iMC EAD URL访问控制功能的典型配置

用户终端出于安全或者其他考虑不允许访问某些URL；或者说只允许访问某些URL，其他的URL禁止访问。同时用户禁止的仅仅HTTP报文，对于其他类型的报文比如FTP则不禁止。针对客户的这种需求，EAD支持配置URL访问控制策略来实现客户的需求。

终端安装iNode客户端通过Portal网关接入网络。

iMC软件版本：7.3

1.     Portal认证基础配置（略）

目的：使终端通过iNode可以通过Portal认证接入网络，注意此处需要勾选仅限iNode客户端。否则终端通过浏览器接入网络时无法限制其行为。

2.     配置URL访问控制策略

在安全策略管理-终端访问控制管理路径下首先一个域名URL分类，名称为“imc16”，描述信息随意填写，然后点击确定。

点击确定返回后如下图所示，点击该域名分类后面的规则配置图标。

点击规则配置图标后如下图所示，此时可以增加具体的明细规则，本文是禁止终端访问***.***域名，所以在域名处填写“imc16.*”（写成*.***.***效果也是一样），然后点击确定。域名支持模糊匹配，例如，如果要限制所有以“www.abc.”开头的域名，则输入“www.abc.*”。域名URL规则检查的是HTTP报文头里面的host和URI字段。

配置完域名URL分类以后还需要继续配置IP地址URL分类，原因是配置域名访问限制后，终端无法通过域名访问对应的资源，但是还是可以通过解析该域名对应的IP地址然后通过直接访问IP地址的形式来访问资源的，所以还需要把域名对应的IP地址加入到IP地址URL分类里面去，如下图所示，***.***对应的IP为192.168.113.16，则IP地址范围只增加该IP地址即可，然后点击确定。注意：IP地址URL检查的是HTTP报文头里面host地段。

增加完URL域名访问规则和IP地址URL访问规则后就可以增加URL域名访问控制策略调用该域名规则了。如下图所示，本文仅仅禁止终端访问***.***，其他域名不限制，所以下图里面的域名URL默认动作选择允许。然后在域名分类列表里面引用之前配置的URL分类；同理IP地址URL默认动作也选择允许，然后在IP地址分类列表里面引用上面配置的规则。点击下图的增加按钮。

点击增加后出现下图窗口，在分类名称里面选择“imc16”，动作选择拒绝，然后点击确定。

3.     安全策略引用该URL控制策略

在用户-安全策略管理-安全策略管理-增加（修改）安全策略里面，勾选“启用URL访问控制”，并引用之前配置的EAD策略，后面注意勾选“检查hosts文件”。

如果不勾选检查hosts文件，终端可能会通过修改hosts文件的方式绕过URL访问控制策略。比如我们配置禁止访问***.***，对应的IP为192.168.113.16，用户只需要在hosts里面加上192.168.113.16对应aaa的项就可以通过访问aaa的方式访问***.***了。当然用户不修改hosts文件解析出***.***的IP后直接通过访问IP的方式也可以绕过URL访问控制，所以我们在配置域名URL的同时还需要配置IP地址URL分类。即使两个都配置上如果不检查hosts文件，终端一样可以绕过检查访问到***.***的，比如在hosts文件里面增加192.168.113.16  aaa后，终端在浏览器里面输入aaa后，终端的HTTP报文的URI是/selfservice/（相对路径）,而host字段值是aaa，所以不管是域名规则还是IP规则都无法限制该HTTP报文，因为URL访问控制检查的并不是报文头，而是HTTP报文里面的host字段。而勾选检查hosts文件，一旦用户修改hosts文件就会被强制下线。此处说一下IP地址URL分类与客户端ACL的区别，客户端ACL检查的是报文头里面的目的IP地址，而IP地址域名分类检查的仅仅是HTTP报文头里面的host字段。所以客户端ACL要比IP地址域名分类严格很多。所有基于IP的报文都受客户端ACL限制，而IP地址域名分类影响的仅仅是HTTP报文。

4.     用户服务引用安全策略

如下图所示，在用户-接入策略管理-接入服务管理里面引用配置的安全策略EAD-check。

5.     iNode客户端配置

iNode在定制时需要勾选“启用URL访问控制功能”，如下图所示，除此之外无其他要求。

6.     控制效果

通过域名访问时

通过IP地址访问时

试图通过修改hosts文件直接访问时

1：必须同时配置URL域名控制和IP地址域名控制两种规则，但是对于有多个IP地址的域名可以不用配置IP地址域名控制规则；

2：必须勾选检查hosts文件。