• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 Web配置指导(R6614)-6W102

25-对象管理

本章节下载 25-对象管理  (848.01 KB)

25-对象管理


1 对象管理

为了方便配置和管理,系统中引入了一些对象的概念,通过这些对象,可以简化配置,提高易用性,本章将介绍以下对象:

·              关键字对象

·              URL对象

·              地址对象

·              服务对象

·              时间对象

在安全控制策略的配置过程中会引用到上面提到的对象。控制策略的配置过程,请参见“控制策略”模块资料。

1.1  关键字对象

1.1.1  关键字对象简介

关键字过滤是多个控制策略功能实现的基础,搜索引擎内容的过滤、HTTP上传、HTTP网页内容过滤、邮件控制等都依赖于此。为了简化配置,便于使用,对关键字进行了对象化处理。要使用关键字过滤,首先需要定义相应的关键字对象。定义好的关键字对象可直接在相关功能模块的配置中进行引用。

1.1.2  关键字列表配置

通过菜单“策略配置 > 对象管理 > 关键字对象”,点击<新建>按钮,进入如图1-1所示页面。

图1-1 关键字列表

 

关键字列表的配置项如表1-1所示:

表1-1 关键字列表配置项描述表

配置项

说明

名称

关键字列表的名称。

描述

关键字列表的描述。

内容

关键字列表的内容,每行一个。单个关键字长度:0-127 字符。

 

1.2  URL对象

1.2.1  URL过滤简介

URL分类是根据URL请求将网站访问分成相应的类别。URL分类库是进行分类的依据,已经内置在版本当中。用户也可以依据自己的需要,自行定义新的URL分类。

通过网站策略对其进行引用,并启用该策略,可以对相关的用户起到网站控制的作用。这样可以通过HTTP协议为用户提供应用级的安全防护和访问限制。

注意

·          自定义URL分类若与预定义URL分类冲突,自定义URL的优先级更高。

·          自定义URL分类定义以后,即使策略不进行引用,其优先级依然会高于被引用的预定义URL分类。

 

1.2.2  配置URL分类

通过菜单“策略配置 > 对象管理> URL对象 > URL分类”,进入如图1-2所示界面。

图1-2 URL分类展示界面

 

查看URL分类的显示信息如表1-2所示:

表1-2 URL分类显示信息描述表

参数

描述

名称

URL分类名称

描述

URL分类描述

 

1.2.3  配置自定义URL

选择菜单“策略配置 > 对象管理> URL对象 > 自定义URL”,进入如图1-3所示界面。

图1-3 自定义URL显示界面

 

单击“新建”按钮,可以新建自定义URL,如图1-4所示。

图1-4 自定义URL配置界面

 

自定义URL的配置信息如表1-3所示:

表1-3 自定义URL配置描述表

参数

描述

名称

自定义URL的名称,用于外部引用。

内容

自定义URL的匹配内容,每行一条。支持“*”、“/”特殊字符的模糊匹配,以及以http://开头的全URL匹配。

URL配置严格区分大小写,符号*标识通配符,最多可配置2万条,每条允许输入3-255字符。

 

1.2.4  配置恶意URL

选择菜单“策略配置 > 对象管理> URL对象 > 恶意URL配置”,进入如图1-5所示界面。

图1-5 恶意URL显示界面

 

恶意URL的配置信息如表1-4所示:

表1-4 恶意URL配置描述表

参数

描述

恶意URL白名单

恶意URL的白名单,在这里出现的URL不会被当做恶意URL阻断。

恶意URL黑名单

恶意URL的黑名单,在这里出现的URL会被当做恶意URL阻断。

 

1.2.5  配置URL白名单

选择菜单“策略配置 > 对象管理> URL对象 > URL白名单”,进入如图1-6所示界面。

图1-6 URL白名单配置界面

 

恶意URL的配置信息如表1-5所示:

表1-5 URL白名单配置描述表

参数

描述

URL白名单

配置URL的白名单,在其它策略中引用。

 

1.2.6  配置HTTPS对象

通过菜单“策略配置 > 对象管理> URL对象 > HTTPS对象”,进入如图1-7所示。

图1-7 HTTPS对象界面

 

单击<新建>按钮,新建HTTPS对象,如图1-8所示。

图1-8 新建HTTPS对象界面

 

HTTPS对象配置配置信息如表1-6所示:

表1-6 HTTPS对象配置描述表

参数

描述

名称

HTTPS对象的名称,用作其它策略的引用。

描述

描述信息。

自定义https对象

自定义的https对象折叠框,展开后可自定义对象。

内容

自定义https对象内容。

已选预定分类

已选预定分类,系统默认内建常用对象,可直接引用。

域名列表

选择域名列表。

 

1.3  地址对象

1.3.1  概述

为了方便用户的配置和管理,设备中引入了地址对象的概念。地址对象分为地址对象和地址组对象。地址组对象是地址对象的集合。在其它功能的配置中,可以引用地址对象来定义配置生效的条件。

1.3.2  配置地址对象

在导航栏中选择“策略配置 > 对象管理 > 地址对象”,点击地址对象标签页,查看所有的地址对象,如图1-9所示。点击<新建>按钮,弹出新建地址对象的页面,如图1-10所示。

图1-9 地址对象显示页面

 

图1-10 新建地址对象

 

地址对象的详细配置表如表1-7所示:

表1-7 地址对象的详细配置

配置项

说明

名称

地址对象的名称,为1到31个字符的字符串。

描述

地址对象的描述信息,为0到127个字符的字符串。

地址项目

子网地址

IPv4或IPv6网段地址,例如192.168.1.1/24或2000::1/64。

范围地址

IPv4或IPv6地址范围,例如192.168.1.1-192.168.1.100或2000:2001:2002:2003::1到2000:2001:2002:2003::5。

主机地址

IPv4或IPv6主机IP地址,例如192.168.1.1或2000::100。

域名地址

域名地址,例如www.baidu.com。

已添加项目

已经添加的子网地址、主机地址和范围地址。

排除地址

可排除子网地址、范围地址或主机地址,各项之间以逗号隔开。

 

点击<提交>按钮,可以完成地址对象的配置。

1.3.3  配置地址组对象

地址组对象是地址对象的集合,设备可以使用地址组对象方便的管理和地址相关的内容。

在导航栏中选择“策略配置 > 对象管理 > 地址对象”,点击“地址组对象”标签页,显示所有的地址组对象,如图1-11所示,点击<新建>按钮,弹出地址组对象的配置界面,如图1-12所示:

图1-11 地址组对象显示界面

 

图1-12 新建地址组对象界面

 

地址组对象的详细配置表1-8如示:

表1-8 地址组对象详细配置表

配置项

说明

名称

地址组对象的名称,为1到31个字符的字符串。

描述

地址组对象的描述信息,为0~127个字符的字符串。

选择地址对象

左侧为待选择的地址对象或地址对象组的名称,右侧为已经选择的对象地址。

 

点击<提交>按钮,完成地址组对象的配置。

1.4  配置服务对象

1.4.1  概述

为了方便用户的配置和管理,设备中引入了服务对象的概念。在其它功能的配置中,可以引用服务对象来定义配置生效的条件。

设备和服务相关的对象有三种:

·              预定义服务,系统预先添加的服务,不可编辑和删除。

·              自定义服务,需要用户自行配置添加。

·              服务组,服务组是服务的集合。

1.4.2  预定义服务

在导航栏中选择“策略配置 > 对象管理 > 服务对象”,可查看预定义服务,如图1-13所示:

图1-13 预定义服务显示界面

 

1.4.3  配置自定义服务

在导航栏中选择“策略配置 > 对象管理 > 服务对象”点击“自定义服务”标签页,进入自定义服务的显示界面,如图1-14所示。点击<新建>按钮,弹出新建自定义服务的界面,如图1-15所示。

图1-14 自定义服务显示界面

 

图1-15 添加自定义服务

 

自定义服务的详细配置如表1-9所示:

表1-9 自定义服务详细配置表

配置项

说明

名称

自定义服务的名称,为1到31个字符的字符串。

描述

自定义服务的描述信息,为1到31个字符的字符串。

添加类型

TCP

TCP的端口范围。

UDP

UDP的端口范围。

ICMP

ICMP的code和type。

协议

IP协议类型。

已添加项目

已经添加的TCP、UDP、ICMP、其它类型。

 

点击<提交>按钮,完成自定义服务的配置。

1.4.4  配置服务组

在导航栏中选择“策略配置 > 对象管理 > 服务对象”,点击“服务组”标签页,进入显示服务组的页面,如图1-16所示。点击<新建>按钮,弹出新建服务组的页面,如图1-17所示。

图1-16 服务组显示界面

 

图1-17 添加自定义服务组

 

自定义服务组的详细配置如图1-18所示。

 

图1-18 自定义服务组详细配置表

配置项

说明

名称

为新建服务组设置名称。

描述

对新建服务组做描述。

服务子项目

预定义服务、自定义服务或服务组可被添加到服务组中。

 

点击<提交>按钮,完成自定义服务组的配置。

1.4.5  非标准端口配置

在导航栏中选择“策略配置 > 对象管理 > 服务对象”,点击“非标准端口配置”标签页,进入非标准端口配置的页面,如图1-19所示。

图1-19 非标准端口配置界面

 

非标准端口的详细配置如表1-10所示:

表1-10 非标准端口详细配置表

配置项

说明

FTP非标准端口配置

自定义端口列表,最多配置7个,多个端口之间用“,”分开。

TFTP非标准端口配置

添加TFTP自定义端口列表,最多配置7个,多个端口之间用“,”分开。

SIP非标准端口配置

添加SIP自定义端口列表,最多配置7个,多个端口之间用“,”分开。

RTSP非标准端口配置

添加RTSP自定义端口列表,最多配置7个,多个端口之间用“,”分开。

 

1.5  时间对象

1.5.1  概述

为了方便用户配置和管理,设备中引入了计划任务的概念,计划任务分为周期计划和单次计划。在其它功能的配置中,可以引用计划任务来定义配置生效的条件。

周期时间:包含日计划和周计划,配置服务在指定的周期执行。周期时间中可以定义有效时间范围和有效时间段。有效时间范围只能有一个,而有效时间段可以有多个。有效时间段之间是或的关系,满足其中一个即可;有效时间范围和有效时间段之间是与的关系,都满足才生效。

单次计划:配置服务在指定的单次时间内生效。

1.5.2  配置日周期计划

通过菜单“策略配置 > 对象管理 > 时间对象 > 日计划”,进入如图1-20所示页面。在该页面上可以新建、编辑、删除、浏览配置的日周期计划。

图1-20 日周期计划页面

 

 

点击<新建>按钮,进入如图1-21所示的新建页面,各个配置项的含义如表1-11所示。

图1-21 添加日计划

 

 

表1-11 日计划各个配置项含义描述表

标题项

说明

名称

新建日计划的名称。

描述

新建日计划的简单描述。

开始时间

日计划的起始时间,格式为:小时:分钟。

结束时间

日计划的终止时间,格式为:小时:分钟。

已添加项目

已经添加的开始时间、结束时间。

 

点击<添加到列表>按钮,将当前的设置添加至日计划。一个日计划,可以添加多个时间计划项目。如图1-22所示。

图1-22 添加多个项目至日计划

 

 

点击<提交>按钮,提交配置。提交配置后,可通过如图1-23所示页面查看已配置条目。

图1-23 日计划配置概览页面

 

1.5.3  配置周周期计划

通过菜单“策略配置 > 对象管理 > 时间对象 > 周计划”,进入如图1-24所示页面。在该页面上可以新建、编辑、删除、浏览配置的周周期计划。

图1-24 周周期计划页面

 

点击<新建>按钮,进入如图1-25所示的新建页面,各个配置项的含义如表1-12所示。

图1-25 添加周计划

 

表1-12 周计划各个配置项含义描述表

标题项

说明

名称

新建周计划的名称。

描述

新建周计划的简单描述。

周一至周日

为一周的每一天选择对应的日计划。

 

点击<提交>按钮,提交配置。提交配置后,可通过如图1-26所示页面查看已配置条目。

图1-26 周计划配置概览页面

 

1.5.4  配置月周期计划

通过菜单“策略配置 > 对象管理 > 时间对象 > 月计划”,进入如图1-27所示页面。在该页面上可以新建、编辑、删除、浏览配置的月计划。

图1-27 月计划页面

 

点击<新建>按钮,进入如图1-28所示的新建页面,各个配置项的含义如表1-13所示。

图1-28 添加月计划

 

表1-13 月计划各个配置项含义描述表

标题项

说明

名称

新建月计划的名称。

描述

新建月计划的简单描述。

开始时间

月计划的开始时间。

结束时间

月计划的结束时间时间。

日计划

为月计划的每一天选择对应的日计划。

已添加项目

已经添加的日期及对应的日计划。

 

点击<提交>按钮,提交配置。提交配置后,可通过如图1-29所示页面查看已配置条目。

图1-29 月计划配置概览页面

 

1.5.5  配置单次计划

通过菜单“策略配置 > 对象管理 > 时间对象 > 单次计划”,进入如图1-30所示页面。在该页面上可以新建、编辑、删除、浏览配置的单次计划。

图1-30 单次计划页面

 

 

点击<新建>按钮,进入如图1-31所示的新建页面,各个配置项的含义如表1-14所示。

图1-31 添加单次计划

 

表1-14 单次计划各个配置项含义描述表

标题项

说明

名称

新建单次计划的名称。

描述

新建单次计划的简单描述。

日期开始

有效时间范围的起始时间(年,月,日,时,分)。

日期结束

有效时间范围的终止时间(年,月,日,时,分)。

循环时间

添加从日期开始到日期结束每一天的日计划。

 

点击<提交>按钮,提交配置。提交配置后,可通过如图1-32所示页面查看已配置条目。

图1-32 单次计划配置概览页面

 

 

1.5.6  配置单次计划举例

1. 组网需求

增加一个单次计划,此对象目的是为临时办事处创建。为了工作方便设置办事处在有效期间内为外出员工开通VPN访问内网资源。

2. 配置步骤

进入单次计划配置页面,按图1-33所示进行配置。

图1-33 单次计划配置举例

 

点击<提交>按钮,提交配置。

3. 验证配置

进入单次计划页面,浏览配置。如图1-34所示。

图1-34 单次计划配置举例浏览

 

1.5.7  配置周周期计划举例

1. 组网需求

配置周周期计划,使不同部门在工作时间内互相访问。

2. 配置步骤

进入周计划配置页面,按图1-35所示进行配置。

图1-35 周周期计划配置举例

 

点击<提交>按钮,提交配置。

3. 验证配置

进入周周期计划页面,浏览配置。如图1-36所示。

图1-36 周周期计划配置举例浏览

 

1.6  自定义公告

1.6.1  概述

随着网络化的普及,网络的管理也日趋精细,经常需要在网络内部发布公告或通知内容。网络内部可以选择使用终端公告提醒的公告功能,公告发布后,内网终端能够在访问网页时重定向到公告页面,以达到公告的目的。设备支持推送定制的公告页面,可以用HTML或图文编辑方式添加修改公告页面内容。终端公告推送的配置,请参见“控制策略”模块资料。

 

1.6.2  公告页面

通过菜单“策略配置 > 对象管理 > 公告页面”,进入如图1-37所示页面。在该页面上可以配置自定义公告内容。各个配置项含义如表1-15所示。

图1-37 公告页面

 

表1-15 自定义公告页面各项含义表

标题项

说明

名称

公告名称,点击进行公告内容编辑。

描述

公告描述信息

预览

公告推送页面预览

操作(下载)

导出公告模板

操作(更新)

导入公告并更新现有公告模板

删除

删除公告模板

 

点击公告名称,可以对公告页面内容进行编辑,如图1-38所示。

图1-38 编辑公告页面

 

在公告页面,点击<上传页面>按钮,可导入公告并创建一个新的公告模板,如图1-39所示

图1-39 公告上传页面

 

在公告页面,点击<删除>按钮,可删除公告模板,如图1-40所示

图1-40 公告删除

 

1.7  文件类型对象

1.7.1  概述

为了方便用户的配置和管理,设备中引入了文件类型对象的概念。在其它功能的配置中,可以引用文件类型对象来定义配置生效的条件。

在文件类型对象中存在预定义文件类型对象,主要包括:电影、音频、文本、图片、压缩文件、应用程序、office系列和其它类型文件。

在文件类型对象页面可以修改预定义文件类型对象,也可以新增自定义文件类型对象。

1.7.2  配置文件类型对象

在导航栏中选择“策略配置 > 对象管理 > 文件类型对象”,进入文件类型对象标签页,查看所有的文件类型对象,如图1-41所示。点击<新建>按钮,弹出新建文件类型对象的页面,如图1-42所示。

图1-41 文件类型对象显示页面

 

图1-42 新建文件类型对象

 

文件类型对象的详细配置表如表1-16所示:

表1-16 文件类型对象的详细配置

配置项

说明

名称

文件类型对象的名称,为1到31个字符的字符串。

描述

文件类型对象的描述信息,为0到127个字符的字符串。

文件类型

可以配置具体文件类型对象,多个文件类型用换行输入,每条允许输入1-15个字符,最多支持64个,格式:*.mp3或.mp3或mp3。

 

点击<提交>按钮,可以完成文件类型对象的配置。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们