本案例适用于如F1000-A-G2、F1000-S-G2、F100-M-G2、F100-S-G2等F1000-X-G2、F100-X-G2系列的防火墙。
防火墙应用控制功能需要安装License才能使用。License过期后,应用控制功能可以采用设备中已有的应用控制特征库正常工作,但无法升级特征库。
配置前请在防火墙界面“系统”>”License”>”授权信息”中确认应用(ACG)特性为激活状态。
应用审计与管理是在APR(Application Recognition,应用层协议识别)的基础上进一步识别出应用的具体行为(比如IM聊天软件的用户登录、发消息等)和行为对象(比如IM聊天软件登录的行为对象是账号信息等),据此对用户的上网行为进行审计和记录。
配置需求:
1)某公司为保证良好的工作氛围,需部署防火墙配置应用访问控制,达到公司员工在工作时间不能访问迅雷、QQ等与工作无关的软件。
略
在防火墙界面“系统”>”升级中心”>”特征库升级”中对特征库进行升级
在防火墙界面“网络”>”DNS”>”高级设置”开启防火墙DNS代理功能。
在防火墙界面“网络”>”DNS”>”DNS客户端”中添加DNS服务器地址。
在防火墙界面“网络”>”探测工具”>”Ping”中测试域名是否可以正常解析?
在防火墙界面“系统”>”升级中心”>”特征库升级”中 开启应用识别特征库定时升级功能。
部分设备部署环境可能无法访问互联网,需要使用手动升级更新特征库。
登录“www.h3c.com” 华三官网,在“产品技术”>“大安全”>”特征库服务专区”中下载应用识别特征库文件。
在“浏览”中选择下载好的特征库文件,点击“确定”后完成升级。
在防火墙界面“对象”>”对象组”>”IPV4地址对象组”中点击添加名称为“内网用户”的对象组,在网段中添加内网用户网段,因为内网192.168.1.20、192.168.1.21为经理电脑和手机的IP地址并不需要控制,所以将上述两个地址加入排除地址中。
选择“对象”>“应用安全”>“应用识别”>“应用组”>选择新建,应用组名称选择“过滤迅雷、QQ”
点击页面下方确定按钮后跳转到设置好的应用组界面。
选择“策略”>”安全策略”中点击新建,策略名称为“过滤迅雷、QQ”,源安全域选择“Trust”、目的安全域选择“Untrust”,动作选择拒绝,源IP地址选择“内网用户”,应用组将之前配置好的应用组调用。
确认后完成策略配置
如果相同源、目的的策略存在两条,第一条为全放通策略,另外一条为拒绝策略则需要将拒绝策略上移至全放通策略之前才能生效。可以通过安全策略中的移动按钮进行移动策略。
如需设备应用审计日志中显示日志信息,需要将安全策略中的日志功能开启。
开启位置:“策略”>”安全策略”编辑策略,在策略内开启记录日志。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作