本举例是在F1000-AI-55的R8860版本上进行配置和验证的。
如下图所示,Device作为安全网关部署在内网边界。通过配置URL过滤功能,实现如下需求:
为提高员工工作效率,禁止内网用户访问毒品类与成人类网站。
禁止内网用户访问土豆网(***.***)。
图-1 在安全策略中引用URL过滤业务配置组网图
URL过滤功能需要安装License才能使用。License过期后,URL过滤功能可以采用设备中已有的URL过滤特征库正常工作,但无法将特征库升级到License过期后官网发布的特征库版本。
URL过滤业务会占用较多的系统资源,仅建议内存在2GB以上的设备启用,其他设备请谨慎启用。
配置接口IP地址
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/1右侧的<编辑>按钮,配置如下。
安全域:Trust
选择“IPv4地址”页签,配置IP地址/掩码长度:10.1.1.1/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE1/0/2,配置如下。
安全域:Untrust
IP地址/掩码:20.1.1.1/24
· 其他配置项使用缺省值
配置路由
本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。
请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为20.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。
# 新建IPv4静态路由,并进行如下配置:
目的IP地址:5.5.5.0
掩码长度:24
下一跳IP地址:20.1.1.2
其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
升级URL过滤特征库到最新版本(配置步骤略)
新建URL过滤配置文件
# 选择“对象 > 应用安全 > URL过滤 > 配置文件”,单击<新建>按钮,进入新建URL过滤配置文件页面。创建名为urlfilter的URL过滤配置文件。
# 基础配置区域的配置如下。
· 名称:urlfilter
· 缺省动作:允许
· 勾选记录日志的复选框
· 其他配置项使用缺省值
# 在黑名单区域,单击<添加>按钮,进入“添加黑名单”页面,配置如下。
· 匹配模式:文本
· 主机名:***.***
图-2 配置黑名单
# 单击<确定>按钮,完成黑名单的配置。
# 在URL过滤分类区域,配置预定义分类中毒品类和成人类的动作为丢弃、记录日志。
图-3 URL过滤分类动作配置
# 单击<确定>按钮,完成名为urlfilter的URL过滤配置文件的配置。
配置安全策略
# 选择“策略 > 安全策略 > 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
· 名称:URL过滤
· 源安全域:Trust
· 目的安全域:Untrust
· 类型:IPv4
· 动作:允许
· 源IP地址:10.1.1.0/24
· 内容安全中引用URL过滤配置文件:urlfilter
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
激活配置
# URL过滤配置文件在被安全策略引用后,需要在安全策略页面单击<提交>按钮,使URL过滤配置文件生效。
# 完成安全策略配置后,需要在安全策略页面单击<立即加速>按钮,激活安全策略加速。
开启日志采集功能
# 选择“系统 > 日志设置 > 基本设置”,选择存储空间设置页签,勾选URL过滤业务右侧的复选框,开启URL过滤日志采集功能。
以上配置完成后,可以对内网用户访问的URL进行控制。测试结果如下:
· 内网用户无法访问毒品类与成人类的网站。
· 内网用户无法访问土豆网。
管理员可在“监控 > 安全日志 > URL过滤日志”中,查看URL过滤的日志信息。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论