您好，这个不行

得有acg授权，做应用控制，参考：

使用版本

本举例是在F1000-AI-55的R8860版本上进行配置和验证的。

组网需求

如图-1所示，某公司共包括President、Market和Finance三个部门，各部门之间通过Device实现互连，同时也通过Device作为网关连接Internet，该公司的工作时间为每周工作日的8点到18点。通过配置安全策略，实现如下需求：

• 允许President在任意时间访问所有网络资源，比如Internet、Finance网络和Market网络等。

• 允许Finance部门的员工仅能访问本部门内部网络资源，不能访问其他任何网络资源。

• 允许Market部门的员工仅能在工作时间访问Internet上的部分资源，访问Internet的具体限制如下：

• 不能玩游戏、不能访问流媒体类型、P2P类型和网络社区类型的资源，但是允许访问优酷的资源。

• 即时通讯类型的资源仅允许使用微信。

• 虽然拒绝此部门员工访问网络社区类型的资源，但是又需要允许使用MSN、钉钉和安防论坛资源。

• 除了以上几条具体限制需求之外的资源都允许访问。

• President区域不允许任何人主动访问，Finance区域和Market区域也不能相互访问。

图-1 基于应用的严谨型安全策略典型配置举例

配置指导

请将应用识别特征库及时升级到最新版本。

为使安全策略中配置的应用可以被识别，必须先放行应用所依赖的基础协议报文。

配置思路

安全策略配置思路及其数据规划如下表所示：

表-1 安全策略配置思路

根据以上的分析，再结合安全策略越靠前优先级越高的原则，我们合理创建安全策略的先后顺序依次为：president_permit、finance_permit、market_permit1、market_deny1、market_permit2、market_permit3。

配置步骤

1. 配置安全域

# 选择“网络 > 安全域”，进入安全域配置页面，依次配置如下内容。

• 进入名为Untrust的安全域，并将接口GigabitEthernet1/0/1加入该安全域中

• 创建名为president的安全域，并将接口GigabitEthernet1/0/2加入该安全域中

• 创建名为finance的安全域，并将接口GigabitEthernet1/0/3加入该安全域中

• 创建名为market的安全域，并将接口GigabitEthernet1/0/4加入该安全域中

2. 配置接口IP地址

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，配置如下。

• 选择“IPv4地址”页签，配置IP地址/掩码：2.2.2.1/24

• 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址的配置。

# 按照同样的步骤配置接口GE1/0/2，配置如下。

• IP地址/掩码：10.0.12.1/24

• 其他配置项使用缺省值

# 按照同样的步骤配置接口GE1/0/3，配置如下。

• IP地址/掩码：10.0.11.1/24

• 其他配置项使用缺省值

# 按照同样的步骤配置接口GE1/0/4，配置如下。

• IP地址/掩码：10.0.10.1/24

• 其他配置项使用缺省值

3. 配置时间段

创建名为work的时间段，其时间范围为每周工作日的8点到18点。

# 选择“对象 > 对象组 > 时间段”，进入时间段配置页面，配置如下。

• 名称为work

• 周期时间段为每周工作日的8点到18点

4. 配置应用组

创建名为游戏组的应用组，将游戏类别种的所有应用加入此应用组。

# 选择“对象> 应用安全 > 应用识别 > 应用组”，进入应用组配置页面。

# 单击<新建>按钮，配置如下：

图-2 新建应用组

# 将游戏类别中的所有应用全部加入到右侧的已选应用中。

# 单击<确定>按钮，完成此应用组的创建。

按照如上步骤，依次创建如下应用组：

• P2P组：创建名为P2P组的应用组，并将P2P类别中的所有应用加入此应用组

• 流媒体组：创建名为流媒体组的应用组，并将流媒体类别中的所有应用加入此应用组

• 网络社区组：创建名为网络社区组的应用组，并将网络社区类别中的所有应用加入此应用组

• permit-others：创建名permit-others的应用组，并将一些办公类、邮件类、网络协议类等不太容易区分清楚的应用加入此应用组

• protocol-permit：创建名protocol-permit的应用组，并将常用的基础协议（一般包括：TCP、UDP、DNS、HTTP、HTTPS SMTP、IMAP和POP3等）加入此应用组

5. 创建名为president_permit的安全策略

# 选择“策略 > 安全策略 > 安全策略”，进入安全策略配置页面。

# 单击<新建>按钮，选择新建策略，进入新建安全策略页面，配置如下。

图-3 新建安全策略

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成此安全策略的创建。

6. 创建名为finance_permit的安全策略

# 选择“策略 > 安全策略 > 安全策略”，进入安全策略配置页面。

# 单击<新建>按钮，选择新建策略，进入新建安全策略页面，配置如下。

图-4 创建安全策略

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成此安全策略的创建。

7. 创建名为market_permit1的安全策略

# 选择“策略 > 安全策略 > 安全策略”，进入安全策略配置页面。

# 单击<新建>按钮，选择新建策略，进入新建安全策略页面，配置如下。

图-5 创建安全策略

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成此安全策略的创建。

8. 创建名为market_deny1的安全策略

# 选择“策略 > 安全策略 > 安全策略”，进入安全策略配置页面。

# 单击<新建>按钮，选择新建策略，进入新建安全策略页面，配置如下。

图-6 创建安全策略

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成此安全策略的创建。

9. 创建名为market_permit2的安全策略

# 选择“策略 > 安全策略 > 安全策略”，进入安全策略配置页面。

# 单击<新建>按钮，选择新建策略，进入新建安全策略页面，配置如下。

图-7 创建安全策略

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成此安全策略的创建。

10. 创建名为market_permit3的安全策略

# 选择“策略 > 安全策略 > 安全策略”，进入安全策略配置页面。

# 单击<新建>按钮，选择新建策略，进入新建安全策略页面，配置如下。

图-8 创建安全策略

# 其他配置项保持默认情况即可。

# 单击<确定>按钮，完成此安全策略的创建。

验证配置

1. President部门的员工自由可以访问任何网络资源。

2. Finance部门内员工之间可以相互访问。

3. Market部门的员工仅能在工作时间访问Internet上的部分资源，访问Internet的具体限制如下：

• 不能玩游戏、不能访问流媒体类型、P2P类型和网络社区类型的资源，但是允许访问优酷的资源。

• 即时通讯类型的资源仅允许使用微信。

• 虽然拒绝此部门员工访问网络社区类型的资源，但是又需要允许使用MSN、钉钉和安防论坛资源。

• 除了以上几条具体限制需求之外的资源都允许访问。

4. President区域不允许任何人主动访问，Finance区域和Market区域也不能相互访问。

5. 选择“监控 > 安全日志 > 安全策略日志”，分别查看各个部门的访问流量是否命中正确的安全策略，举例如下。

图-9 拒绝迅雷看看

图-10 允许优酷

图-11 允许微信通过

图-12 拒绝QQ通过

购买acg授权，使用acg控制值准许访问特定邮箱和微信