• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6616)-6W101

目录

49-全局白名单典型配置

本章节下载 49-全局白名单典型配置  (548.48 KB)

49-全局白名单典型配置


1  简介

本文档介绍设备的全局白名单功能配置举例,设备上配置全局白名单功能之后,针对配置白名单的用户网络基础转发会匹配,应用识别会匹配,其它策略模块流程将都不会匹配,直接放通处理。

全局白名单配置支持IP地址和MAC地址两种格式。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解全局白名单特性。

3  IPv4全局白名单配置举例

3.1  组网需求

图1所示,某企业对内网用户10.1.1.0/24和10.1.2.0/24工作时间都将进行审计并控制登录即时通讯软件,但是对该内网用户中10.1.2.2地址不需要进行审计和控制,通过全局白名单实现该需求。

图1 全局白名单组网

 

3.2  配置思路

·              配置设备接口地址、路由及NAT。

·              配置内网用户地址对象及地址对象组。

·              配置时间对象。

·              配置用户识别范围。

·              配置审计策略。

·              配置控制策略。

·              配置全局白名单。

3.3  使用版本

本举例是在R6616版本上进行配置和验证的。

3.4  配置步骤

(1)      配置接口地址

图2所示,进入“网络配置>接口配置>物理接口”,点击ge1、ge4<编辑>按钮,分别配置ge1和ge4为10.1.3.1/24、192.168.2.37/24。

图2 配置接口地址

 

(2)      配置静态路由

图3所示,进入“网络配置>路由管理>静态路由”,配置访问外网的默认路由及去往内网用户网段10.1.1.0/24,10.1.2.0/24路由。

图3 配置静态路由

 

(3)      配置源NAT

(3)图4所示,进入“策略配置>NAT转换策略>源NAT”,配置源NAT。

图4 配置源NAT

 

(4)      配置内网用户地址对象

(4)图5所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>按钮创建内网用户地址对象10.1.1.0/24和10.1.2.0/24,点击<提交>。

图5 配置内网用户地址对象

 

(5)      配置地址组对象

图6所示,进入“策略配置>对象管理>地址对象>地址组对象”,点击<新建>按钮创建地址组对象,将研发部和产品部两个地址对象添加至地址组中。

图6 配置地址组对象

 

(6)      配置用户识别范围

(6)图7所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“内网用户”,其它配置默认,提交配置。

图7 用户识别范围

 

(7)      配置审计策略

图8所示,进入“策略配置>审计策略”,源地址选择内网用户,审计对象配置所有,时间选择工作时间,其它配置默认,<提交>策略。

图8 配置审计策略

 

(8)      配置控制策略

图9所示,进入“策略配置>控制策略”,源地址选择内网用户,应用控制策略配置一条应用选择即时通讯类动作配置拒绝,日志级别配置通知,时间选择工作时间,其它配置默认,<提交>策略。

图9 配置控制策略

 

(9)      配置全局白名单

图10所示,进入“策略配置>全局白名单”,点击<新建>配置一条地址10.1.2.2的全局白名单策略。

图10 配置全局白名单

 

3.4.2  配置注意事项

·              配置的全局白名单地址必须在用户识别范围中,且全局白名单地址只匹配会话中源IP和源MAC。

3.4.3  验证配置

图11所示,分别使用白名单用户(10.1.2.2)和非白名单用户(10.1.1.11)工作时间访问外网,白名单用户访问外网没有相关上网行为审计日志,非白名单用户访问外网有相关上网行为审计日志。

图11 非白名单用户访问外网审计日志

 

图12所示, 白名单用户(10.1.2.2)非白名单用户(10.1.1.11)工作时间分别登录QQ和微信即时通讯聊天软件,只有白名单用户能登录,无相关日志;非白名单用户无法登录,有相应的应用控制阻断日志。

图12 非白名单用户登录即时聊天软件被阻断日志

 

3.5  配置文件

!

interface ge1

 ip address 10.1.3.1/24

 allow access https

 allow access http

 allow access ping

 allow access ssh

 allow access telnet

!

interface ge4

 traffic-mode extern

 ip address 192.168.2.37/24

 allow access https

 allow access http

 allow access ping

 allow access ssh

 allow access telnet

!

address 研发部

 ip subnet 10.1.1.0/24

!

address 产品部

 ip subnet 10.1.2.0/24

!

address-group 内网用户

 member 研发部

 member 产品部

!

schedule-day 工作时间

 periodic start 09:00 end 18:00

!

whitelist 10.1.2.2

 enable

 address 10.1.2.2

!

policy any any 内网用户 any any any any 工作时间 any permit 1

  app-policy control 1 action deny log-level notice 

  app-policy control 1 application IM_Software

  app-policy control 1 enable

policy default-action permit

policy white-list enable

!

audit_policy any any 内网用户 any any 工作时间 all any 1

    log level info

audit associate enable

!

ip route 0.0.0.0/0 192.168.2.1

ip route 10.1.1.0/24 10.1.3.2

ip route 10.1.2.0/24 10.1.3.2

!

user-param recognition scope 内网用户 strict

!

ip nat source ge4 any any any interface 1

!

 

4  IPv6全局白名单配置举例

4.1  组网需求

3.1  图1所示,内网用户的IP地址为222::100,通过设备访问HTTP服务器,HTTP服务器地址为111::100,配置审计策略对用户上网行为进行审计,启用全局白名单对该用户(222::100)不再进行审计。

图13 全局白名单组网

 

4.2  配置思路

·              配置设备接口地址、NAT。

·              配置内网用户地址对象及地址对象组。

·              配置用户识别范围。

·              配置审计策略。

·              配置全局白名单。

4.3  使用版本

本举例是在R6616版本上进行配置和验证的。

4.4  配置步骤

(1)      配置接口地址

图14所示,进入“网络配置>接口配置>物理接口”,点击ge6、ge7<编辑>按钮,分别配置ge6和ge7为111::1/64、222::1/64。

图14 配置接口地址

 

(2)      配置源NAT

图15所示,进入“策略配置>NAT转换策略>源NAT”,配置源NAT吗,点击<新建>。

图15 配置源NAT

 

(3)      配置内网用户地址对象

图16所示,进入“策略配置>对象管理>地址对象”,点击<新建>按钮创建内用户地址对象222::/64,点击<提交>。

图16 配置内网用户地址对象

 

(4)      配置用户识别范围

图17所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“内网用户”,其它配置默认,提交配置。

图17 用户识别范围

 

(5)      配置审计策略

图18所示,进入“策略配置>审计策略”,源地址选择内网用户,审计对象配置所有,其它配置默认,<提交>策略。

图18 配置审计策略

 

(6)      配置全局白名单

图19所示,进入“策略配置>全局白名单”,点击<新建>,配置一条地址222::100的全局白名单策略。

图19 配置全局白名单

 

4.4.2  配置注意事项

·              配置的全局白名单地址必须在用户识别范围中,且全局白名单地址只匹配会话中源IP和源MAC。

4.4.3  验证配置

图20所示,用户(222::100)访问HTTP服务器(111::100),由于配置了审计策略则产生审计日志,启用全局白名单后,用户访问网页将不被审计,禁用全局白名单则产生审计日志。

图20 禁用白名单产生审计日志

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们