硬件型号：F100-C-G5，实现功能，防止某台电脑被外网恶意攻击，设置电脑只能上特定的一些网站

如图-1所示，Device作为安全网关部署在内网边界。通过配置URL过滤功能，实现如下需求：

·     为提高员工工作效率，禁止内网用户访问毒品类与成人类网站。

·     禁止内网用户访问土豆网（***.***）。

图-1 URL过滤配置组网图

使用版本

本举例是在F1000-AI-55的R8860版本上进行配置和验证的。

配置步骤

1.     配置接口IP地址

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，配置如下。

·     安全域：Trust

·     选择“IPv4地址”页签，配置IP地址/掩码长度：10.1.1.1/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE1/0/2，配置如下。

·     安全域：Untrust

·     IP地址/掩码：20.1.1.1/24

·     其他配置项使用缺省值

2.     配置路由

本举例仅以静态路由为例，若实际组网中需采用动态路由，请配置对应的动态路由协议。

请根据组网图中规划的信息，配置静态路由，本举例假设到达外网Web Server的下一跳IP地址为20.1.1.2，实际使用中请以具体组网情况为准，具体配置步骤如下。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，单击<新建>按钮，进入新建IPv4静态路由页面。

# 新建IPv4静态路由，并进行如下配置：

·     目的IP地址：5.5.5.0

·     掩码长度：24

·     下一跳IP地址：20.1.1.2

·     其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

3.     升级URL过滤特征库到最新版本（配置步骤略）

4.     新建URL过滤配置文件

# 选择“对象 > 应用安全 > URL过滤 > 配置文件”，单击<新建>按钮，进入新建URL过滤配置文件页面。创建名为urlfilter的URL过滤配置文件。

# 基础配置区域的配置如下。

·     名称：urlfilter

·     缺省动作：允许

·     勾选记录日志的复选框

·     其他配置项使用缺省值

# 在黑名单区域，单击<添加>按钮，进入“添加黑名单”页面，配置如下。

·     匹配模式：文本

·     主机名：***.***

图-2 配置黑名单

# 单击<确定>按钮，完成黑名单的配置。

# 在URL过滤分类区域，配置预定义分类中毒品类和成人类的动作为丢弃、记录日志。

图-3 URL过滤分类动作配置

# 单击<确定>按钮，完成名为urlfilter的URL过滤配置文件的配置。

5.     配置安全策略

# 选择“策略 > 安全策略 > 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

# 新建安全策略，并进行如下配置：

·     名称：URL过滤

·     源安全域：Trust

·     目的安全域：Untrust

·     类型：IPv4

·     动作：允许

·     源IP地址：10.1.1.0/24

·     内容安全中引用URL过滤配置文件：urlfilter

·     其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

6.     激活配置

# URL过滤配置文件在被安全策略引用后，需要在安全策略页面单击<提交>按钮，使URL过滤配置文件生效。

# 完成安全策略配置后，需要在安全策略页面单击<立即加速>按钮，激活安全策略加速。

7.     开启日志采集功能

# 选择“系统 > 日志设置 > 基本设置”，选择存储空间设置页签，勾选URL过滤业务右侧的复选框，开启URL过滤日志采集功能。

验证配置

以上配置完成后，可以对内网用户访问的URL进行控制。测试结果如下：

·     内网用户无法访问毒品类与成人类的网站。

·     内网用户无法访问土豆网。

管理员可在“监控 > 安全日志 > URL过滤日志”中，查看URL过滤的日志信息。