本案例适用于ACG1000系列应用控制网关:ACG1000-T、ACG1000-M、ACG1000-AG、ACG1000-SE、ACG1000-s、等。
注:本案例是在ACG1000-S Version 1.10,Release 6609P02版本上进行配置和验证的。
如下组网图所示,内网用户网段为:10.1.1.0/24。将ACG1000设备的ge0和ge1串接部署在核心交换机和出口路由器之间,启用URL过滤功能,实现内网用户不能访问百度网站但可以访问其他网站的需求。
注:本案例重点描述网站过滤配置,设备上网配置略。
#设备管理口(ge1)的地址配置为10.1.1.1。允许对该接口进行PING、HTTPS操作。将终端与设备ge1端口互联,在终端打开浏览器输入https://10.1.1.1登录设备管理界面。默认用户名与密码均为admin。
#点击“对象管理”>“地址”>“IPv4地址对象”,点击“新建”。IP地址配置为10.1.1.0/24,创建内网网段地址对象
#点击“对象管理”> “URL”> “HTTPS对象”,点击<新建>,配置https对象,勾选域名列表中所有选项,点击“提交”确定。
#点击“对象管理”> “URL”> “自定义URL”,点击<新建>,配置自定义URL对象百度,“内容”配置为baidu,点击<提交>。
# 点击“对象管理”—“CA服务器”—“根CA配置管理”,点击“生成CA根证书”。输入证书名称为“https”,设置有效期为最大的18000天。
#生成CA证书后,点击“导出CA根证书”,将证书保存在电脑上。
#点击“对象管理”—“本地证书”—“证书”,在此页面导入刚刚保存的证书。
# 点击“上网行为管理”—“策略配置”—“IPv4策略”,点击“新建”,源地址参数选择创建的“内网网段”。
#点击URL审计下方的“新建”,在URL分类中选择创建的百度,处理动作选择拒绝(即拒绝网易的流量),日志级别选择信息。
#点击“上网行为管理”—“解密策略”,选择“新建”。解密类型选择“https解密”,HTTPS对象选择创建“https对象”,并勾选启用。
#在解密策略视图下,证书列表的下拉框中选择之前在本地证书中导入的证书(如连接ACG时为HTTPS方式登录,需要在系统管理—管理员—管理设定中修改https端口,否则下次无法登录)。
#点击“网络配置”—“DNS”,进入DNS服务器页面,添加DNS服务器地址,可配置公有DNS,也可配置对应运营商的DNS。
#双击打开从ACG上下载的证书。
#选中证书的路径。
#输入生成证书时设置的密码,如未设置,直接点击“下一步”。
#选择“将所有的证书放入下列存储”,点击“浏览”,在弹出的对话框中选择“受信任的根证书颁发机构”,点击确定,并点击“下一步”。
#点击“完成”即可。
#点击“配置保存”。
配置完成后在PC上访问百度,web界面显示访问被禁止。
登录ACG使用的HTTPS端口为443与解密策略中的证书端口冲突,需要将WEB管理端口修改为出443以外的其他端口。
# 点击“系统管理”—“ 管理员”—“ 管理设定”中修改https端口。
举例将HTTPS端口修改为4430,登录时使用https://192.168.1.1:4430登录设备。
部分浏览器可以自动获取证书,这部分浏览器是不需要执行本案例中的证书导入过程的。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作