• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 Web配置指导(R6614)-6W102

30-控制策略

本章节下载 30-控制策略  (2.92 MB)

30-控制策略


1 控制策略

1.1  控制策略

1.1.1  控制策略概述

控制策略对通过设备的用户、源接口/域、目的接口/域、源地址、目的地址、应用、服务、终端、时间等维度进行访问控制,针对应用、URL、入侵防御、病毒防护等内容进行统一管控,并且支持策略分组。

控制策略适用于IPv4和IPv6网络的访问控制。

1.1.2  控制策略配置

在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示界面,如图1-1所示。

图1-1 控制策略显示界面

 

控制策略的含义如表1-1所示:

表1-1 控制策略显示信息描述

标题项

说明

状态

控制策略的状态:

·          说明: http://192.168.4.63/webui/images/default/icons/icon_enable.gif表示策略启用

·          http://192.168.4.63/webui/images/default/icons/icon_disable.gif表示策略禁用

ID

控制策略的ID。

用户

匹配控制策略的用户对象。

行为

控制策略行为的状态包含:

·          允许

·          拒绝

策略组

策略所属的分组名称。

源接口/域

匹配控制策略的源接口/域。

目的接口/域

匹配控制策略的目的接口/域。

源地址

匹配控制策略的源地址。

目的地址

匹配控制策略的目的地址。

应用

匹配控制策略的应用对象。

服务

匹配控制策略的服务对象。

终端

匹配控制策略匹配的终端类型,包括:any、移动终端、PC、多终端。

移动终端:基于Android或IOS系统的智能手机或Pad;

PC:基于Windows操作系统的PC或笔记本;

多终端:单个IP下同时存在电脑和移动终端。

描述

控制策略描述。

匹配次数

匹配控制策略的次数。

应用安全

如果显示图标上网行为策略,表示已经配置应用过滤或URL过滤规则。

时间

匹配控制策略匹配的时间对象。

日志

设备是否记录syslog格式的控制策略日志。

老化时间

基于控制策略的老化时间,缺省情况下,老化时间为0,表示使用各个协议默认的老化时间。

操作

控制策略支持的操作,包含编辑、删除和复制。

 

策略支持外部编辑,在导航栏中选择“策略配置 > 控制策略”,进入控制策略页面,点击任一支持外部编辑的7元组对象:用户、源接口/域、目的接口/域、源地址、目的地址、应用、服务,如图1-2所示。

图1-2 策略外部编辑配置界面

 

策略外部编辑界面的详细信息如表1-2所示:

表1-2 策略外部编辑界面详细信息

标题项

说明

类型

类型包含:用户、接口、源地址、目的地址、应用、服务

类型显示列

点击相应类型后,此列显示对应的类型数据,可直接选择进行配置。

已选列表

已配置类型的对象内容显示区。

 

单击<新建>按钮,进入控制策略配置页面,如图所示。

图1-3 控制策略配置界面

 

控制策略详细配置说明,如表1-3所示。

表1-3 控制策略详细配置

标题项

说明

启用

策略启用和禁用,勾选表示开启策略,不勾选表示禁用策略。

行为

策略的行为包含:

·          允许,对匹配条件的会话进行应用控制,如URL过滤和应用过滤。

·          拒绝,阻断命中匹配条件的会话。

策略分组

策略可以分组展示。

日志

勾选后,设备会记录syslog格式的控制策略日志。在“系统管理>系统设定>日志设定”页面,可以设置是否将指定级别的控制策略日志发送到日志服务器。

描述

控制策略描述信息。

匹配条件

控制策略的匹配条件,包含用户、接口、源地址、目的地址、应用、服务。

入侵防御

入侵防御配置,包括事件集等。

病毒防护

病毒防护配置,包括防护项目等。

URL过滤

URL过滤规则,包含URL控制和恶意URL控制。

应用过滤

应用过滤规则,包含应用控制、邮件控制、WEB关键字控制、虚拟账号控制、文件类型过滤和协议过滤。

终端公告提醒

给匹配条件的终端推送公告提醒页面。策略首次下发后会进行第一次推送,后续按间隔定期推送。

高级配置

包含时间对象配置、老化时间配置、终端类型、终端型号、VLAN及DSCP配置。

 

说明

·          控制策略动作为“拒绝”时,如果勾选了“日志”,设备只记录syslog格式的控制策略日志,不记录本地日志。如果需要在本地记录日志,可将控制策略的行为配置为“允许”,在应用过滤中配置处理动作为“拒绝”的策略,设备匹配到该策略后会在本地产生相应的日志。

·          控制策略动作为“允许”时,设备syslog日志支持记录级别为“info”的控制策略日志,在设置日志外发级别需要选择“全部级别”,或者“信息”,或者“调试”,远端syslog服务器才能收到日志。

·          控制策略动作为允许的时候,建议不要勾选“日志”。如果勾选日志并外发,会产生大量外发日志,可能会对设备性能产生影响。

 

1.1.3  控制策略优先级配置

在导航栏中选择“策略配置 > 控制策略”,单击<优先级>按钮进入控制策略优先级配置页面,如图1-4所示。

图1-4 策略优先级

  

 

控制策略优先级详细配置说明,如表1-4所示。

表1-4 控制策略优先级详细配置

标题项

说明

被移动的策略ID

被移动的策略索引。

目标位置

移动后的位置:

·          策略最前指移动到所有策略的最前面。

·          策略ID之前指移动到某条固定的策略之前。

·          策略ID之后指移动到某条固定的策略之后。

·          策略最后指移动到所有策略的后面。

目标位置策略ID

参考策略索引,可以选择对应策略ID,将当前策略移动到该策略ID之前或之后。

 

1.1.4  启用和禁用控制策略

在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-5所示。勾选要启用或者禁用的控制策略,单击<启用>或<禁用>按钮可以启动和禁用该控制策略。

图1-5 控制策略启用和禁用

 

1.1.5  复制控制策略

在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面。单击需要复制的控制策略后面的按钮,然后单击“确定”按钮,进入复制后的策略编辑页面,最后单击“提交”按钮即可以对该控制策略进行复制,生成一个新的控制策略。

图1-6 复制控制策略

 

1.1.6  删除控制策略

在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-7所示。勾选要删除的控制策略,单击<删除>按钮或点击操作中<删除>按钮,可以删除该控制策略。

图1-7 控制策略删除

 

1.1.7  清除控制策略匹配计数

在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-8所示。勾选要清除匹配计数的控制策略,单击<匹配次数清零>按钮可以清除该控制策略的匹配计数。

图1-8 清除控制策略匹配计数

 

1.1.8  控制策略默认规则

在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-9所示。勾选允许或拒绝单选框,可以修改默认控制策略行为。

图1-9 默认规则

 

1.1.9  控制策略查询

在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-10所示。单击查询,填写过滤条件可以查询出符合该过滤条件的控制策略。

图1-10 控制策略查询

 

控制策略查询配置详细说明,如表1-5所示。

表1-5 控制策略查询详细配置

标题项

说明

ID

被查询的策略索引。

源接口/域

策略所选择的源接口。

源地址

策略所配置包含该地址的地址对象(可基于地址对象、IP地址和域名查询)。

用户

策略所选择的用户。

目的接口/域

策略所选择的目的接口。

目的地址

策略所配置包含该地址的地址对象(可基于地址对象、IP地址搜寻和域名查询)。

服务

策略所选择的服务。

描述

策略所对应的描述信息。

 

1.1.10  策略分组

在导航栏中选择“策略配置>控制策略”,进入控制策略显示页面,如图1-11所示。移动到左边,点击 ,会弹出策略分组管理页面。

图1-11 策略分组页面

 

策略分组详细说明,如表1-6所示。

表1-6 策略分组详细配置

标题项

说明

新建策略分组。

修改策略分组名称。

删除策略分组。

 

1.1.11  控制策略配置案例

1. 组网需求

禁止公司员工上班时间(8:00—18:00)访问QQ。

2. 配置步骤

(1)      配置日计划

在导航栏中选择“策略配置 > 对象管理 > 时间对象> 日计划”,单击<新建>按钮,进入日计划配置页面,如图1-12所示。

图1-12 日计划配置

 

点击<提交>按钮,提交配置。

(2)      配置控制策略

在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,进入控制策略配置页面,行为选择拒绝,勾选日志,在“匹配条件”页面中,应用类型选择“即时通讯 > QQ”,如图所示。

图1-13 控制策略配置

 

单击选择“高级配置”标签页,时间选择已配置的时间对象,如图1-14所示。

图1-14 控制策略高级配置

 

3. 验证配置

配置完成后,公司员工在8:00—18:00的时间范围内无法登录QQ,但在其它时间是可以登录的。

 

1.1.12  IPv6控制策略配置举例

1. 简介

控制策略不仅适用于IPv4网络,也同样适用于IPv6网络的,可以对通过设备的源接口,目的接口,源IPv6地址,目的IPv6地址,服务,用户,以及应用七元组进行访问控制。

说明

·          匹配基于IPv6的控制策略,用户识别范围需要配置为any或者识别方式配置为启发模式。

·          匹配基于IPv6的控制策略,需要在命令行启用IPv6 enable功能。

 

2. 组网需求

内网用户通过设备访问远端服务器,通过控制策略禁止内网用户访问远端IPv6的HTTP服务器和FTP服务器。

3. 组网图

图1-15 IPv6控制策略组网图

 

4. 配置步骤

(1)      配置基于IPv6地址对象。

进入“策略配置>对象管理>地址对象”页面,新建一条地址对象。

图1-16 新建IPv6地址对象

 

(2)      配置基于IPv6的URL控制策略。

进入“策略配置>控制策略”页面,新建一条控制策略,在URL过滤策略中新建一条URL控制策略,URL分类选择其他类,处理动作选择拒绝,日志级别配置通知,提交策略。

图1-17 新建控制策略-新建URL控制策略

 

图1-18 URL控制策略配置完成

 

(3)      配置应用过滤策略。

单击选择“应用过滤”标签页,新建一条应用过滤策略,应用分类选择“文件传输”,如下图所示。

图1-19 应用过滤策略选择应用


处理动作选择“拒绝”,日志级别配置为“通知”,如下图所示。

图1-20 基于IPv6的控制策略-新建应用过滤策略

 

点击<提交>按钮,提交应用过滤配置,如下图所示。

图1-21 应用过滤策略配置完成

 

(4)      选择源地址为IPv6地址对象host。

单击选择“匹配条件”标签页,源地址选择“host”,如下图所示。

图1-22 应用过滤策略选择应用

 

点击IPv6策略配置页面的<提交>按钮,完成IPv6策略配置。

图1-23 基于IPv6的控制策略配置完成

 

5. 验证配置

配置完成后,内网用户host通过IPv6地址能ping通远端IPv6服务器,访问远端服务器IPv6的HTTP服务和登录FTP服务被拒绝。

 

1.2  WEB关键字过滤

1.2.1  WEB关键字过滤概述

web关键字过滤,支持针对搜索引擎内容的过滤、HTTP上传POST内容的过滤以及HTTP网页浏览内容的过滤,实现效果如下:

·              搜索引擎:

对搜索引擎的搜索内容进行监控,提供告警、拒绝两种处理动作,并支持记录日志。

·              HTTP上传:

对http上传的POST内容进行监控,提供告警、拒绝两种处理动作,并支持记录日志,如:

web邮件过滤(发件人、收件人,主题、内容、附件名);

web社区论坛(发帖内容、附件上传)。

·              网页内容:

支持所有http网页浏览内容过滤,网页内容必须为文本形式,不能为图片中的文字。

1.2.2  WEB关键字页面

在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤 > WEB关键字”标签页,如图1-24所示。

图1-24 WEB关键字页面

 

页面上方的快捷功能按钮说明,如表1-7所示。

表1-7 快捷功能按钮说明

标题项

说明

新建

点击新建创建规则。

删除

选中对应规则进行快捷删除。

查询

支持根据条件查询规则。

启用

支持选中对应规则进行快捷启用。

禁用

支持选中对应规则进行快捷禁用。

优先级

支持对选中规则调整优先级顺序。

 

点击<查询>按钮,可根据条件查询规则,如图1-25所示。查询页面详细说明,如表1-8所示。

图1-25 查询按钮

 

表1-8 查询页面详细说明

标题项

说明

ID

根据ID查询WEB关键字规则。

描述

根据描述查询WEB关键字规则。

处理动作

根据处理动作查询WEB关键字规则。

日志级别

根据日志级别查询WEB关键字规则。

重置

清空当前查询页面信息。

提交

提交后根据查询条件显示结果。

取消

取消查询操作。

 

点击<优先级>按钮,如图1-26所示。优先级配置详细说明,如表1-9所示。

图1-26 策略优先级配置

 

表1-9 策略优先级按钮详细说明

标题项

说明

被移动策略ID

当前操作的策略ID。

目标位置

移动的目标位置,包括:策略最前、策略ID之前、策略ID之后、策略最后。

目标策略ID

选择的目标策略ID,只有目标位置为策略ID之前和策略ID之后时此选项生效。

 

1.2.3  搜索引擎规则

在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤>WEB关键字>搜索引擎”标签页,点击<新建>进入搜索引擎规则配置界面,如图1-27所示。搜索引擎规则详细配置说明,如表1-10所示。

图1-27 搜索引擎规则

 

 

表1-10 搜索引擎规则详细配置

标题项

说明

启用

勾选后则启用搜索引擎规则。

描述

搜索引擎规则的描述信息。

关键字对象

选择关键字对象,支持通过<添加关键字>按钮来快速创建关键字对象。

处理动作

处理动作包括:放行、阻断。

日志级别

日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。

提交

提交后当前规则新建成功。

取消

取消规则创建,不下发配置。

 

搜索引擎规则创建成功后如图1-28所示。

图1-28 搜索引擎规则配置显示

 

1.2.4  HTTP上传规则

在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤>WEB关键字> HTTP上传”标签页,点击<新建>进入HTTP上传规则配置界面,如图1-29所示。HTTP上传规则详细配置说明,如表1-11所示。

图1-29 HTTP上传规则

 

 

表1-11 HTTP上传规则详细配置说明

标题项

说明

启用

勾选后则启用搜索引擎规则。

描述

HTTP上传规则的描述信息。

关键字对象

选择关键字对象,支持通过<添加关键字>按钮来快速创建关键字对象。

处理动作

处理动作包括:放行、阻断。

日志级别

日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。

提交

提交后当前规则新建成功。

取消

取消规则创建,不下发配置。

 

HTTP上传规则创建成功后如图1-30所示。规则显示详细说明,如表1-12所示。

图1-30 HTTP上传规则配置显示

 

表1-12 HTTP上传规则显示详细说明

标题项

说明

ID

规则对应ID,代表规则优先级。

描述

规则描述信息显示。

关键字

规则引用的关键字对象。

动作

规则动作,包括:放行、阻断。

级别

规则日志级别,包括:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。

启用

规则启用状态显示,包括:启用和禁用。

操作

支持对当前规则进行编辑和删除。

 

1.2.5  网页内容规则

在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤>WEB关键字>网页内容”标签页,点击<新建>进入网页内容规则配置界面,如图1-31所示。网页内容规则详细配置说明,如表1-13所示。

图1-31 网页内容规则

 

表1-13 网页内容规则详细配置说明

标题项

说明

启用

勾选后则启用搜索引擎规则。

描述

网页内容规则的描述信息。

关键字对象

选择关键字对象,支持通过<添加关键字>按钮来快速创建关键字对象。

处理动作

处理动作包括:放行、阻断。

日志级别

日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。

提交

提交后当前规则新建成功。

取消

取消规则创建,不下发配置。

 

网页内容规则创建成功后如图1-32所示。规则显示详细说明,如表1-14所示。

图1-32 网页内容规则配置显示

 

表1-14 网页内容规则配置显示详细说明

标题项

说明

ID

规则对应ID,代表规则优先级。

描述

规则描述信息显示。

关键字

规则引用的关键字对象。

动作

规则动作,包括:放行、阻断。

级别

规则日志级别,包括:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。

启用

规则启用状态显示,包括:启用和禁用。

操作

支持对当前规则进行编辑和删除。

 

1.2.6  WEB关键字过滤配置案例

1. 组网需求

针对内网用户上网不允许搜索引擎查找敏感关键字“毒品”,不允许外发WEB邮件内容包含敏感关键字“内网资产”,不允许浏览包含关键字“新闻”的网页。

2. 组网图

图1-33 WEB关键字组网图

 

 

3. 配置步骤

(1)      创建解密策略。

由于部分测试网站为https加密网站,需要解密后才能识别到关键字,所以需要先创建解密策略,在导航栏中选择“策略配置 > SSL解密策略”,单击<新建>按钮,配置完成后下发,如图1-34所示。

图1-34 解密策略配置

 

(2)      创建关键字对象。

在导航栏中选择“策略配置 > 对象管理 > 关键字对象”,单击<新建>按钮,进入关键字对象配置页面,如图1-35所示。

图1-35 关键字对象配置

 

点击<提交>按钮,提交配置。

(3)      创建WEB关键字过滤规则

在导航栏中选择“策略配置 > 控制策略”,点击<新建>,在弹出页面中单击选择“应用过滤>WEB关键字”,分别创建搜索引擎规则、HTTP上传规则、网页内容规则,如图1-36图1-37图1-38所示。

图1-36 搜索引擎规则

 

图1-37 HTTP上传规则

 

图1-38 网页内容规则

 

点击<提交>按钮,提交配置。

 

4. 验证配置

(1)      搜索引擎结果验证

使用百度搜索引擎搜索关键字“毒品”,访问被阻断,无结果回显,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图1-39图1-40所示。

图1-39 关键字搜索结果

 

图1-40 应用控制日志

 

(2)      WEB邮箱结果验证

使用126邮箱发送邮件,内容为:内网资产信息请查收,点击发送,邮件无法发送成功,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图1-41图1-42所示。

图1-41 邮件发送

 

图1-42 应用控制日志

 

(3)      网页浏览结果验证

使用测试PC访问腾讯网站www.qq.com,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图1-43图1-44所示。

图1-43 访问腾讯

 

图1-44 应用控制日志


 

1.3  URL过滤

1.3.1  URL过滤概述

URL过滤是基于URL分类来对用户访问WEB站点进行控制,控制动作包含允许和拒绝。这样可以通过对HTTP协议的控制为用户提供应用级的安全防护和访问限制。

说明

对URL或恶意URL进行控制,需要配置解密类型为HTTPS解密的SSL解密策略,且HTTPS对象需包含访问HTTPS页面的域名,用户访问HTTPS页面被阻断时,才可以弹出阻断提示信息。

 

1.3.2  URL过滤策略页面

在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“URL过滤>URL控制”标签页,新建URL过滤策略,如图1-45所示。URL过滤策略页面详细配置说明,如表1-15所示。

图1-45 URL过滤策略

 

表1-15 URL过滤策略详细配置

标题项

说明

启用

勾选后则启用URL过滤策略。

描述

URL过滤策略的描述信息。

URL分类

URL预定义分类和自定义分类。

处理动作

处理动作包括:允许、拒绝。

日志级别

日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。

提交

提交后当前规则新建成功。

取消

取消规则创建,不下发配置。

 

URL过滤策略创建成功后如图1-46所示。策略显示详细说明,如表1-16所示。

图1-46 URL过滤策略配置显示

 

表1-16 URL过滤策略配置显示详细说明

标题项

说明

ID

策略对应ID,代表策略优先级。

描述

策略描述信息显示。

URL分类

URL预定义分类和自定义分类。

动作

规则动作,包括:允许、拒绝。

级别

规则日志级别,包括:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。

启用

规则启用状态显示,包括:启用和禁用。

操作

支持对当前规则进行编辑和删除。

 

1.3.3  恶意URL页面

在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“URL过滤>恶意URL”标签页,如图1-47所示。恶意URL过滤页面详细配置说明,如表1-17所示。

图1-47 恶意URL页面

 

表1-17 恶意URL过滤详细配置

标题项

说明

过滤

勾选后则启用恶意URL过滤策略。

不过滤

勾选后则关闭恶意URL过滤策略。

 

1.3.4  URL过滤配置案例

1. 组网需求

针对内网用户不允许访问”新闻媒体”网站。

2. 组网图

图1-48 应用控制组网图

 

 

3. 配置步骤

(1)      创建URL过滤策略

在导航栏中选择“策略配置 > 控制策略”,点击<新建>,选择“URL过滤>URL控制”标签页,创建URL过滤策略,如图1-49所示。

图1-49 创建URL过滤策略

 

点击<提交>按钮,提交配置。

 

4. 验证配置

使用终端访问腾讯新闻网站news.qq.com,访问被阻断,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 >应用控制日志”中产生相应阻断日志,如图1-50图1-51所示。

图1-50 访问阻断

 

图1-51 应用控制日志


 

1.4  应用控制

1.4.1  应用控制概述

应用控制是基于应用对象来进行控制,控制动作包含允许和拒绝。

1.4.2  应用控制页面

在导航栏中选择“策略配置 > 控制策略”,单击<新建>,选择“应用过滤>应用控制”标签页,新建应用控制策略,如图1-52所示。应用控制页面详细配置说明,如表1-18所示。

图1-52 应用控制

 

表1-18 应用控制详细配置

标题项

说明

启用

勾选后则启用搜索引擎规则。

描述

搜索引擎规则的描述信息。

应用

应用对象,通过点击<选择应用>弹框来选择相关的应用。

处理动作

处理动作包括:允许、拒绝。

日志级别

日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。

提交

提交后当前规则新建成功。

取消

取消规则创建,不下发配置。

 

应用控制策略创建成功后如图1-53所示。

图1-53 应用控制配置显示

 

1.4.3  应用控制配置案例

1. 组网需求

针对内网用户不允许玩游戏,将所有游戏应用全部阻断。

2. 组网图

图1-54 应用控制组网图

 

 

3. 配置步骤

(1)      创建应用控制策略

在导航栏中选择“策略配置 > 控制策略”,点击<新建>,在弹出页面中选择“应用过滤>、<应用控制”标签页,创建应用控制策略,如图1-55所示。

图1-55 创建应用控制策略

 

点击<提交>按钮,提交配置。

4. 验证配置

使用终端登录腾讯QQ游戏,无法登录,被阻断,可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图1-56所示。

图1-56 应用控制日志


 

1.5  邮件控制

1.5.1  概述

邮件控制策略用于对SMTP发送邮件及POP3、IMAP接收邮件进行控制,可以根据收件人、发件人、主题、内容、附件名、邮件大小及附件个数等信息,控制收取的邮件,通过策略决定放行或阻断。邮件主题、正文、附件名支持关键字过滤。

·              发件人过滤:

¡  黑名单:邮件的发件人信息,匹配到关键字则邮件被阻断,不匹配则放行。

¡  白名单:邮件的发件人信息,匹配到关键字则邮件被放行,不匹配则阻断。

·              收件人过滤:

¡  黑名单,邮件的收件人信息,匹配到关键字则邮件被阻断,不匹配则放行。

¡  白名单,邮件的收件人信息,匹配到关键字则邮件被放行,不匹配则阻断。

·              标题及内容关键字:邮件的标题或者内容中,有匹配到关键字的信息,则邮件被阻断。

·              附件名关键字:邮件的附件名中,有匹配到关键字的信息,则邮件被阻断。

·              邮件大小:邮件的总大小,超过设置限制,则邮件被阻断。

·              附件个数:邮件的附件个数,超过设置限制,则邮件被阻断。

 

1.5.2  邮件控制

在导航栏中选择“策略配置 > 控制策略”,单击<新建>,选择“应用过滤>邮件控制”标签页,进入如图1-57所示页面。在该页面上,可以查看已经配置的邮件控制信息。这些信息的详细说明如表1-19所示。

图1-57 邮件控制

 

表1-19 邮件控制的显示信息

发送邮件

对发送邮件进行控制

接收邮件

对接收邮件进行控制

发件人过滤-黑名单

对邮件信息的发件人信息进行关键字判断,命中阻断,否则放行

发件人过滤-白名单

对邮件信息的发件人信息进行关键字判断,命中放行,否则阻断

收件人过滤-黑名单

对邮件信息的收件人信息进行关键字判断,命中阻断,否则放行

收件人过滤-白名单

对邮件信息的收件人信息进行关键字判断,命中放行,否则阻断

标题及内容关键字

对邮件信息的标题和内容进行关键字判断,命中阻断,否则放行

附件名关键字

对邮件信息的附件名进行关键字判断,命中阻断,否则放行

邮件大小

对邮件信息的邮件大小进行判断,超过限制大小阻断,否则放行

附件个数

对邮件信息的附件个数进行判断,超过限制个数阻断,否则放行

日志级别

日志记录的提示信息,或者不记录

 

1.5.3  邮件控制配置举例

1. 组网需求

用户test发送邮件大小超过5M,发送的邮件被阻断。

2. 组网图

图1-58 邮件控制组网图

 

 

3. 配置步骤

(1)      创建用户test

进入“用户管理 > 用户组织结构”,新建“test”用户,如图1-59所示。

图1-59 用户配置

 

(2)      配置控制策略

进入“策略配置 > 控制策略”,在“匹配条件”页面,选择用户“test”,并点击<提交>。如图1-60所示。

图1-60 配置控制策略

 

(3)      配置邮件控制策略

在“控制策略配置”页面,选择“应用过滤 > 邮件控制”,配置邮件控制,邮件大小设置为5M,并点击<提交>按钮提交该页配置,如图1-61所示。

图1-61      配置邮件控制

 

(4)      配置认证策略

进入“用户管理 > 认证管理 > 认证策略”,配置本地WEB认证策略,如图5-6所示。

图1-62      配置本地WEB认证

 

4. 验证配置

(1)      用户test通过本地认证后过设备发送大于5M的邮件,邮件发送失败,如图1-63所示。

图1-63 邮件发送

 

(2)      设备应用控制记录阻断日志,可以查看详情,如图1-64所示。

图1-64 应用控制记录阻断日志


 

1.6  虚拟账号

1.6.1  概述

QQ虚拟账号控制是指控制策略根据所引用关键字对象设置待过滤账号,只允许引用单个关键字对象,关键字过滤只支持精确匹配。根据匹配到的动作(黑名单或白名单)进行QQ账号控制并产生应用控制日志。

1.6.2  配置虚拟账号

在导航栏中选择“策略配置 > 控制策略”,单击<新建>,选择“应用过滤>虚拟账号”标签页,进入如图1-65所示页面。在该页面上可以配置虚拟账号功能。各个配置项含义如表1-20所示。

图1-65 虚拟账号配置页面

 

表1-20 虚拟账号配置项含义表

标题项

说明

启用

启用虚拟账号功能,未启用状态下无法配置黑白名单。

黑名单

启用虚拟账号黑名单,引用关键字对象,可以直接点击添加关键字按钮添加关键字对象。

白名单

启用虚拟账号白名单,引用关键字对象,可以直接点击添加关键字按钮添加关键字对象。

日志级别

选择匹配到虚拟账号后产生的虚拟账号控制日志级别。

 

1.6.3  虚拟账号配置举例

1. 组网需求

图1-66所示,公司内网存在内网用户供内部人员使用;无线WIFI供访客使用,具体需求如下:

·              针对内网用户,公司内部人员只放行特定的QQ账户上网,其它qq号阻断登录。

·              针对无线WIFI网络,阻断特定qq账户,其它qq放行可以上网。

 

图1-66 虚拟账号组网图

 

2. 配置步骤

(1)      配置地址对象

通过菜单“策略配置 > 对象管理 > 地址对象”,点击<新建>地址对象,配置“内网用户”地址对象和“无线wifi”地址对象。如图1-67图1-68所示。

图1-67 添加内网用户地址对象

 

图1-68 添加无线wifi地址对象

 

(2)      配置关键字对象

通过菜单“策略配置 > 对象管理 > 关键字对象”,点击<新建>关键字对象,配置“QQ白名单”关键字对象和“QQ黑名单”关键字对象,如图1-69图1-70所示。

图1-69 添加QQ白名单对象

 

图1-70 添加QQ黑名单对象

 

(3)      配置控制策略,虚拟账户配置白名单。

通过菜单“策略配置>控制策略”,点击<新建>进入控制策略配置页面,源地址对象选择“内网用户”,虚拟账户启用白名单,如图1-71图1-72所示。

图1-71 控制策略配置内网用户源地址

 

图1-72 控制策略配置虚拟账户白名单控制

 

(4)      配置控制策略,虚拟账户配置黑名单。

通过菜单“策略配置 > 控制策略”,点击<新建>进入控制策略配置页面,源地址对象选择 “无线wifi”,虚拟账户启用黑名单,如图1-73图1-74所示。

图1-73 控制策略配置无线wifi源地址

 

图1-74 控制策略配置虚拟账户黑名单控制

 

 

3. 验证结果

(1)      内网用户匹配白名单策略效果

通过菜单“数据中心 > 日志中心 > 控制日志 > 应用控制日志”,查看虚拟控制日志。内网用户使用白名单关键字内的QQ账户可以登录,不记录控制日志。使用白名单以外的QQ账户,登录账户阻断后,点击日志详情可以查看匹配的策略名称和阻断账户,如图1-75所示。

图1-75 内网用户匹配白名单日志

 

(2)      无线WIFI网段用户匹配黑名单策略效果

通过菜单“数据中心 > 日志中心 > 控制日志 > 应用控制日志”,查看虚拟控制日志。无线WIFI网段用户使用黑名单以外的关键字登录qq,可以登录不记录控制日志。使用黑名单关键字的账户登录qq阻断后查看控制日志,点击日志条目详细可以看到匹配的策略名称和阻断账户进入如图1-76所示的页面。

图1-76 无线WIFI用户匹配黑名单日志


 

1.7  文件类型过滤

1.7.1  文件类型过滤简介

利用网络来进行文件传输是许多用户的重要途径之一,而在文件传输过程中存在种种管理和安全隐患,如用户有意泄密者甚至会将外发文件的后缀名修改,然后通过HTTP、FTP协议进行外发则会产生文件的泄漏等安全风险。

支持基于文件类型的过滤行为,封堵HTTP、FTP协议传输文件。基于特征能够识别真实的文件类型,即便存在修改、删除外发文件后缀名,也能发现并且告警,保护组织的信息资产安全。

1.7.2  文件类型过滤使用限制

(1)      文件后缀超过15个字符时,日志记录会截断前15个字符;

(2)      阻断FTP时,本地会创建临时的文件;

(3)      升级特征库,预定义文件类型需要手动点击重置才可以更新;

(4)      真实文件类型识别中:jpg和jpeg无法区分;

(5)      开启真实文件类型过滤后,如果识别到真实文件类型为png,但配置为jpg阻断,文件名称后缀为.jpg,不会实现阻断,开启真实文件类型识别后优先进行真实文件判断;

(6)      默认真实文件类型识别为关闭状态;

(7)      解密后真实文件类型应用支持: 163邮箱(上传/下载)、QQ邮箱下载、126邮箱(上传/下载)、百度网盘下载、360云盘非真实文件类型上传和真实文件类型下载;

(8)      真实文件识别支持类型包括:avi、mp4、mp3、chm、jpg、jpeg、gif、bmp、tiff、png、dcm、heic、ico、jxr、psd、 zip、rar、gz、7z、docx、pptx、xlsx、pdf、rtf。

(9)      文件类型对象匹配不区分大小写,配置ZIP与配置zip阻断效果一样。

(10)   如果使用的FTP连接端口为非标准端口,需要在设备中配置FTP非标准端口,配置后就可以正常控制了,HTTP均是正常可以控制的。

1.7.3  文件类型过滤页面

在导航栏中选择“策略配置 > 控制策略”,单击<新建>,选择“应用过滤>文件类型过滤”标签页,进入如图1-56所示页面。在该页面上,点击<新建>进入文件类型过滤配置界面,如下图所示。

图1-77 文件类型过滤页面

图1-78 新建文件类型过滤配置页面

 

表1-21 文件类型过滤详细配置

标题项

说明

启用

勾选后则启用该文件类型过滤策略。

描述

文件类型过滤策略的描述信息。

文件类型分类

选择文件类型对象,支持通过<添加文件类型>按钮来快速创建文件类型对象。

传输方向

传输方向包括:上传、下载,分别表示HTTP和FTP的上传和下载。

排除网站

仅对http上传下载有效,可以选择URL分类对象进行排除该网站不进行控制。

处理动作

处理动作包括:放行、阻断。

日志级别

日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。

提交

提交后当前规则新建成功。

取消

取消规则创建,不下发配置。

 

文件类型过滤策略创建成功后如下图所示。

图1-79 文件类型过滤配置显示

 

1.7.4  文件类型过滤配置举例

1. 组网需求

针对通过FTP或者HTTP下载图片文件(JPG)的用户进行阻断。

2. 组网图

图1-80 文件类型过滤测试组网图

 

3. 配置步骤

在导航栏中选择“策略配置 > 控制策略”,单击<新建>,选择“应用过滤>文件类型过滤”标签页,点击<新建>按钮, 创建文件类型过滤策略,如下图所示。

图1-81 创建文件类型过滤策略

 

点击<提交>按钮,提交配置。

4. 验证配置

使用测试PC过设备通过HTTP或者FTP下载png图片文件,无法下载,被阻断,可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如下图所示。

图1-82 应用控制日志

 

1.8  协议过滤

1.8.1  概述

设备支持FTP协议、Telnet协议、DNS协议过滤,可以更好针对内网使用的协议进行控制,提高设备控制能力,并可以有效针对传输关键字或者传输命令更加深度的控制,协议过滤主要支持以下三种协议:

·              FTP协议过滤:可以针对FTP传输文件名和相关操作命令进行过滤控制;

·              Telnet协议过滤:可以针对Telnet传输的相关操作命令进行过滤控制;

·              DNS协议过滤:可以针对DNS报文中域名字段进行过滤控制。

1.8.2  协议过滤配置

1. FTP协议过滤设置页面

在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,点击新建控制策略按钮,进入“应用过滤 > 协议过滤”页面,默认第一个就是FTP协议过滤配置页面,如图1-83所示。

图1-83 FTP协议过滤配置页面

 

表1-22 FTP协议过滤设置页面详细说明

项目

说明

启用

启用FTP协议过滤的全局按钮

文件名

开启后选择相关关键字对FTP协议传输的文件名进行控制

命令

开启后选择相关关键字对FTP协议传输的命令进行控制

处理动作

对匹配到关键字的FTP协议进行过滤

日志级别

选择日志级别

添加关键字

快速添加关键字对象

 

2. Telnet协议过滤配置页面

在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,点击新建控制策略按钮,进入“应用过滤 > 协议过滤”页面,选择Telnet页面,进入Telnet协议过滤配置页面,如图1-84所示。

图1-84 Telnet协议过滤配置页面

 

页面的详细说明如表1-23所示。

表1-23 邮件配置详细说明

项目

说明

启用

启用Telnet协议过滤的全局按钮

命令

开启后选择相关关键字对Telnet协议传输的命令进行控制

处理动作

对匹配到关键字的Telnet协议进行过滤

日志级别

选择日志级别

添加关键字

快速添加关键字对象

 

3. DNS协议过滤配置页面

在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,点击新建控制策略按钮,进入“应用过滤 > 协议过滤”页面,选择DNS页面,进入DNS协议过滤配置页面,如图1-85所示。

图1-85 DNS协议过滤配置页面

 

页面的详细说明如表1-24所示。

表1-24 邮箱服务器配置详细说明

项目

说明

启用

启用DNS协议过滤的全局按钮

域名

开启后选择相关关键字对Telnet协议传输的命令进行控制

处理动作

对匹配到关键字的DNS协议进行过滤

日志级别

选择日志级别

添加关键字

快速添加关键字对象

 

1.8.3  协议过滤功能配置举例

1. 组网需求

内网PC通过设备进行协议传输,开启FTP协议过滤功能,对PC向FTP服务器上传或下载文件的文件名进行过滤控制,不允许传输文件名包含指定关键字的文件。

2. 组网图

图1-86 协议过滤配置举例组网图

 

3. 配置步骤

(1)      配置设备连接测试PC接口ge11地址为:172.1.1.1/24,配置出接口mgt0地址为:10.4.1.124/24。

图1-87 配置设备接口地址

 

(2)      配置设备默认路由指向网关防火墙10.4.1.1的静态路由。

图1-88 配置默认到网关防火墙的静态路由

 

(3)      配置出接口源NAT地址转换

图1-89 配置出接口源地址转换

 

(4)      配置FTP协议过滤,针对传输文件名为:test的流量进行阻断处理。

图1-90 配置FTP协议过滤

 

4. 验证配置

(1)      测试PC过设备向FTP服务器上传或下载文件名包含“test”的文件被阻断。

图1-91 FTP协议阻断

 

(2)      FTP协议阻断记录控制日志。

进入“数据中心>日志中心>控制日志>应用控制日志”,查看FTP协议阻断日志,如下图所示。

图1-92 FTP协议阻断记录控制日志

图1-93 FTP协议阻断日志详情

 

1.9  终端公告推送

1.9.1   终端公告推送简介

随着网络化的普及,网络的管理也日趋精细,经常需要在网络内部发布公告或通知内容。网络内部可以选择使用终端公告提醒的公告功能,公告发布后,内网终端能够在访问网页时重定向到公告页面,以达到公告的目的。

1.9.2  终端公告推送页面

通过菜单“策略配置>控制策略”,新建一条控制策略,编辑此控制策略,进入如图1-94所示页面。在该页面上可以配置终端公告推送的相关功能。各个配置项含义如表1-25所示。

图1-94 终端公告推送配置页面

 

表1-25 终端公告推送配置项含义表

标题项

说明

启用

勾选复选框表示开启终端公告推送功能。

提醒频率(间隔)

按配置间隔阈值,周期性进行公告提醒。

提醒频率(定时)

配置定时时间,定时进行公告提醒。

页面选择

复选框,可以选择设备内置公告,也可以选择外置公告页面。

 

1.9.3  终端公告配置举例

1. 组网需求

图1-95所示,某公司为了加强上网管理,拟定了一个上网准则公告,需要周期性进行网络内部推送,使用设备的ge0和ge1接口以三层路由模式部署在网络中,上联出口FW,下联二层交换机。设备上开启移动终端公告推送功能,检测上网行为并周期推送公告提醒。

图1-95 终端公告推送组网

 

2. 配置思路

·              配置设备接口地址及路由。

·              配置地址对象。

·              配置用户识别范围。

·              配置自定义公告内容。

·              开启移动终端公告推送功能。

3. 配置步骤

(1)      配置接口地址

图1-96图1-97所示,进入“网络配置 > 接口配置”页面,点击编辑ge0、ge1操作,把ge0、ge1的地址分别配置为10.0.219.110/24、192.168.1.1/24。

图1-96 配置ge0接口

 

图1-97 配置ge1接口

 

(2)      配置静态路由

图1-98所示,进入“网络配置 > 路由管理 > 静态路由”页面,新建一条访问外网的默认路由。

图1-98 配置静态路由

 

(3)      配置地址对象

图1-99所示,进入“策略配置 > 对象管理>地址对象>地址对象”页面,点击<新建>按钮创建内网用户地址对象,设置地址为192.168.1.0/24,点击<提交>。

图1-99 配置地址对象

 

(4)      配置用户识别范围

图1-100所示,进入“用户管理 > 认证管理 > 高级选项 > 全局配置”页面,识别范围选择“内网用户”,其它配置默认,提交配置。

图1-100 用户识别范围

 

(5)      配置自定义公告内容

图1-101所示,进入“策略配置 > 对象管理 > 公告页面”,点击名称中“默认公告”,弹出自定义公告编辑页面。

图1-101 自定义公告

 

(6)      开启终端公告推送功能

图1-102所示,进入“策略配置 > 控制策略”页面,新建控制策略,源IP选择“内网用户”并开启终端公告推送功能。

图1-102 移动终端推送配置

 

4. 配置注意事项

·              内网接口管理方式必须开启http,终端才能正常访问公告页面。

5. 验证配置

图1-103所示,某员工使用1台PC访问http网站,会被推送上网准则公告。

图1-103 推送公告


 

1.10  高级配置

1.10.1   高级配置简介

高级配置包含时间、老化时间、终端配置,时间中引用时间对象以控制策略的生效时间,老化时间控制命中此控制策略的会话存活周期,终端可以控制当前控制策略基于哪些类型的终端生效。

1.10.2  高级配置页面

通过菜单“策略配置>控制策略”,新建一条控制策略,点击<高级配置>,进入如图1-104所示页面。各个配置项含义如表1-26所示。

图1-104 高级配置页面

 

表1-26 高级配置各项含义表

标题项

说明

时间

策略生效时间,可以引用时间对象。

老化时间

基于策略的老化时间,命中此策略的会话按此时间进行老化,默认为0。

终端

终端型号,包含any、移动终端、PC、多终端。

终端型号

选择终端型号,默认为any。此功能依赖于第三方用户同步中的ddi终端用户功能,需要将终端型号信息同步给设备。

VLAN

选择策略匹配的虚拟局域网,any表示所有。可配置的范围为0~4094,单个/范围(用-连接),多项用,隔开,最多可配置8组。

DSCP

选择策略匹配的差分服务代码点,any表示所有。可配置的范围为0~63,单个/范围(用-连接),多项用,隔开,最多可配置8组。

 

点击<选择终端>,弹出如图1-105所示页面。各个配置项含义如表1-27所示。

图1-105 选择终端页面

 

表1-27 选择终端各项含义表

标题项

说明

已选终端

显示已选择的终端类型配置。

终端类型

终端类型包含:

·          any:所有终端类型。

·          移动终端:基于Android或IOS系统的智能手机或Pad。

·          PC:基于Windows操作系统的PC或笔记本。

·          多终端:单个IP下同时存在PC和移动终端。

名称

终端类型的名称。

描述

终端类型实际含义的描述信息。

 

1.10.3  终端控制配置举例

1. 组网需求

针对公司内部网络,不允许移动终端用户通过WIFI热点接入(如360wifi),进行上网,防止降低工作效率。

2. 组网图

图1-106 终端控制组网图

 

 

3. 配置步骤

(1)      创建终端控制策略,在导航栏中选择“策略配置 > 控制策略”,点击<新建>进入控制策略配置页面,行为选择“拒绝”,高级配置中的终端选择“移动终端”,如图1-107所示。

图1-107 终端控制策略

 

(2)      点击<提交>按钮,提交配置。

4. 验证配置

在办公电脑上,启用360wifi,使用移动终端连接wifi,访问网页,被阻断,PC端可以正常访问网络,如图1-108图1-109所示。

图1-108 移动终端上网被阻断

 

图1-109 PC端可以正常访问网络

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们