- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
62-黑名单功能典型配置
本章节下载: 62-黑名单功能典型配置 (380.97 KB)
目录
本文档用于介绍设备的黑名单功能配置举例。黑名单是一种基于IP、MAC地址或域名的报文控制方法,能快速有效地屏蔽特定IP、MAC地址或域名的用户,既对源地址生效,也对目的地址生效。
黑名单表项支持多种添加方式:
· 手动添加。
· API添加。
· 自定义添加方式(通过restful api添加时适用)。
· 通过扫描攻击自动添加。
2 配置前提
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解黑名单特性。
3 使用限制
· 黑名单域名总长度不能超过63个字符,最后一个.后面的字符不能超过3个:比如,输入baidu.com正确,输入baidu.com1则提示输入错误。
· Restful api 接口不支持对黑名单批量修改和删除。
· R6613以下版本升级到R6613及以上版本后,只有永久黑名单配置才可以恢复。不支持版本回退,即降级后黑名单配置会丢失。
4 配置举例
如图1所示,某企业禁止内网用户访问特定网站,将通过设备访问相关域名的用户加入黑名单,并与API接口联动,通过黑名单实现对内部网络的封堵。
· 配置设备接口地址及路由。
· 配置控制策略
· 配置设备的黑名单。
· 通过restful api 接口配置黑名单
本举例是在R6616版本上进行配置和验证的。
要保证内网PC的报文过设备。
进入“网络配置>接口配置>物理接口”,点击ge8、mgt0的<编辑>按钮,分别配置ge8和mgt0为88.88.88.1/24、192.168.203.95/24,如下图所示。
图2 配置设备接口
进入“网络配置>路由管理>静态路由”,配置访问外网的默认路由,配置完成后如下图所示。
图3 配置路由
进入“策略配置>NAT转换策略>源NAT”,配置源NAT,配置完成后如下图所示。
图4 配置源NAT
进入“策略配置>控制策略”,单击“新建”创建一条控制策略,使用默认配置。
图5 配置控制策略
进入“数据中心 > 系统监控 > 黑名单记录”,点击<新建>,勾选启用,配置黑名单的域名及生命周期,如下图所示。
图6 配置黑名单
通过restful接口配置API接口的黑名单参数,配置域名http://www.sohu.com/为黑名单,如下图所示。
图7 配置restful接口黑名单
登录设备的Web管理页面,进入“数据中心 > 系统监控 > 黑名单记录”,可以查看已配置的黑名单信息,如下图所示。
图8 查看黑名单配置
访问www.126.com及http://www.qq.com/ 失败,如下图所示。
图9 访问www.126.com
图10 访问www.sohu.com
通过测试PC上访问未加入域名黑名单的网站,如http://www.qq.com/,访问成功。
图11 访问成功页面
进入“数据中心 > 系统监控 > 黑名单记录”查看加入黑名单的记录,可以查看访问域名的黑名单对应的IP地址等信息,如下图所示。
图12 查看黑名单记录
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
