• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
案例类型
搜索
取消
产品线
关键字
发布者
发布时间

ACG1000系列 HTTPS网站过滤配置案例

2019-09-19发表
  • 0关注
  • 0收藏,33浏览
0

组网及说明

1 配置需求或说明

1.1  适用的产品系列

本案例适用于ACG1000系列应用控制网关:ACG1000-TACG1000-MACG1000-AGACG1000-SEACG1000-s、等。

注:本案例是在ACG1000-S Version 1.10,Release 6609P02版本上进行配置和验证的。


1.2  配置需求及实现的效果

如下组网图所示,内网用户网段为:10.1.1.0/24。将ACG1000设备的ge0ge1串接部署在核心交换机和出口路由器之间,启用URL过滤功能,实现内网用户不能访问百度网站但可以访问其他网站的需求。

注:本案例重点描述网站过滤配置,设备上网配置略。

2 组网图

        


配置步骤

3 配置步骤

3.1  登录ACG

#设备管理口(ge1)的地址配置为10.1.1.1。允许对该接口进行PINGHTTPS操作。将终端与设备ge1端口互联,在终端打开浏览器输入https://10.1.1.1登录设备管理界面。默认用户名与密码均为admin


3.2  配置地址对象、URL对象、HTTPS对象

#点击“对象管理”>“地址”>IPv4地址对象”,点击“新建”。IP地址配置为10.1.1.0/24,创建内网网段地址对象

#点击“对象管理”> URL> HTTPS对象”,点击<新建>,配置https对象,勾选域名列表中所有选项,点击“提交”确定。

#点击“对象管理”> URL> “自定义URL”,点击<新建>,配置自定义URL对象百度,内容配置为baidu,点击<提交>


3.3  生成CA证书

# 点击“对象管理”CA服务器”“根CA配置管理”,点击“生成CA根证书”。输入证书名称为“https”,设置有效期为最大的18000天。

#生成CA证书后,点击“导出CA根证书”,将证书保存在电脑上。

#点击“对象管理”“本地证书”“证书”,在此页面导入刚刚保存的证书。


3.4  配置IPv4策略

# 点击“上网行为管理”“策略配置”IPv4策略”,点击“新建”,源地址参数选择创建的“内网网段”。

#点击URL审计下方的“新建”,在URL分类中选择创建的百度,处理动作选择拒绝(即拒绝网易的流量),日志级别选择信息。


3.5  配置解密策略

#点击“上网行为管理”“解密策略”,选择“新建”。解密类型选择“https解密”,HTTPS对象选择创建“https对象”,并勾选启用。

#在解密策略视图下,证书列表的下拉框中选择之前在本地证书中导入的证书(如连接ACG时为HTTPS方式登录,需要在系统管理管理员管理设定中修改https端口,否则下次无法登录)。


3.6  添加DNS

#点击“网络配置”DNS”,进入DNS服务器页面,添加DNS服务器地址,可配置公有DNS,也可配置对应运营商的DNS


3.7  安装证书

#双击打开从ACG上下载的证书。

#选中证书的路径。

#输入生成证书时设置的密码,如未设置,直接点击下一步

#选择将所有的证书放入下列存储,点击浏览,在弹出的对话框中选择受信任的根证书颁发机构,点击确定,并点击下一步