com/，同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志，如图24、图25所示。

图24 访问腾讯

图25 应用控制日志

4.3 邮件控制功能配置举例

4.3.1 组网需求

如图26所示，某公司为避免敏感信息泄露，需要对公司内网用户与外网用户之间传递的邮件内容进行过滤，将包含敏感信息的邮件内容进行阻断。

设备通过路由模式串接部署在网络中，上联出口FW，下联路由器。在设备上配置邮件控制，对内网接收或发送的邮件进行相应过滤。

图26 邮件控制组网图

4.3.2 配置思路

· 配置控制策略。

· 在控制策略中配置邮件过滤策略。

4.3.3 使用版本

本举例是在R6616版本上进行配置和验证的。

4.3.4 配置步骤

1. 配置接口地址

如图59、图60所示，进入“网络配置>接口配置”页面，点击编辑ge0、ge1操作，把ge0、ge1的地址分别配置为10.0.219.110/24、192.168.1.1/24。

图27 配置ge0接口

图28 配置ge1接口

2. 配置静态路由

如图61所示，进入“网络配置>路由管理>静态路由”页面，新建一条访问外网的默认路由。

图29 配置静态路由

3. 配置地址对象

如6.5.1 3. 图70所示，进入“策略配置>对象管理>地址对象”，进入IPv4地址对象页面，点击<新建>，新建一个“内网地址”地址对象，地址范围：172.16.11.1/24。

图30 配置地址对象

4. 配置用户识别范围

如图31所示，进入“用户管理>认证管理>高级选项”，进入全局配置页面，修改<识别范围>为“内网地址”，其余配置为默认配置。

图31 配置用户识别范围

5. 配置邮件控制策略

(1) 进入“策略配置>策略配置>控制策略”，单击“新建”进入控制策略配置页面，选择“应用过滤>邮件控制”标签页，进入邮件控制配置页面，勾选启用接收邮件，日志级别选择信息如图32所示。

图32 邮件控制配置页面

(2) 在邮件控制页面，单击“添加关键字”创建关键字对象，如下图所示。

图33 关键字对象

(3) 勾选“标题及内容关键字”，单击下拉列表中选择关键字对象，配置完成后单击“提交”。

图34 选择标题及内容关键字

4.3.5 验证配置

1. 收取邮件

向内网用户的邮箱发送内容包含关键字信息的邮件，内网用户收取邮件时，提示加载失败，收邮件被阻断。

图35 邮件收取失败

登录设备Web管理界面，进入“数据中心>日志中心>控制日志>应用控制日志”，可以查看到阻断日志，点击详情可以查看日志详情。

图36 控制日志列表

2. 发送邮件

用户通过设备发送内容包含关键字信息的邮件，提示发送失败，如图37所示。阻断日志如图38所示。

图37 邮件发送失败

图38 发邮件阻断详情

4.3.6 配置注意事项

l 收邮件控制支持协议为pop3和imap。

l 发邮件控制支持协议snmp。

4.4 虚拟账号过滤功能配置举例

4.4.1 组网需求

如图39所示，公司内网存在内网用户供内部人员使用；无线wifi供访客使用，具体需求如下：

· 针对内网用户，公司内部人员只放行特定的QQ账户上网，其它QQ号阻断登录。

· 针对无线wifi网络，阻断特定qq账户，其它qq放行可以上网。

图39 虚拟账户组网图

4.4.2 配置思路

按照组网图组网

· 新建地址对象

· 配置关键字对象。

· 控制策略虚拟账户处启用qq账户过滤

4.4.3 使用版本

本举例是在R6616版本上进行配置和验证的。

4.4.4 配置步骤

1. 配置地址对象

通过菜单“策略配置>对象管理 > 地址对象”，点击<新建>地址对象，配置“内网用户”地址对象和“无线wifi”地址对象。如图40、图41所示。

图40 添加内网用户地址对象

图41 添加无线wifi地址对象

2. 配置关键字对象

通过菜单“策略配置>对象管理 > 关键字对象”，点击<新建>关键字对象，配置“QQ白名单”关键字对象和“QQ黑名单”关键字对象，如图42、图43所示。

图42 添加QQ白名单对象

图43 添加QQ黑名单对象

3. 配置控制策略，虚拟账户配置白名单。

通过菜单“策略配置>控制策略”，点击<新建>进入控制策略配置页面，源地址对象选择“内网用户”，虚拟账户启用白名单，如图44、图45所示。

图44 控制策略配置内网用户源地址

图45 控制策略配置虚拟账户白名单控制

4. 配置控制策略，虚拟账户配置黑名单。

通过菜单“策略配置 >策略配置 > 控制策略”，点击<新建>进入控制策略配置页面，源地址对象选择 “无线wifi”，虚拟账户启用黑名单，如图46、图47所示。

图46 控制策略配置无线wifi源地址

图47 控制策略配置虚拟账户黑名单控制

4.4.5 验证结果

(1) 内网用户匹配白名单策略效果

通过菜单“数据中心 > 日志中心 > 控制日志 > 应用控制日志”，查看虚拟控制日志。内网用户使用白名单关键字内的QQ账户可以登录，不记录控制日志。使用白名单以外的QQ账户，登录账户阻断后，点击日志详情可以查看匹配的策略名称和阻断账户，如图48所示。

图48 内网用户匹配白名单日志

(2) 无线WIFI网段用户匹配黑名单策略效果

通过菜单“数据中心 > 日志中心 > 控制日志 > 应用控制日志”，查看虚拟控制日志。无线WIFI网段用户使用黑名单以外的关键字登录qq，可以登录不记录控制日志。使用黑名单关键字的账户登录qq阻断后查看控制日志，点击日志条目详细可以看到匹配的策略名称和阻断账户进入如图49所示的页面。

图49 无线WIFI用户匹配黑名单日志

4.5 协议过滤功能配置举例

4.5.1 组网需求

内网PC通过设备进行协议传输，开启FTP协议过滤功能，对PC向FTP服务器上传或下载文件的文件名进行过滤控制，不允许传输文件名包含指定关键字的文件。

4.5.2 组网图

图50 协议过滤配置举例组网图

4.5.3 配置步骤

(1) 配置设备连接测试PC接口ge11地址为：172.1.1.1/24，配置出接口mgt0地址为：10.4.1.124/24。

图51 配置设备接口地址

(2) 配置设备默认路由指向网关防火墙10.4.1.1的静态路由。

图52 配置默认到网关防火墙的静态路由

(3) 配置出接口源NAT地址转换

图53 配置出接口源地址转换

(4) 配置FTP协议过滤，针对传输文件名为：test的流量进行阻断处理。

图54 配置FTP协议过滤

4.5.4 验证配置

(1) 测试PC过设备向FTP服务器上传或下载文件名包含“test”的文件被阻断。

图55 FTP协议阻断

(2) FTP协议阻断记录控制日志。

进入“数据中心>日志中心>控制日志>应用控制日志”，查看FTP协议阻断日志，如下图所示。

图56 FTP协议阻断记录控制日志

图57 FTP协议阻断日志详情

5 终端公告推送功能配置举例

5.1 组网需求

如图58所示，某公司为了加强上网管理，拟定了一个上网准则公告，需要周期性进行网络内部推送，使用设备的ge0和ge1接口以三层路由模式部署在网络中，设备上联出口FW，下联二层交换机。设备上开启移动终端公告推送功能，检测上网行为并周期推送公告提醒。

图58 终端公告推送组网

5.2 配置思路

· 配置设备接口地址及路由。

· 配置地址对象。

· 配置用户识别范围。

· 配置自定义公告内容。

· 开启移动终端公告推送功能。

5.3 使用版本

本举例是在R6616版本上进行配置和验证的。