• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

acg旁路阻断

2024-08-28提问
  • 0关注
  • 0收藏,282浏览
粉丝:1人 关注:0人

问题描述:

acg旁路部署,能阻断一些网页和应用吗?有配置案例吗

组网及组网描述:

最佳答案

粉丝:237人 关注:8人

可以,参考 案例


1  简介

本文档介绍设备的旁路认证和阻断功能配置举例,设备上配置旁路认证和阻断功能之后,针对用户识别范围内的用户会进行旁路认证或者旁路阻断,对于没有认证的用户发送http 302报文重定向,防火墙控制策略为拒绝时,对匹配上安全策略的TCP报文发送reset报文,阻止用户访问网络。

开启旁路认证后需要配置用户认证策略,开启旁路阻断后需要配置控制策略。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解旁路认证和阻断的特性。

3  旁路认证和阻断配置举例

3.1.1  组网需求

图1所示,某企业对内网用户50.1.1.3-100/24工作时间都将进行用户认证和内网用户50.1.1.101-254/24工作时间都进行行为控制,不提供任何NAT,DHCP或者DNS服务。部署在交换机旁边,通过镜像的方式,仅仅提供认证和阻断的功能。旁路模式不修改网络结构,不关心网络细节,关机也不掉线,不会影响企业内部网络。

图1 旁路认证和阻断组网

 

3.1.2  配置思路

·              配置设备接口地址。

·              配置设备旁路部署。

·              配置设备旁路认证。

·              配置设备旁路阻断。

·              配置用户识别范围。

·              配置用户认证策略。

·              配置控制策略。

3.1.3  使用版本

本举例是在R6616版本上进行配置和验证的。

3.1.4  配置步骤

(1)      配置接口地址

图2所示,进入“网络配置>接口配置>物理接口”,点击ge6<编辑>按钮,配置ge6的IP地址为50.1.1.2/24。

图2 配置接口地址

 

(2)      配置部署方式

图3所示,进入“网络配置>基础网络>部署方式”,配置勾选ge8口启用。

图3 配置部署方式

 

(3)      配置旁路认证和阻断

图4所示,进入“网络配置>基础网络>部署方式>高级配置”,配置旁路认证和旁路阻断。

图4 配置旁路认证和旁路阻断

 

(4)      配置内网用户地址对象

图5所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>按钮创建内用户地址对象50.1.1.0/24、50.1.1.3和50.1.1.101,点击<提交>。

图5 配置内网用户地址对象

 

(5)      配置用户识别范围

图6所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“50.1.1.0”,其它配置默认,提交配置。

图6 用户识别范围

 

(6)      配置用户认证策略

图7所示,进入“用户管理>认证管理>认证策略”,新建一条认证方式为本地认证的认证策略,源地址选择50.1.1.3,其它配置默认,<提交>策略。

图7 配置用户认证策略

 

(7)      配置控制策略

图8所示,进入“策略配置>控制策略”,源地址选择50.1.1.101,行为选择拒绝,其它配置默认,<提交>策略。

图8 配置控制策略

 

3.1.5  配置注意事项

·              用户认证策略和控制策略的源接口以及目的接口必须配置接收镜像流量的旁路部署接口或者是any。

·              旁路认证和阻断务必保证旁路设备到上网PC可达,否则功能无法使用。

·              旁路阻断只针对于TCP报文生效,对于UDP、ICMP等报文无法进行阻断。

3.1.6  验证配置

图9所示, 内网用户(50.1.1.3)访问外网需要进行本地认证,本地认证成功后,访问外网成功。

图9 内网用户需要进行本地认证

 

图10所示,内网用户(50.1.1.101)访问外网资源会被阻断。

图10 内网用户访问外网阻断

暂无评论

1 个回答
粉丝:0人 关注:0人

旁路模式在不更改原网络部署环境的前提下使用。旁路模式ACG将通过的流量进行监听、审计等作用。旁路模式部署不会大范围影响原网络拓扑结构。只需在原出口设备或者核心交换机连接上ACG即可。但是旁路模式工作的ACG只能实现监听、审计等作用,无法对数据流进行控制,且在部署时需要将监控数据镜像到ACG设备上。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明