• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6616)-6W101

目录

62-黑名单功能典型配置

本章节下载 62-黑名单功能典型配置  (380.97 KB)

62-黑名单功能典型配置


简介

本文档用于介绍设备的黑名单功能配置举例。黑名单是一种基于IP、MAC地址或域名的报文控制方法,能快速有效地屏蔽特定IP、MAC地址或域名的用户,既对源地址生效,也对目的地址生效。

黑名单表项支持多种添加方式:

·              手动添加。

·              API添加。

·              自定义添加方式(通过restful api添加时适用)。

·              通过扫描攻击自动添加。

配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解黑名单特性。

使用限制

·              黑名单域名总长度不能超过63个字符,最后一个.后面的字符不能超过3个:比如,输入baidu.com正确,输入baidu.com1则提示输入错误。

·              Restful api 接口不支持对黑名单批量修改和删除。

·              R6613以下版本升级到R6613及以上版本后,只有永久黑名单配置才可以恢复。不支持版本回退,即降级后黑名单配置会丢失。

配置举例

4.1  组网需求

图1所示,某企业禁止内网用户访问特定网站,将通过设备访问相关域名的用户加入黑名单,并与API接口联动,通过黑名单实现对内部网络的封堵。

图1 黑名单组网

 

4.2  配置思路

·              配置设备接口地址及路由。

·              配置控制策略

·              配置设备的黑名单。

·              通过restful api 接口配置黑名单

4.3  使用版本

本举例是在R6616版本上进行配置和验证的。

4.4  配置注意事项

要保证内网PC的报文过设备。

4.5  配置步骤

4.5.1  配置设备

1. 配置设备接口及路由

进入“网络配置>接口配置>物理接口”,点击ge8、mgt0的<编辑>按钮,分别配置ge8和mgt0为88.88.88.1/24、192.168.203.95/24,如下图所示。

图2 配置设备接口

 

 

进入“网络配置>路由管理>静态路由”,配置访问外网的默认路由,配置完成后如下图所示。

图3 配置路由

 

进入“策略配置>NAT转换策略>源NAT”,配置源NAT,配置完成后如下图所示。

图4 配置源NAT

 

2. 配置控制策略

进入“策略配置>控制策略”,单击“新建”创建一条控制策略,使用默认配置。

图5 配置控制策略

 

3. 配置黑名单(举例:配置域名黑名单www.126.com)

进入“数据中心 > 系统监控 > 黑名单记录”,点击<新建>,勾选启用,配置黑名单的域名及生命周期,如下图所示。

图6 配置黑名单

4.5.2  配置restful接口

通过restful接口配置API接口的黑名单参数,配置域名http://www.sohu.com/为黑名单,如下图所示。

图7 配置restful接口黑名单

4.5.3  查看设备的黑名单配置

登录设备的Web管理页面,进入“数据中心 > 系统监控 > 黑名单记录”,可以查看已配置的黑名单信息,如下图所示。

图8 查看黑名单配置

4.6  验证配置

1. 通过测试PC访问网站

访问www.126.comhttp://www.qq.com/ 败,如下图所示。

图9 访问www.126.com

 

图10 访问www.sohu.com

 

通过测试PC上访问未加入域名黑名单的网站,如http://www.qq.com/,访问成功。

图11 访问成功页面

 

2. 域名黑名单对应的IP地址会在黑名单中显示

进入“数据中心 > 系统监控 > 黑名单记录”查看加入黑名单的记录,可以查看访问域名的黑名单对应的IP地址等信息,如下图所示。

图12 查看黑名单记录

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们