acg旁路部署,能阻断一些网页和应用吗?有配置案例吗
(0)
最佳答案
可以,参考 案例
本文档介绍设备的旁路认证和阻断功能配置举例,设备上配置旁路认证和阻断功能之后,针对用户识别范围内的用户会进行旁路认证或者旁路阻断,对于没有认证的用户发送http 302报文重定向,防火墙控制策略为拒绝时,对匹配上安全策略的TCP报文发送reset报文,阻止用户访问网络。
开启旁路认证后需要配置用户认证策略,开启旁路阻断后需要配置控制策略。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解旁路认证和阻断的特性。
如图1所示,某企业对内网用户50.1.1.3-100/24工作时间都将进行用户认证和内网用户50.1.1.101-254/24工作时间都进行行为控制,不提供任何NAT,DHCP或者DNS服务。部署在交换机旁边,通过镜像的方式,仅仅提供认证和阻断的功能。旁路模式不修改网络结构,不关心网络细节,关机也不掉线,不会影响企业内部网络。
· 配置设备接口地址。
· 配置设备旁路部署。
· 配置设备旁路认证。
· 配置设备旁路阻断。
· 配置用户识别范围。
· 配置用户认证策略。
· 配置控制策略。
本举例是在R6616版本上进行配置和验证的。
(1) 配置接口地址
如图2所示,进入“网络配置>接口配置>物理接口”,点击ge6<编辑>按钮,配置ge6的IP地址为50.1.1.2/24。
(2) 配置部署方式
如图3所示,进入“网络配置>基础网络>部署方式”,配置勾选ge8口启用。
图3 配置部署方式
(3) 配置旁路认证和阻断
如图4所示,进入“网络配置>基础网络>部署方式>高级配置”,配置旁路认证和旁路阻断。
图4 配置旁路认证和旁路阻断
(4) 配置内网用户地址对象
如图5所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>按钮创建内用户地址对象50.1.1.0/24、50.1.1.3和50.1.1.101,点击<提交>。
(5) 配置用户识别范围
如图6所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“50.1.1.0”,其它配置默认,提交配置。
(6) 配置用户认证策略
如图7所示,进入“用户管理>认证管理>认证策略”,新建一条认证方式为本地认证的认证策略,源地址选择50.1.1.3,其它配置默认,<提交>策略。
(7) 配置控制策略
如图8所示,进入“策略配置>控制策略”,源地址选择50.1.1.101,行为选择拒绝,其它配置默认,<提交>策略。
图8 配置控制策略
· 用户认证策略和控制策略的源接口以及目的接口必须配置接收镜像流量的旁路部署接口或者是any。
· 旁路认证和阻断务必保证旁路设备到上网PC可达,否则功能无法使用。
· 旁路阻断只针对于TCP报文生效,对于UDP、ICMP等报文无法进行阻断。
如图9所示, 内网用户(50.1.1.3)访问外网需要进行本地认证,本地认证成功后,访问外网成功。
如图10所示,内网用户(50.1.1.101)访问外网资源会被阻断。
(0)
旁路模式在不更改原网络部署环境的前提下使用。旁路模式ACG将通过的流量进行监听、审计等作用。旁路模式部署不会大范围影响原网络拓扑结构。只需在原出口设备或者核心交换机连接上ACG即可。但是旁路模式工作的ACG只能实现监听、审计等作用,无法对数据流进行控制,且在部署时需要将监控数据镜像到ACG设备上。
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论