30-控制策略
本章节下载: 30-控制策略 (2.92 MB)
目 录
控制策略对通过设备的用户、源接口/域、目的接口/域、源地址、目的地址、应用、服务、终端、时间等维度进行访问控制,针对应用、URL、入侵防御、病毒防护等内容进行统一管控,并且支持策略分组。
控制策略适用于IPv4和IPv6网络的访问控制。
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示界面,如图1-1所示。
控制策略的含义如表1-1所示:
标题项 |
说明 |
状态 |
控制策略的状态: · 表示策略启用 · 表示策略禁用 |
ID |
控制策略的ID。 |
用户 |
匹配控制策略的用户对象。 |
行为 |
控制策略行为的状态包含: · 允许 · 拒绝 |
策略组 |
策略所属的分组名称。 |
源接口/域 |
匹配控制策略的源接口/域。 |
目的接口/域 |
匹配控制策略的目的接口/域。 |
源地址 |
匹配控制策略的源地址。 |
目的地址 |
匹配控制策略的目的地址。 |
应用 |
匹配控制策略的应用对象。 |
服务 |
匹配控制策略的服务对象。 |
终端 |
匹配控制策略匹配的终端类型,包括:any、移动终端、PC、多终端。 移动终端:基于Android或IOS系统的智能手机或Pad; PC:基于Windows操作系统的PC或笔记本; 多终端:单个IP下同时存在电脑和移动终端。 |
描述 |
控制策略描述。 |
匹配次数 |
匹配控制策略的次数。 |
应用安全 |
如果显示图标,表示已经配置应用过滤或URL过滤规则。 |
时间 |
匹配控制策略匹配的时间对象。 |
日志 |
设备是否记录syslog格式的控制策略日志。 |
老化时间 |
基于控制策略的老化时间,缺省情况下,老化时间为0,表示使用各个协议默认的老化时间。 |
操作 |
控制策略支持的操作,包含编辑、删除和复制。 |
策略支持外部编辑,在导航栏中选择“策略配置 > 控制策略”,进入控制策略页面,点击任一支持外部编辑的7元组对象:用户、源接口/域、目的接口/域、源地址、目的地址、应用、服务,如图1-2所示。
策略外部编辑界面的详细信息如表1-2所示:
标题项 |
说明 |
类型 |
类型包含:用户、接口、源地址、目的地址、应用、服务 |
类型显示列 |
点击相应类型后,此列显示对应的类型数据,可直接选择进行配置。 |
已选列表 |
已配置类型的对象内容显示区。 |
单击<新建>按钮,进入控制策略配置页面,如图所示。
图1-3 控制策略配置界面
控制策略详细配置说明,如表1-3所示。
标题项 |
说明 |
启用 |
策略启用和禁用,勾选表示开启策略,不勾选表示禁用策略。 |
行为 |
策略的行为包含: · 允许,对匹配条件的会话进行应用控制,如URL过滤和应用过滤。 · 拒绝,阻断命中匹配条件的会话。 |
策略分组 |
策略可以分组展示。 |
日志 |
勾选后,设备会记录syslog格式的控制策略日志。在“系统管理>系统设定>日志设定”页面,可以设置是否将指定级别的控制策略日志发送到日志服务器。 |
描述 |
控制策略描述信息。 |
匹配条件 |
控制策略的匹配条件,包含用户、接口、源地址、目的地址、应用、服务。 |
入侵防御 |
入侵防御配置,包括事件集等。 |
病毒防护 |
病毒防护配置,包括防护项目等。 |
URL过滤 |
URL过滤规则,包含URL控制和恶意URL控制。 |
应用过滤 |
应用过滤规则,包含应用控制、邮件控制、WEB关键字控制、虚拟账号控制、文件类型过滤和协议过滤。 |
终端公告提醒 |
给匹配条件的终端推送公告提醒页面。策略首次下发后会进行第一次推送,后续按间隔定期推送。 |
高级配置 |
包含时间对象配置、老化时间配置、终端类型、终端型号、VLAN及DSCP配置。 |
· 控制策略动作为“拒绝”时,如果勾选了“日志”,设备只记录syslog格式的控制策略日志,不记录本地日志。如果需要在本地记录日志,可将控制策略的行为配置为“允许”,在应用过滤中配置处理动作为“拒绝”的策略,设备匹配到该策略后会在本地产生相应的日志。
· 控制策略动作为“允许”时,设备syslog日志支持记录级别为“info”的控制策略日志,在设置日志外发级别需要选择“全部级别”,或者“信息”,或者“调试”,远端syslog服务器才能收到日志。
· 控制策略动作为允许的时候,建议不要勾选“日志”。如果勾选日志并外发,会产生大量外发日志,可能会对设备性能产生影响。
在导航栏中选择“策略配置 > 控制策略”,单击<优先级>按钮进入控制策略优先级配置页面,如图1-4所示。
控制策略优先级详细配置说明,如表1-4所示。
标题项 |
说明 |
被移动的策略ID |
被移动的策略索引。 |
目标位置 |
移动后的位置: · 策略最前指移动到所有策略的最前面。 · 策略ID之前指移动到某条固定的策略之前。 · 策略ID之后指移动到某条固定的策略之后。 · 策略最后指移动到所有策略的后面。 |
目标位置策略ID |
参考策略索引,可以选择对应策略ID,将当前策略移动到该策略ID之前或之后。 |
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-5所示。勾选要启用或者禁用的控制策略,单击<启用>或<禁用>按钮可以启动和禁用该控制策略。
图1-5 控制策略启用和禁用
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面。单击需要复制的控制策略后面的按钮,然后单击“确定”按钮,进入复制后的策略编辑页面,最后单击“提交”按钮即可以对该控制策略进行复制,生成一个新的控制策略。
图1-6 复制控制策略
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-7所示。勾选要删除的控制策略,单击<删除>按钮或点击操作中<删除>按钮,可以删除该控制策略。
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-8所示。勾选要清除匹配计数的控制策略,单击<匹配次数清零>按钮可以清除该控制策略的匹配计数。
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-9所示。勾选允许或拒绝单选框,可以修改默认控制策略行为。
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,如图1-10所示。单击查询,填写过滤条件可以查询出符合该过滤条件的控制策略。
控制策略查询配置详细说明,如表1-5所示。
标题项 |
说明 |
ID |
被查询的策略索引。 |
源接口/域 |
策略所选择的源接口。 |
源地址 |
策略所配置包含该地址的地址对象(可基于地址对象、IP地址和域名查询)。 |
用户 |
策略所选择的用户。 |
目的接口/域 |
策略所选择的目的接口。 |
目的地址 |
策略所配置包含该地址的地址对象(可基于地址对象、IP地址搜寻和域名查询)。 |
服务 |
策略所选择的服务。 |
描述 |
策略所对应的描述信息。 |
在导航栏中选择“策略配置>控制策略”,进入控制策略显示页面,如图1-11所示。移动到左边,点击 ,会弹出策略分组管理页面。
策略分组详细说明,如表1-6所示。
标题项 |
说明 |
新建策略分组。 |
|
修改策略分组名称。 |
|
删除策略分组。 |
禁止公司员工上班时间(8:00—18:00)访问QQ。
(1) 配置日计划
在导航栏中选择“策略配置 > 对象管理 > 时间对象> 日计划”,单击<新建>按钮,进入日计划配置页面,如图1-12所示。
点击<提交>按钮,提交配置。
(2) 配置控制策略
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,进入控制策略配置页面,行为选择拒绝,勾选日志,在“匹配条件”页面中,应用类型选择“即时通讯 > QQ”,如图所示。
图1-13 控制策略配置
单击选择“高级配置”标签页,时间选择已配置的时间对象,如图1-14所示。
配置完成后,公司员工在8:00—18:00的时间范围内无法登录QQ,但在其它时间是可以登录的。
控制策略不仅适用于IPv4网络,也同样适用于IPv6网络的,可以对通过设备的源接口,目的接口,源IPv6地址,目的IPv6地址,服务,用户,以及应用七元组进行访问控制。
· 匹配基于IPv6的控制策略,用户识别范围需要配置为any或者识别方式配置为启发模式。
· 匹配基于IPv6的控制策略,需要在命令行启用IPv6 enable功能。
内网用户通过设备访问远端服务器,通过控制策略禁止内网用户访问远端IPv6的HTTP服务器和FTP服务器。
图1-15 IPv6控制策略组网图
(1) 配置基于IPv6地址对象。
进入“策略配置>对象管理>地址对象”页面,新建一条地址对象。
图1-16 新建IPv6地址对象
(2) 配置基于IPv6的URL控制策略。
进入“策略配置>控制策略”页面,新建一条控制策略,在URL过滤策略中新建一条URL控制策略,URL分类选择其他类,处理动作选择拒绝,日志级别配置通知,提交策略。
图1-17 新建控制策略-新建URL控制策略
图1-18 URL控制策略配置完成
(3) 配置应用过滤策略。
单击选择“应用过滤”标签页,新建一条应用过滤策略,应用分类选择“文件传输”,如下图所示。
图1-19 应用过滤策略选择应用
处理动作选择“拒绝”,日志级别配置为“通知”,如下图所示。
图1-20 基于IPv6的控制策略-新建应用过滤策略
点击<提交>按钮,提交应用过滤配置,如下图所示。
图1-21 应用过滤策略配置完成
(4) 选择源地址为IPv6地址对象host。
单击选择“匹配条件”标签页,源地址选择“host”,如下图所示。
图1-22 应用过滤策略选择应用
点击IPv6策略配置页面的<提交>按钮,完成IPv6策略配置。
图1-23 基于IPv6的控制策略配置完成
配置完成后,内网用户host通过IPv6地址能ping通远端IPv6服务器,访问远端服务器IPv6的HTTP服务和登录FTP服务被拒绝。
web关键字过滤,支持针对搜索引擎内容的过滤、HTTP上传POST内容的过滤以及HTTP网页浏览内容的过滤,实现效果如下:
· 搜索引擎:
对搜索引擎的搜索内容进行监控,提供告警、拒绝两种处理动作,并支持记录日志。
· HTTP上传:
对http上传的POST内容进行监控,提供告警、拒绝两种处理动作,并支持记录日志,如:
web邮件过滤(发件人、收件人,主题、内容、附件名);
web社区论坛(发帖内容、附件上传)。
· 网页内容:
支持所有http网页浏览内容过滤,网页内容必须为文本形式,不能为图片中的文字。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤 > WEB关键字”标签页,如图1-24所示。
图1-24 WEB关键字页面
页面上方的快捷功能按钮说明,如表1-7所示。
标题项 |
说明 |
新建 |
点击新建创建规则。 |
删除 |
选中对应规则进行快捷删除。 |
查询 |
支持根据条件查询规则。 |
启用 |
支持选中对应规则进行快捷启用。 |
禁用 |
支持选中对应规则进行快捷禁用。 |
优先级 |
支持对选中规则调整优先级顺序。 |
点击<查询>按钮,可根据条件查询规则,如图1-25所示。查询页面详细说明,如表1-8所示。
标题项 |
说明 |
ID |
根据ID查询WEB关键字规则。 |
描述 |
根据描述查询WEB关键字规则。 |
处理动作 |
根据处理动作查询WEB关键字规则。 |
日志级别 |
根据日志级别查询WEB关键字规则。 |
重置 |
清空当前查询页面信息。 |
提交 |
提交后根据查询条件显示结果。 |
取消 |
取消查询操作。 |
点击<优先级>按钮,如图1-26所示。优先级配置详细说明,如表1-9所示。
标题项 |
说明 |
被移动策略ID |
当前操作的策略ID。 |
目标位置 |
移动的目标位置,包括:策略最前、策略ID之前、策略ID之后、策略最后。 |
目标策略ID |
选择的目标策略ID,只有目标位置为策略ID之前和策略ID之后时此选项生效。 |
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤>WEB关键字>搜索引擎”标签页,点击<新建>进入搜索引擎规则配置界面,如图1-27所示。搜索引擎规则详细配置说明,如表1-10所示。
标题项 |
说明 |
启用 |
勾选后则启用搜索引擎规则。 |
描述 |
搜索引擎规则的描述信息。 |
关键字对象 |
选择关键字对象,支持通过<添加关键字>按钮来快速创建关键字对象。 |
处理动作 |
处理动作包括:放行、阻断。 |
日志级别 |
日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。 |
提交 |
提交后当前规则新建成功。 |
取消 |
取消规则创建,不下发配置。 |
搜索引擎规则创建成功后如图1-28所示。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤>WEB关键字> HTTP上传”标签页,点击<新建>进入HTTP上传规则配置界面,如图1-29所示。HTTP上传规则详细配置说明,如表1-11所示。
图1-29 HTTP上传规则
表1-11 HTTP上传规则详细配置说明
标题项 |
说明 |
启用 |
勾选后则启用搜索引擎规则。 |
描述 |
HTTP上传规则的描述信息。 |
关键字对象 |
选择关键字对象,支持通过<添加关键字>按钮来快速创建关键字对象。 |
处理动作 |
处理动作包括:放行、阻断。 |
日志级别 |
日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。 |
提交 |
提交后当前规则新建成功。 |
取消 |
取消规则创建,不下发配置。 |
HTTP上传规则创建成功后如图1-30所示。规则显示详细说明,如表1-12所示。
图1-30 HTTP上传规则配置显示
表1-12 HTTP上传规则显示详细说明
标题项 |
说明 |
ID |
规则对应ID,代表规则优先级。 |
描述 |
规则描述信息显示。 |
关键字 |
规则引用的关键字对象。 |
动作 |
规则动作,包括:放行、阻断。 |
级别 |
规则日志级别,包括:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。 |
启用 |
规则启用状态显示,包括:启用和禁用。 |
操作 |
支持对当前规则进行编辑和删除。 |
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“应用过滤>WEB关键字>网页内容”标签页,点击<新建>进入网页内容规则配置界面,如图1-31所示。网页内容规则详细配置说明,如表1-13所示。
标题项 |
说明 |
启用 |
勾选后则启用搜索引擎规则。 |
描述 |
网页内容规则的描述信息。 |
关键字对象 |
选择关键字对象,支持通过<添加关键字>按钮来快速创建关键字对象。 |
处理动作 |
处理动作包括:放行、阻断。 |
日志级别 |
日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。 |
提交 |
提交后当前规则新建成功。 |
取消 |
取消规则创建,不下发配置。 |
网页内容规则创建成功后如图1-32所示。规则显示详细说明,如表1-14所示。
标题项 |
说明 |
ID |
规则对应ID,代表规则优先级。 |
描述 |
规则描述信息显示。 |
关键字 |
规则引用的关键字对象。 |
动作 |
规则动作,包括:放行、阻断。 |
级别 |
规则日志级别,包括:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。 |
启用 |
规则启用状态显示,包括:启用和禁用。 |
操作 |
支持对当前规则进行编辑和删除。 |
针对内网用户上网不允许搜索引擎查找敏感关键字“毒品”,不允许外发WEB邮件内容包含敏感关键字“内网资产”,不允许浏览包含关键字“新闻”的网页。
图1-33 WEB关键字组网图
(1) 创建解密策略。
由于部分测试网站为https加密网站,需要解密后才能识别到关键字,所以需要先创建解密策略,在导航栏中选择“策略配置 > SSL解密策略”,单击<新建>按钮,配置完成后下发,如图1-34所示。
(2) 创建关键字对象。
在导航栏中选择“策略配置 > 对象管理 > 关键字对象”,单击<新建>按钮,进入关键字对象配置页面,如图1-35所示。
点击<提交>按钮,提交配置。
(3) 创建WEB关键字过滤规则
在导航栏中选择“策略配置 > 控制策略”,点击<新建>,在弹出页面中单击选择“应用过滤>WEB关键字”,分别创建搜索引擎规则、HTTP上传规则、网页内容规则,如图1-36、图1-37、图1-38所示。
图1-37 HTTP上传规则
点击<提交>按钮,提交配置。
(1) 搜索引擎结果验证
使用百度搜索引擎搜索关键字“毒品”,访问被阻断,无结果回显,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图1-39、图1-40所示。
(2) WEB邮箱结果验证
使用126邮箱发送邮件,内容为:内网资产信息请查收,点击发送,邮件无法发送成功,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图1-41、图1-42所示。
(3) 网页浏览结果验证
使用测试PC访问腾讯网站www.qq.com,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图1-43、图1-44所示。
URL过滤是基于URL分类来对用户访问WEB站点进行控制,控制动作包含允许和拒绝。这样可以通过对HTTP协议的控制为用户提供应用级的安全防护和访问限制。
对URL或恶意URL进行控制,需要配置解密类型为HTTPS解密的SSL解密策略,且HTTPS对象需包含访问HTTPS页面的域名,用户访问HTTPS页面被阻断时,才可以弹出阻断提示信息。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“URL过滤>URL控制”标签页,新建URL过滤策略,如图1-45所示。URL过滤策略页面详细配置说明,如表1-15所示。
图1-45 URL过滤策略
表1-15 URL过滤策略详细配置
标题项 |
说明 |
启用 |
勾选后则启用URL过滤策略。 |
描述 |
URL过滤策略的描述信息。 |
URL分类 |
URL预定义分类和自定义分类。 |
处理动作 |
处理动作包括:允许、拒绝。 |
日志级别 |
日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。 |
提交 |
提交后当前规则新建成功。 |
取消 |
取消规则创建,不下发配置。 |
URL过滤策略创建成功后如图1-46所示。策略显示详细说明,如表1-16所示。
图1-46 URL过滤策略配置显示
表1-16 URL过滤策略配置显示详细说明
标题项 |
说明 |
ID |
策略对应ID,代表策略优先级。 |
描述 |
策略描述信息显示。 |
URL分类 |
URL预定义分类和自定义分类。 |
动作 |
规则动作,包括:允许、拒绝。 |
级别 |
规则日志级别,包括:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。 |
启用 |
规则启用状态显示,包括:启用和禁用。 |
操作 |
支持对当前规则进行编辑和删除。 |
在导航栏中选择“策略配置 > 控制策略”,单击<新建>按钮,选择“URL过滤>恶意URL”标签页,如图1-47所示。恶意URL过滤页面详细配置说明,如表1-17所示。
表1-17 恶意URL过滤详细配置
标题项 |
说明 |
过滤 |
勾选后则启用恶意URL过滤策略。 |
不过滤 |
勾选后则关闭恶意URL过滤策略。 |
针对内网用户不允许访问”新闻媒体”网站。
图1-48 应用控制组网图
(1) 创建URL过滤策略
在导航栏中选择“策略配置 > 控制策略”,点击<新建>,选择“URL过滤>URL控制”标签页,创建URL过滤策略,如图1-49所示。
图1-49 创建URL过滤策略
点击<提交>按钮,提交配置。
使用终端访问腾讯新闻网站news.qq.com,访问被阻断,同时可以在导航栏“数据中心 > 日志中心 > 控制日志 >应用控制日志”中产生相应阻断日志,如图1-50、图1-51所示。
应用控制是基于应用对象来进行控制,控制动作包含允许和拒绝。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>,选择“应用过滤>应用控制”标签页,新建应用控制策略,如图1-52所示。应用控制页面详细配置说明,如表1-18所示。
标题项 |
说明 |
启用 |
勾选后则启用搜索引擎规则。 |
描述 |
搜索引擎规则的描述信息。 |
应用 |
应用对象,通过点击<选择应用>弹框来选择相关的应用。 |
处理动作 |
处理动作包括:允许、拒绝。 |
日志级别 |
日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。 |
提交 |
提交后当前规则新建成功。 |
取消 |
取消规则创建,不下发配置。 |
应用控制策略创建成功后如图1-53所示。
针对内网用户不允许玩游戏,将所有游戏应用全部阻断。
图1-54 应用控制组网图
(1) 创建应用控制策略
在导航栏中选择“策略配置 > 控制策略”,点击<新建>,在弹出页面中选择“应用过滤>、<应用控制”标签页,创建应用控制策略,如图1-55所示。
点击<提交>按钮,提交配置。
使用终端登录腾讯QQ游戏,无法登录,被阻断,可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如图1-56所示。
邮件控制策略用于对SMTP发送邮件及POP3、IMAP接收邮件进行控制,可以根据收件人、发件人、主题、内容、附件名、邮件大小及附件个数等信息,控制收取的邮件,通过策略决定放行或阻断。邮件主题、正文、附件名支持关键字过滤。
· 发件人过滤:
¡ 黑名单:邮件的发件人信息,匹配到关键字则邮件被阻断,不匹配则放行。
¡ 白名单:邮件的发件人信息,匹配到关键字则邮件被放行,不匹配则阻断。
· 收件人过滤:
¡ 黑名单,邮件的收件人信息,匹配到关键字则邮件被阻断,不匹配则放行。
¡ 白名单,邮件的收件人信息,匹配到关键字则邮件被放行,不匹配则阻断。
· 标题及内容关键字:邮件的标题或者内容中,有匹配到关键字的信息,则邮件被阻断。
· 附件名关键字:邮件的附件名中,有匹配到关键字的信息,则邮件被阻断。
· 邮件大小:邮件的总大小,超过设置限制,则邮件被阻断。
· 附件个数:邮件的附件个数,超过设置限制,则邮件被阻断。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>,选择“应用过滤>邮件控制”标签页,进入如图1-57所示页面。在该页面上,可以查看已经配置的邮件控制信息。这些信息的详细说明如表1-19所示。
发送邮件 |
对发送邮件进行控制 |
接收邮件 |
对接收邮件进行控制 |
发件人过滤-黑名单 |
对邮件信息的发件人信息进行关键字判断,命中阻断,否则放行 |
发件人过滤-白名单 |
对邮件信息的发件人信息进行关键字判断,命中放行,否则阻断 |
收件人过滤-黑名单 |
对邮件信息的收件人信息进行关键字判断,命中阻断,否则放行 |
收件人过滤-白名单 |
对邮件信息的收件人信息进行关键字判断,命中放行,否则阻断 |
标题及内容关键字 |
对邮件信息的标题和内容进行关键字判断,命中阻断,否则放行 |
附件名关键字 |
对邮件信息的附件名进行关键字判断,命中阻断,否则放行 |
邮件大小 |
对邮件信息的邮件大小进行判断,超过限制大小阻断,否则放行 |
附件个数 |
对邮件信息的附件个数进行判断,超过限制个数阻断,否则放行 |
日志级别 |
日志记录的提示信息,或者不记录 |
用户test发送邮件大小超过5M,发送的邮件被阻断。
图1-58 邮件控制组网图
(1) 创建用户test
进入“用户管理 > 用户组织结构”,新建“test”用户,如图1-59所示。
(2) 配置控制策略
进入“策略配置 > 控制策略”,在“匹配条件”页面,选择用户“test”,并点击<提交>。如图1-60所示。
图1-60 配置控制策略
(3) 配置邮件控制策略
在“控制策略配置”页面,选择“应用过滤 > 邮件控制”,配置邮件控制,邮件大小设置为5M,并点击<提交>按钮提交该页配置,如图1-61所示。
图1-61 配置邮件控制
(4) 配置认证策略
进入“用户管理 > 认证管理 > 认证策略”,配置本地WEB认证策略,如图5-6所示。
图1-62 配置本地WEB认证
(1) 用户test通过本地认证后过设备发送大于5M的邮件,邮件发送失败,如图1-63所示。
(2) 设备应用控制记录阻断日志,可以查看详情,如图1-64所示。
QQ虚拟账号控制是指控制策略根据所引用关键字对象设置待过滤账号,只允许引用单个关键字对象,关键字过滤只支持精确匹配。根据匹配到的动作(黑名单或白名单)进行QQ账号控制并产生应用控制日志。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>,选择“应用过滤>虚拟账号”标签页,进入如图1-65所示页面。在该页面上可以配置虚拟账号功能。各个配置项含义如表1-20所示。
标题项 |
说明 |
启用 |
启用虚拟账号功能,未启用状态下无法配置黑白名单。 |
黑名单 |
启用虚拟账号黑名单,引用关键字对象,可以直接点击添加关键字按钮添加关键字对象。 |
白名单 |
启用虚拟账号白名单,引用关键字对象,可以直接点击添加关键字按钮添加关键字对象。 |
日志级别 |
选择匹配到虚拟账号后产生的虚拟账号控制日志级别。 |
如图1-66所示,公司内网存在内网用户供内部人员使用;无线WIFI供访客使用,具体需求如下:
· 针对内网用户,公司内部人员只放行特定的QQ账户上网,其它qq号阻断登录。
· 针对无线WIFI网络,阻断特定qq账户,其它qq放行可以上网。
(1) 配置地址对象
通过菜单“策略配置 > 对象管理 > 地址对象”,点击<新建>地址对象,配置“内网用户”地址对象和“无线wifi”地址对象。如图1-67、图1-68所示。
图1-67 添加内网用户地址对象
图1-68 添加无线wifi地址对象
通过菜单“策略配置 > 对象管理 > 关键字对象”,点击<新建>关键字对象,配置“QQ白名单”关键字对象和“QQ黑名单”关键字对象,如图1-69、图1-70所示。
图1-69 添加QQ白名单对象
图1-70 添加QQ黑名单对象
(3) 配置控制策略,虚拟账户配置白名单。
通过菜单“策略配置>控制策略”,点击<新建>进入控制策略配置页面,源地址对象选择“内网用户”,虚拟账户启用白名单,如图1-71、图1-72所示。
图1-71 控制策略配置内网用户源地址
(4) 配置控制策略,虚拟账户配置黑名单。
通过菜单“策略配置 > 控制策略”,点击<新建>进入控制策略配置页面,源地址对象选择 “无线wifi”,虚拟账户启用黑名单,如图1-73、图1-74所示。
(1) 内网用户匹配白名单策略效果
通过菜单“数据中心 > 日志中心 > 控制日志 > 应用控制日志”,查看虚拟控制日志。内网用户使用白名单关键字内的QQ账户可以登录,不记录控制日志。使用白名单以外的QQ账户,登录账户阻断后,点击日志详情可以查看匹配的策略名称和阻断账户,如图1-75所示。
(2) 无线WIFI网段用户匹配黑名单策略效果
通过菜单“数据中心 > 日志中心 > 控制日志 > 应用控制日志”,查看虚拟控制日志。无线WIFI网段用户使用黑名单以外的关键字登录qq,可以登录不记录控制日志。使用黑名单关键字的账户登录qq阻断后查看控制日志,点击日志条目详细可以看到匹配的策略名称和阻断账户进入如图1-76所示的页面。
图1-76 无线WIFI用户匹配黑名单日志
利用网络来进行文件传输是许多用户的重要途径之一,而在文件传输过程中存在种种管理和安全隐患,如用户有意泄密者甚至会将外发文件的后缀名修改,然后通过HTTP、FTP协议进行外发则会产生文件的泄漏等安全风险。
支持基于文件类型的过滤行为,封堵HTTP、FTP协议传输文件。基于特征能够识别真实的文件类型,即便存在修改、删除外发文件后缀名,也能发现并且告警,保护组织的信息资产安全。
(1) 文件后缀超过15个字符时,日志记录会截断前15个字符;
(2) 阻断FTP时,本地会创建临时的文件;
(3) 升级特征库,预定义文件类型需要手动点击重置才可以更新;
(4) 真实文件类型识别中:jpg和jpeg无法区分;
(5) 开启真实文件类型过滤后,如果识别到真实文件类型为png,但配置为jpg阻断,文件名称后缀为.jpg,不会实现阻断,开启真实文件类型识别后优先进行真实文件判断;
(6) 默认真实文件类型识别为关闭状态;
(7) 解密后真实文件类型应用支持: 163邮箱(上传/下载)、QQ邮箱下载、126邮箱(上传/下载)、百度网盘下载、360云盘非真实文件类型上传和真实文件类型下载;
(8) 真实文件识别支持类型包括:avi、mp4、mp3、chm、jpg、jpeg、gif、bmp、tiff、png、dcm、heic、ico、jxr、psd、 zip、rar、gz、7z、docx、pptx、xlsx、pdf、rtf。
(9) 文件类型对象匹配不区分大小写,配置ZIP与配置zip阻断效果一样。
(10) 如果使用的FTP连接端口为非标准端口,需要在设备中配置FTP非标准端口,配置后就可以正常控制了,HTTP均是正常可以控制的。
在导航栏中选择“策略配置 > 控制策略”,单击<新建>,选择“应用过滤>文件类型过滤”标签页,进入如图1-56所示页面。在该页面上,点击<新建>进入文件类型过滤配置界面,如下图所示。
图1-77 文件类型过滤页面
图1-78 新建文件类型过滤配置页面
表1-21 文件类型过滤详细配置
标题项 |
说明 |
启用 |
勾选后则启用该文件类型过滤策略。 |
描述 |
文件类型过滤策略的描述信息。 |
文件类型分类 |
选择文件类型对象,支持通过<添加文件类型>按钮来快速创建文件类型对象。 |
传输方向 |
传输方向包括:上传、下载,分别表示HTTP和FTP的上传和下载。 |
排除网站 |
仅对http上传下载有效,可以选择URL分类对象进行排除该网站不进行控制。 |
处理动作 |
处理动作包括:放行、阻断。 |
日志级别 |
日志级别包含:紧急、告警、严重、错误、警告、通知、信息、调试、不记录。 |
提交 |
提交后当前规则新建成功。 |
取消 |
取消规则创建,不下发配置。 |
文件类型过滤策略创建成功后如下图所示。
图1-79 文件类型过滤配置显示
针对通过FTP或者HTTP下载图片文件(JPG)的用户进行阻断。
图1-80 文件类型过滤测试组网图
在导航栏中选择“策略配置 > 控制策略”,单击<新建>,选择“应用过滤>文件类型过滤”标签页,点击<新建>按钮, 创建文件类型过滤策略,如下图所示。
图1-81 创建文件类型过滤策略
点击<提交>按钮,提交配置。
使用测试PC过设备通过HTTP或者FTP下载png图片文件,无法下载,被阻断,可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志,如下图所示。
图1-82 应用控制日志
设备支持FTP协议、Telnet协议、DNS协议过滤,可以更好针对内网使用的协议进行控制,提高设备控制能力,并可以有效针对传输关键字或者传输命令更加深度的控制,协议过滤主要支持以下三种协议:
· FTP协议过滤:可以针对FTP传输文件名和相关操作命令进行过滤控制;
· Telnet协议过滤:可以针对Telnet传输的相关操作命令进行过滤控制;
· DNS协议过滤:可以针对DNS报文中域名字段进行过滤控制。
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,点击新建控制策略按钮,进入“应用过滤 > 协议过滤”页面,默认第一个就是FTP协议过滤配置页面,如图1-83所示。
图1-83 FTP协议过滤配置页面
表1-22 FTP协议过滤设置页面详细说明
项目 |
说明 |
启用 |
启用FTP协议过滤的全局按钮 |
文件名 |
开启后选择相关关键字对FTP协议传输的文件名进行控制 |
命令 |
开启后选择相关关键字对FTP协议传输的命令进行控制 |
处理动作 |
对匹配到关键字的FTP协议进行过滤 |
日志级别 |
选择日志级别 |
添加关键字 |
快速添加关键字对象 |
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,点击新建控制策略按钮,进入“应用过滤 > 协议过滤”页面,选择Telnet页面,进入Telnet协议过滤配置页面,如图1-84所示。
图1-84 Telnet协议过滤配置页面
页面的详细说明如表1-23所示。
项目 |
说明 |
启用 |
启用Telnet协议过滤的全局按钮 |
命令 |
开启后选择相关关键字对Telnet协议传输的命令进行控制 |
处理动作 |
对匹配到关键字的Telnet协议进行过滤 |
日志级别 |
选择日志级别 |
添加关键字 |
快速添加关键字对象 |
在导航栏中选择“策略配置 > 控制策略”,进入控制策略显示页面,点击新建控制策略按钮,进入“应用过滤 > 协议过滤”页面,选择DNS页面,进入DNS协议过滤配置页面,如图1-85所示。
图1-85 DNS协议过滤配置页面
页面的详细说明如表1-24所示。
项目 |
说明 |
启用 |
启用DNS协议过滤的全局按钮 |
域名 |
开启后选择相关关键字对Telnet协议传输的命令进行控制 |
处理动作 |
对匹配到关键字的DNS协议进行过滤 |
日志级别 |
选择日志级别 |
添加关键字 |
快速添加关键字对象 |
内网PC通过设备进行协议传输,开启FTP协议过滤功能,对PC向FTP服务器上传或下载文件的文件名进行过滤控制,不允许传输文件名包含指定关键字的文件。
图1-86 协议过滤配置举例组网图
(1) 配置设备连接测试PC接口ge11地址为:172.1.1.1/24,配置出接口mgt0地址为:10.4.1.124/24。
图1-87 配置设备接口地址
(2) 配置设备默认路由指向网关防火墙10.4.1.1的静态路由。
图1-88 配置默认到网关防火墙的静态路由
(3) 配置出接口源NAT地址转换
图1-89 配置出接口源地址转换
(4) 配置FTP协议过滤,针对传输文件名为:test的流量进行阻断处理。
图1-90 配置FTP协议过滤
(1) 测试PC过设备向FTP服务器上传或下载文件名包含“test”的文件被阻断。
图1-91 FTP协议阻断
(2) FTP协议阻断记录控制日志。
进入“数据中心>日志中心>控制日志>应用控制日志”,查看FTP协议阻断日志,如下图所示。
图1-92 FTP协议阻断记录控制日志
图1-93 FTP协议阻断日志详情
随着网络化的普及,网络的管理也日趋精细,经常需要在网络内部发布公告或通知内容。网络内部可以选择使用终端公告提醒的公告功能,公告发布后,内网终端能够在访问网页时重定向到公告页面,以达到公告的目的。
通过菜单“策略配置>控制策略”,新建一条控制策略,编辑此控制策略,进入如图1-94所示页面。在该页面上可以配置终端公告推送的相关功能。各个配置项含义如表1-25所示。
标题项 |
说明 |
启用 |
勾选复选框表示开启终端公告推送功能。 |
提醒频率(间隔) |
按配置间隔阈值,周期性进行公告提醒。 |
提醒频率(定时) |
配置定时时间,定时进行公告提醒。 |
页面选择 |
复选框,可以选择设备内置公告,也可以选择外置公告页面。 |
如图1-95所示,某公司为了加强上网管理,拟定了一个上网准则公告,需要周期性进行网络内部推送,使用设备的ge0和ge1接口以三层路由模式部署在网络中,上联出口FW,下联二层交换机。设备上开启移动终端公告推送功能,检测上网行为并周期推送公告提醒。
· 配置设备接口地址及路由。
· 配置地址对象。
· 配置用户识别范围。
· 配置自定义公告内容。
· 开启移动终端公告推送功能。
(1) 配置接口地址
如图1-96、图1-97所示,进入“网络配置 > 接口配置”页面,点击编辑ge0、ge1操作,把ge0、ge1的地址分别配置为10.0.219.110/24、192.168.1.1/24。
(2) 配置静态路由
如图1-98所示,进入“网络配置 > 路由管理 > 静态路由”页面,新建一条访问外网的默认路由。
(3) 配置地址对象
如图1-99所示,进入“策略配置 > 对象管理>地址对象>地址对象”页面,点击<新建>按钮创建内网用户地址对象,设置地址为192.168.1.0/24,点击<提交>。
(4) 配置用户识别范围
如图1-100所示,进入“用户管理 > 认证管理 > 高级选项 > 全局配置”页面,识别范围选择“内网用户”,其它配置默认,提交配置。
(5) 配置自定义公告内容
如图1-101所示,进入“策略配置 > 对象管理 > 公告页面”,点击名称中“默认公告”,弹出自定义公告编辑页面。
(6) 开启终端公告推送功能
如图1-102所示,进入“策略配置 > 控制策略”页面,新建控制策略,源IP选择“内网用户”并开启终端公告推送功能。
· 内网接口管理方式必须开启http,终端才能正常访问公告页面。
如图1-103所示,某员工使用1台PC访问http网站,会被推送上网准则公告。
高级配置包含时间、老化时间、终端配置,时间中引用时间对象以控制策略的生效时间,老化时间控制命中此控制策略的会话存活周期,终端可以控制当前控制策略基于哪些类型的终端生效。
通过菜单“策略配置>控制策略”,新建一条控制策略,点击<高级配置>,进入如图1-104所示页面。各个配置项含义如表1-26所示。
标题项 |
说明 |
时间 |
策略生效时间,可以引用时间对象。 |
老化时间 |
基于策略的老化时间,命中此策略的会话按此时间进行老化,默认为0。 |
终端 |
终端型号,包含any、移动终端、PC、多终端。 |
终端型号 |
选择终端型号,默认为any。此功能依赖于第三方用户同步中的ddi终端用户功能,需要将终端型号信息同步给设备。 |
VLAN |
选择策略匹配的虚拟局域网,any表示所有。可配置的范围为0~4094,单个/范围(用-连接),多项用,隔开,最多可配置8组。 |
DSCP |
选择策略匹配的差分服务代码点,any表示所有。可配置的范围为0~63,单个/范围(用-连接),多项用,隔开,最多可配置8组。 |
点击<选择终端>,弹出如图1-105所示页面。各个配置项含义如表1-27所示。
标题项 |
说明 |
已选终端 |
显示已选择的终端类型配置。 |
终端类型 |
终端类型包含: · any:所有终端类型。 · 移动终端:基于Android或IOS系统的智能手机或Pad。 · PC:基于Windows操作系统的PC或笔记本。 · 多终端:单个IP下同时存在PC和移动终端。 |
名称 |
终端类型的名称。 |
描述 |
终端类型实际含义的描述信息。 |
针对公司内部网络,不允许移动终端用户通过WIFI热点接入(如360wifi),进行上网,防止降低工作效率。
图1-106 终端控制组网图
(1) 创建终端控制策略,在导航栏中选择“策略配置 > 控制策略”,点击<新建>进入控制策略配置页面,行为选择“拒绝”,高级配置中的终端选择“移动终端”,如图1-107所示。
(2) 点击<提交>按钮,提交配置。
在办公电脑上,启用360wifi,使用移动终端连接wifi,访问网页,被阻断,PC端可以正常访问网络,如图1-108、图1-109所示。
图1-109 PC端可以正常访问网络
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!