用户终端出于安全或者其他考虑不允许访问某些URL;或者说只允许访问某些URL,其他的URL禁止访问。同时用户禁止的仅仅HTTP报文,对于其他类型的报文比如FTP则不禁止。针对客户的这种需求,EAD支持配置URL访问控制策略来实现客户的需求。
终端安装iNode客户端通过Portal网关接入网络。
iMC软件版本:7.3
1. Portal认证基础配置(略)
目的:使终端通过iNode可以通过Portal认证接入网络,注意此处需要勾选仅限iNode客户端。否则终端通过浏览器接入网络时无法限制其行为。
2. 配置URL访问控制策略
在安全策略管理-终端访问控制管理路径下首先一个域名URL分类,名称为“imc16”,描述信息随意填写,然后点击确定。
点击确定返回后如下图所示,点击该域名分类后面的规则配置图标。
点击规则配置图标后如下图所示,此时可以增加具体的明细规则,本文是禁止终端访问***.***域名,所以在域名处填写“imc16.*”(写成*.***.***效果也是一样),然后点击确定。域名支持模糊匹配,例如,如果要限制所有以“www.abc.”开头的域名,则输入“www.abc.*”。域名URL规则检查的是HTTP报文头里面的host和URI字段。
配置完域名URL分类以后还需要继续配置IP地址URL分类,原因是配置域名访问限制后,终端无法通过域名访问对应的资源,但是还是可以通过解析该域名对应的IP地址然后通过直接访问IP地址的形式来访问资源的,所以还需要把域名对应的IP地址加入到IP地址URL分类里面去,如下图所示,***.***对应的IP为192.168.113.16,则IP地址范围只增加该IP地址即可,然后点击确定。注意:IP地址URL检查的是HTTP报文头里面host地段。
增加完URL域名访问规则和IP地址URL访问规则后就可以增加URL域名访问控制策略调用该域名规则了。如下图所示,本文仅仅禁止终端访问***.***,其他域名不限制,所以下图里面的域名URL默认动作选择允许。然后在域名分类列表里面引用之前配置的URL分类;同理IP地址URL默认动作也选择允许,然后在IP地址分类列表里面引用上面配置的规则。点击下图的增加按钮。
点击增加后出现下图窗口,在分类名称里面选择“imc16”,动作选择拒绝,然后点击确定。
3. 安全策略引用该URL控制策略
在用户-安全策略管理-安全策略管理-增加(修改)安全策略里面,勾选“启用URL访问控制”,并引用之前配置的EAD策略,后面注意勾选“检查hosts文件”。
如果不勾选检查hosts文件,终端可能会通过修改hosts文件的方式绕过URL访问控制策略。比如我们配置禁止访问***.***,对应的IP为192.168.113.16,用户只需要在hosts里面加上192.168.113.16对应aaa的项就可以通过访问aaa的方式访问***.***了。当然用户不修改hosts文件解析出***.***的IP后直接通过访问IP的方式也可以绕过URL访问控制,所以我们在配置域名URL的同时还需要配置IP地址URL分类。即使两个都配置上如果不检查hosts文件,终端一样可以绕过检查访问到***.***的,比如在hosts文件里面增加192.168.113.16 aaa后,终端在浏览器里面输入aaa后,终端的HTTP报文的URI是/selfservice/(相对路径),而host字段值是aaa,所以不管是域名规则还是IP规则都无法限制该HTTP报文,因为URL访问控制检查的并不是报文头,而是HTTP报文里面的host字段。而勾选检查hosts文件,一旦用户修改hosts文件就会被强制下线。此处说一下IP地址URL分类与客户端ACL的区别,客户端ACL检查的是报文头里面的目的IP地址,而IP地址域名分类检查的仅仅是HTTP报文头里面的host字段。所以客户端ACL要比IP地址域名分类严格很多。所有基于IP的报文都受客户端ACL限制,而IP地址域名分类影响的仅仅是HTTP报文。
4. 用户服务引用安全策略
如下图所示,在用户-接入策略管理-接入服务管理里面引用配置的安全策略EAD-check。
5. iNode客户端配置
iNode在定制时需要勾选“启用URL访问控制功能”,如下图所示,除此之外无其他要求。
6. 控制效果
通过域名访问时
通过IP地址访问时
试图通过修改hosts文件直接访问时
1:必须同时配置URL域名控制和IP地址域名控制两种规则,但是对于有多个IP地址的域名可以不用配置IP地址域名控制规则;
2:必须勾选检查hosts文件。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作