49-全局白名单典型配置
本章节下载: 49-全局白名单典型配置 (548.48 KB)
目 录
本文档介绍设备的全局白名单功能配置举例,设备上配置全局白名单功能之后,针对配置白名单的用户网络基础转发会匹配,应用识别会匹配,其它策略模块流程将都不会匹配,直接放通处理。
全局白名单配置支持IP地址和MAC地址两种格式。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解全局白名单特性。
如图1所示,某企业对内网用户10.1.1.0/24和10.1.2.0/24工作时间都将进行审计并控制登录即时通讯软件,但是对该内网用户中10.1.2.2地址不需要进行审计和控制,通过全局白名单实现该需求。
· 配置设备接口地址、路由及NAT。
· 配置内网用户地址对象及地址对象组。
· 配置时间对象。
· 配置用户识别范围。
· 配置审计策略。
· 配置控制策略。
· 配置全局白名单。
本举例是在R6616版本上进行配置和验证的。
(1) 配置接口地址
如图2所示,进入“网络配置>接口配置>物理接口”,点击ge1、ge4<编辑>按钮,分别配置ge1和ge4为10.1.3.1/24、192.168.2.37/24。
(2) 配置静态路由
如图3所示,进入“网络配置>路由管理>静态路由”,配置访问外网的默认路由及去往内网用户网段10.1.1.0/24,10.1.2.0/24路由。
(3) 配置源NAT
如(3)图4所示,进入“策略配置>NAT转换策略>源NAT”,配置源NAT。
(4) 配置内网用户地址对象
如(4)图5所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>按钮创建内网用户地址对象10.1.1.0/24和10.1.2.0/24,点击<提交>。
(5) 配置地址组对象
如图6所示,进入“策略配置>对象管理>地址对象>地址组对象”,点击<新建>按钮创建地址组对象,将研发部和产品部两个地址对象添加至地址组中。
(6) 配置用户识别范围
如(6)图7所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“内网用户”,其它配置默认,提交配置。
(7) 配置审计策略
如图8所示,进入“策略配置>审计策略”,源地址选择内网用户,审计对象配置所有,时间选择工作时间,其它配置默认,<提交>策略。
图8 配置审计策略
(8) 配置控制策略
如图9所示,进入“策略配置>控制策略”,源地址选择内网用户,应用控制策略配置一条应用选择即时通讯类动作配置拒绝,日志级别配置通知,时间选择工作时间,其它配置默认,<提交>策略。
图9 配置控制策略
(9) 配置全局白名单
如图10所示,进入“策略配置>全局白名单”,点击<新建>配置一条地址10.1.2.2的全局白名单策略。
· 配置的全局白名单地址必须在用户识别范围中,且全局白名单地址只匹配会话中源IP和源MAC。
如图11所示,分别使用白名单用户(10.1.2.2)和非白名单用户(10.1.1.11)工作时间访问外网,白名单用户访问外网没有相关上网行为审计日志,非白名单用户访问外网有相关上网行为审计日志。
如图12所示, 白名单用户(10.1.2.2)非白名单用户(10.1.1.11)工作时间分别登录QQ和微信即时通讯聊天软件,只有白名单用户能登录,无相关日志;非白名单用户无法登录,有相应的应用控制阻断日志。
!
interface ge1
ip address 10.1.3.1/24
allow access https
allow access http
allow access ping
allow access ssh
allow access telnet
!
interface ge4
traffic-mode extern
ip address 192.168.2.37/24
allow access https
allow access http
allow access ping
allow access ssh
allow access telnet
!
address 研发部
ip subnet 10.1.1.0/24
!
address 产品部
ip subnet 10.1.2.0/24
!
address-group 内网用户
member 研发部
member 产品部
!
schedule-day 工作时间
periodic start 09:00 end 18:00
!
whitelist 10.1.2.2
enable
address 10.1.2.2
!
policy any any 内网用户 any any any any 工作时间 any permit 1
app-policy control 1 action deny log-level notice
app-policy control 1 application IM_Software
app-policy control 1 enable
policy default-action permit
policy white-list enable
!
audit_policy any any 内网用户 any any 工作时间 all any 1
log level info
audit associate enable
!
ip route 0.0.0.0/0 192.168.2.1
ip route 10.1.1.0/24 10.1.3.2
ip route 10.1.2.0/24 10.1.3.2
!
user-param recognition scope 内网用户 strict
!
ip nat source ge4 any any any interface 1
!
如3.1 图1所示,内网用户的IP地址为222::100,通过设备访问HTTP服务器,HTTP服务器地址为111::100,配置审计策略对用户上网行为进行审计,启用全局白名单对该用户(222::100)不再进行审计。
图13 全局白名单组网
· 配置设备接口地址、NAT。
· 配置内网用户地址对象及地址对象组。
· 配置用户识别范围。
· 配置审计策略。
· 配置全局白名单。
本举例是在R6616版本上进行配置和验证的。
(1) 配置接口地址
如图14所示,进入“网络配置>接口配置>物理接口”,点击ge6、ge7<编辑>按钮,分别配置ge6和ge7为111::1/64、222::1/64。
(2) 配置源NAT
如图15所示,进入“策略配置>NAT转换策略>源NAT”,配置源NAT吗,点击<新建>。
(3) 配置内网用户地址对象
如图16所示,进入“策略配置>对象管理>地址对象”,点击<新建>按钮创建内用户地址对象222::/64,点击<提交>。
(4) 配置用户识别范围
如图17所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“内网用户”,其它配置默认,提交配置。
(5) 配置审计策略
如图18所示,进入“策略配置>审计策略”,源地址选择内网用户,审计对象配置所有,其它配置默认,<提交>策略。
(6) 配置全局白名单
如图19所示,进入“策略配置>全局白名单”,点击<新建>,配置一条地址222::100的全局白名单策略。
· 配置的全局白名单地址必须在用户识别范围中,且全局白名单地址只匹配会话中源IP和源MAC。
如图20所示,用户(222::100)访问HTTP服务器(111::100),由于配置了审计策略则产生审计日志,启用全局白名单后,用户访问网页将不被审计,禁用全局白名单则产生审计日志。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!