ACG-URL过滤
- 0关注
- 0收藏,385浏览
问题描述:
acg-1000-x1控制策略中url过滤设置为any动作为拒绝所有,在应用对象-url对象-url白名单中添加需要访问的相应网站,原职场pc有一批IP地址添加过全局白名单,现将全局白名单中的IP地址删除出全局白名单,经测试后无法拦截原全局白名单中的IP地址访问url白名单地址以外的网站
- 2025-04-10提问
- 举报
-
(0)
最佳答案
你URL都加白了,肯定能访问
1. 配置顺序检查:
确保IPv4策略中白名单规则(permit规则)的优先级高于全拒绝规则(deny规则)
建议在IPv4策略中按顺序配置:
1) 放行白名单URL的自定义策略(动作为允许)
2) 拒绝所有URL的默认策略(动作为拒绝)
2. URL匹配优化:
将白名单中的URL简化为关键域名(如将"www.baidu.com"改为"baidu"),避免特殊字符(如.)导致正则匹配异常
使用文本模式(text)替代正则模式(regex),减少匹配复杂度
3. 全局白名单残留处理:
检查"策略 > 安全防护 > 白名单"中是否仍存在其他地址对象组引用
在IPv4策略中确认全局白名单是否仍被其他策略调用
4. 会话表刷新:
删除旧会话:reset session table
或等待会话超时(默认TCP会话超时30分钟)
5. HTTPS过滤支持:
若需过滤HTTPS网站,需额外配置SSL解密策略(参考案例:ACG1000M配置举例中的SSL解密部分)
6. 日志验证:
在"监控 > URL日志"中确认拒绝记录是否包含原全局白名单IP的访问行为
检查拒绝原因为"Deny by URL过滤策略"还是其他策略放行
若经上述检查仍不生效,需抓包确认实际访问URL是否包含外链(如广告、CDN等域名),并在白名单中补充相关域名。
- 2025-04-10回答
- 评论(6)
- 举报
-
(0)
没有呢 大佬
有详细的配置和解决方案吗?
看答案
需要做SSL解密吗?
若当前设备启用了自定义URL过滤,则需要先检查自定义URL配置是否正常,否则,可直接进行策略配置检查。
1、检查自定义URL配置 ACG设备支持自定义URL过滤功能,可以由客户自行配置网站域名关键字进行审计过滤配置。 在问题排查过程中需要注意检查自定义URL配置是否准确。 命令:无 例如:在ACG Web管理界面“对象管理>URL>自定义URL”中,检查各自定义URL配置是否启用准确。 特别要注意检查“URL”字段是否正确。
2、检查策略配置 ACG设备URL过滤功能是通过策略配置实现的,因此必须重点检查策略配置是否正确。 URL 分类是根据URL 请求将网站访问分成相应的类别。 URL分类库是进行分类的依据,已经内置在版本当中。 用户也可以依据自己的需要,自行定义新的URL分类。 通过网站策略对其进行引用,并启用该策略,可以对相关的用户起到网站控制的作用。
- 2025-04-11回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
SSL解密如何配置 大佬