· 某企业使用电信线路接入,对应的带宽为100M,带机量为100台;
· 防止局域网内的ARP攻击;
· 防止局域网内某些主机使用P2P软件(比如:BT、迅雷等)过度占用网络资源;
· 禁止局域网内某些主机(比如:192.168.1.2~192.168.1.10)在某个时间段(比如:每天的08:00~18:00)访问外网;
· 禁止局域网内除某些主机(比如:192.168.1.50~192.168.1.55)外,其他主机在某个时间段(比如:每天的08:30~18:00)访问某些网站(比如:***.***等);
· 禁止局域网内某些主机(比如:192.168.1.15~192.168.1.20)使用QQ上线。
下面以具体的组网配置方案为例进行说明:
· 网关使用H3C ER5200G2、汇聚交换机采用H3C S5024P、接入交换机采用H3C S1224R;
· 设置WAN口通过静态方式连接到因特网;
· 使用DHCP服务器功能给局域网内各主机动态分配IP地址;
· 开启ARP绑定功能来防止ARP表项受到攻击;
· 设置IP流量限制和网络连接数限制,防止P2P软件过度占用网络资源;
· 设置防火墙的出站通信策略功能来禁止特定主机在某个时间段访问外网;
· 设置网站过滤功能来禁止局域网内某些主机访问指定网站;
· 设置业务控制功能来禁止某些主机使用QQ上线。
此典型配置举例仅体现H3C ER5200G2上的设置,且所涉及的设置均在H3C ER5200G2缺省配置的基础上进行。如果您之前已经对H3C ER5200G2做过相应的设置,为了保证效果,请确保当前设置和以下设置不冲突。
1. 在管理计算机的Web浏览器地址栏中输入http://192.168.1.1,回车。输入用户名和密码(缺省均为admin,区分大小写),单击<登录>按钮后便可进入Web设置页面 | |
2. 选择“接口管理→WAN设置→连接到因特网”,在“WAN网口”下拉框中选择“静态地址(手工配置地址)”选项。用电信提供的参数填写WAN口的上网参数,单击<应用>按钮生效 | |
3. 选择“安全专区→ARP安全→ARP检测”,设置IP地址搜索范围,单击<扫描>按钮开始搜索。待搜索完毕后,请确认搜索是否有遗漏(比如:查看搜索到的条目数是否与客户端的开机数一致)。如果没有遗漏,单击<全选>按钮选中所有的表项,再单击<静态绑定>按钮,将所有客户端主机的IP/MAC进行绑定即可;如果存在遗漏,您还可以选择“安全专区→ARP安全→ARP绑定”,手工添加ARP绑定项 | |
4. 选择“安全专区→ARP安全→ARP防护”,选中“检测ARP欺骗时,发送免费ARP报文”复选框,单击<应用>按钮生效 | |
5. 选择“QoS设置→流量管理→IP流量限制”。选中“启用IP流量限制”复选框和“允许每IP通道借用空闲的带宽”单选框,单击<应用>按钮生效 | |
6. 单击<新增>按钮,在弹出的对话框中设置IP流量限制规则:建议上行和下行流量的上限值均设置为1000Kbps。同时,您也可以根据实际的网络情况对其进行适当地调整 | |
7. 选择“QoS设置→连接限制→网络连接限数”,选中“启用网络连接限数”复选框,单击<应用>按钮生效 | |
8. 单击<新增>按钮,在弹出的对话框中设置对每台客户端主机进行网络连接数限制(建议网络连接数设置在300~500之间),单击<增加>按钮完成操作 | |
9. 选择“安全专区→防火墙→出站通信策略”,单击<新增>按钮,在弹出的对话框中设置相应的策略,如右图所示。单击<增加>按钮完成操作 | |
10. 选择“上网管理→组管理→时间段管理”,单击<新增>按钮,在弹出的对话框中设置相应的时间段列表,如右图所示。单击<增加>按钮完成操作 | |
11. 选择“上网管理→策略管理→行为策略管理”,单击<新增>按钮,在弹出的对话框中设置相应的上网行为管理策略,如右图所示,设置策略名称和策略描述,选择适用时间段列表,并添加相应时间段 | |
12. 选择网站过滤,并进行相应设置,如右图所示。选中“启用网站过滤功能”复选框,再选中“仅禁止访问列表中的网站地址”单选框,单击<新增>按钮,设置模糊匹配的网站地址为“example”,并单击<保存>按钮生效,单击<完成策略配置>按钮完成操作 | |
13. 选择“上网管理→组管理→用户组管理”,单击<新增>按钮,在弹出的对话框中设置“特权网段组”用户组列表,如右图所示。单击<增加>按钮完成操作 | |
14. 选择“上网管理→策略管理→行为策略管理”,单击<新增>按钮,在弹出的对话框中设置相应的上网行为管理策略,如右图所示,设置策略名称和策略描述,选择适用用户组列表,并添加相应用户组 | |
15. 选择网站过滤,并进行相应设置,如右图所示。不选中“启用网站过滤功能”复选框,单击<完成策略配置>按钮完成操作 | |
16. 选择“上网管理→组管理→用户组管理”,单击<新增>按钮,在弹出的对话框中设置“特权IP地址段”用户组列表,如右图所示。单击<增加>按钮完成操作 | |
17. 选择“上网管理→策略管理→行为策略管理”,单击<新增>按钮,在弹出的对话框中设置相应的上网行为管理策略,如右图所示,设置策略名称和策略描述,选择适用用户组列表,并添加相应用户组 | |
18. 选择IM软件,并进行相应设置,如右图所示。选中“启用IM软件控制功能”复选框,再选中“禁止QQ上线”复选框,单击<完成策略配置>按钮完成操作 |
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论