H3C华三ACG1005-PWR上网行为管理如何配置策略,比如限制一些网址不能访问
- 0关注
- 2收藏,8927浏览
问题描述:
H3C华三ACG1005-PWR上网行为管理如何配置策略,比如限制一些网址***.***/
组网及组网描述:
一台上网行为管理,一台交换机
- 2020-10-18提问
- 举报
-
(0)
最佳答案
ACG HTTPS网站过滤配置案例
目录
4.1 开启HTTPS解密时请先修改WEB登录端口。... 10
4.2 浏览器如果可以获取证书是不需要导入客户端证书的。... 11
1 配置需求或说明
1.1 适用的产品系列
本案例适用于ACG1000系列应用控制网关:ACG1000-T、ACG1000-M、ACG1000-AG、ACG1000-SE、ACG1000-s、等。
注:本案例是在ACG1000-S Version 1.10,Release 6609P02版本上进行配置和验证的。
1.2 配置需求及实现的效果
如下组网图所示,内网用户网段为:10.1.1.0/24。将ACG1000设备的ge0和ge1串接部署在核心交换机和出口路由器之间,启用URL过滤功能,实现内网用户不能访问百度网站但可以访问其他网站的需求。
注:本案例重点描述网站过滤配置,设备上网配置略。
2 组网图
3 配置步骤
3.1 登录ACG
#设备管理口(ge1)的地址配置为10.1.1.1。允许对该接口进行PING、HTTPS操作。将终端与设备ge1端口互联,在终端打开浏览器输入https://10.1.1.1登录设备管理界面。默认用户名与密码均为admin。
3.2 配置地址对象、URL对象、HTTPS对象
#点击“对象管理”>“地址”>“IPv4地址对象”,点击“新建”。IP地址配置为10.1.1.0/24,创建内网网段地址对象
#点击“对象管理”> “URL”> “HTTPS对象”,点击<新建>,配置https对象,勾选域名列表中所有选项,点击“提交”确定。
#点击“对象管理”> “URL”> “自定义URL”,点击<新建>,配置自定义URL对象百度,“内容”配置为baidu,点击<提交>。
3.3 生成CA证书
# 点击“对象管理”—“CA服务器”—“根CA配置管理”,点击“生成CA根证书”。输入证书名称为“https”,设置有效期为最大的18000天。
#生成CA证书后,点击“导出CA根证书”,将证书保存在电脑上。
#点击“对象管理”—“本地证书”—“证书”,在此页面导入刚刚保存的证书。
3.4 配置IPv4策略
# 点击“上网行为管理”—“策略配置”—“IPv4策略”,点击“新建”,源地址参数选择创建的“内网网段”。
#点击URL审计下方的“新建”,在URL分类中选择创建的百度,处理动作选择拒绝(即拒绝网易的流量),日志级别选择信息。
3.5 配置解密策略
#点击“上网行为管理”—“解密策略”,选择“新建”。解密类型选择“https解密”,HTTPS对象选择创建“https对象”,并勾选启用。
#在解密策略视图下,证书列表的下拉框中选择之前在本地证书中导入的证书(如连接ACG时为HTTPS方式登录,需要在系统管理—管理员—管理设定中修改https端口,否则下次无法登录)。
3.6 添加DNS
#点击“网络配置”—“DNS”,进入DNS服务器页面,添加DNS服务器地址,可配置公有DNS,也可配置对应运营商的DNS。
3.7 安装证书
#双击打开从ACG上下载的证书。
#选中证书的路径。
#输入生成证书时设置的密码,如未设置,直接点击“下一步”。
#选择“将所有的证书放入下列存储”,点击“浏览”,在弹出的对话框中选择“受信任的根证书颁发机构”,点击确定,并点击“下一步”。
#点击“完成”即可。
3.8 保存配置
#点击“配置保存”。
3.9 查看与验证
配置完成后在PC上访问百度,web界面显示访问被禁止。
3.10 开启HTTPS解密时请先修改WEB登录端口。
登录ACG使用的HTTPS端口为443与解密策略中的证书端口冲突,需要将WEB管理端口修改为出443以外的其他端口。
# 点击“系统管理”—“ 管理员”—“ 管理设定”中修改https端口。
举例将HTTPS端口修改为4430,登录时使用https://192.168.1.1:4430登录设备。
3.11 浏览器如果可以获取证书是不需要导入客户端证书的。
部分浏览器可以自动获取证书,这部分浏览器是不需要执行本案例中的证书导入过程的。
- 2020-10-18回答
- 评论(0)
- 举报
-
(0)
您好,请知:
关于应用及网站的过滤,可以参考如下配置举例:
1.7 配置举例
1.7.1 应用对象配置举例
1. 组网需求
某企业内网用户访问外网时,工作时间禁止登录即时通讯软件。
2. 配置步骤
进入“上网行为管理>IPv4控制策略”,新建一条IPv4控制策略,行为选择允许,基础条件使用默认配置,在应用过滤中新建一条应用控制策略,配置应用对象选择“即时通讯”类的应用组如图1-12所示,动作配置拒绝,日志级别选择通知级别如图1-13所示,高级配置中时间选择工作时间,点击策略下的<提交>按钮,IPv4控制策略配置完成,如图1-14所示。
图1-14 IPv4控制策略配置完成
3. 验证配置
测试终端过设备登录即时通讯软件,无法登录成功,且在“数据中心>安全日志>应用控制日志”页面上有相应的阻断日志记录,如图1-15所示。
1.7.2 应用对象标签配置举例
1. 组网需求
某企业内网用户访问外网时,工作时间禁止在论坛微博上发帖。
2. 配置步骤
进入“上网行为管理>IPv4控制策略”,新建一条IPv4控制策略,行为选择拒绝,勾选日志,匹配条件应用中选择应用标签“论坛和微博发贴”类标签如图1-16所示,高级配置中时间选择工作时间,点击<提交>按钮,IPv4控制策略配置完成,如图1-17所示。
图1-17 IPv4策略配置完成
3. 验证配置
测试终端过设备访问外网论坛微博网站进行发表评论说说时,发表失败如图1-18所示。
1.7.3 自定义应用配置举例
1. 组网需求
用户匹配自定义规则流量过设备,会话监控查看识别到自定义应用。
2. 组网图
图1-19 组网图
3. 配置步骤
(1) 新建自定义应用,名称设置为“AAA”,协议选择UDP,应用类选择“流媒体”,目标端口填写“65”。
图1-20 配置自定义应用
(2) HOST匹配自定义应用流量过设备,会话监控页面显示被识别。
图1-21 会话监控页面显示被识别
1.7.4 应用智能识别配置举例
1. 组网需求
禁止公司员工进行迅雷下载。
2. 配置步骤
(1) 配置应用智能识别
进入“上网行为管理>对象管理>应用对象>应用智能识别”,点击“迅雷”右边的<编辑>按钮,进入迅雷配置页面,系统默认智能识别功能已开启,如图1-22所示。
(2) 在导航栏中选择“上网行为管理> IPv4控制策略”,单击<新建>按钮,进入IPv4策略配置页面,点击<应用过滤>页签,进入应用过滤配置页面,新建一条迅雷下载应用阻断策略,如图1-23所示。
图1-23 IPv4策略配置
点击<提交>按钮,提交配置。
3. 验证配置
配置完成后,公司员工无下载迅雷资源,且在设备上有记录阻断日志,如图1-24所示。
- 2020-10-18回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论