SecPath UTM URL过滤的典型配置

关键词:
功能需求

SecPath UTM URL过滤的典型配置

 

一.组网需求

  公司的内网网段为4.1.1.0/24,外网网段为192.168.100.0/22。在UTM上配置URL过滤策略和规则,禁止内网用户在上午(8:30~12:00)访问网站www.h3c.com.cn/Training,其它时间可以访问。

 

 

二.组网图

 

 

三.配置步骤

 

1.配置接口GE0/1

在左侧导航栏中点击“设备管理 > 接口管理”,点击GE0/1栏中的按钮,进入“接口编辑”界面。按照下图设置接口GE0/1,然后点击< 确定 >按钮完成配置。

 

2.将接口GE0/1加入安全域

点击左侧导航栏“设备管理 > 安全域”,点击Untrust栏中的按钮,进入“修改安全域”界面。按照下图将接口GE0/1加入Untrust域,点击< 确定 >按钮,返回“安全域”界面。

 

 

3.同理,配置接口GE0/4并加入安全域

 

 同样配置接口GE0/4的IP地址为4.1.1.1/24,加入到安全域Trust。在“设备管理 > 接口管理”中看到配置完成后的界面:

 

 

4.NAT配置

 

为了使内部的主机能够通过UTM连接到外网,需在GE0/1接口上配置NAT策略,这里配置ACL3004,地址转换方式为“Easy IP”。

点击“防火墙 > ACL”,新建ID为3004的ACL,在其中添加规则,定义需要配置的流量。该例中允许源地址为4.1.1.0/24的报文通过。见下图:

点击“防火墙 > NAT > 动态地址转换”,在“地址转换关联”页签下点击< 新建 >,进行如下配置。

 

 

5.路由配置

 

 点击“网络管理 > 路由管理 > 静态路由”,配置静态默认路由,下一跳地址192.168.100.254为外网中的路由器与GE0/1在同一个网段的接口地址。

 

 

6.引流策略

 

配置将流量引进I-ware平台,以进行深度分析的配置。将Trust和Untrust之间匹配ACL3000的流量都引到段0上。

首先配置ACL,点击“防火墙 > ACL”,新建ID为3000的ACL,在其中添加规则,定义需要配置的流量。如下图:

 

再点击“IPS | AV | 应用控制 > 高级设置”,新建引流策略,将ACL3000的流量引到段0上。

 

 

7.进入“应用安全策略”界面

 

点击导航栏“IPS | AV | 应用控制 > 高级设置”,点击“应用安全策略”,进入深度检测页面

 

 

8.创建一个时间表“morning”

 

在导航栏中选择“系统管理 > 时间表管理”,单击< 创建时间表 >按钮,在创建时间表的页面进行如下配置,在时间表格中选中“周一~周五”的“8:30~12:00”的时间段。

 

 

9.配置URL规则

 

为缺省的URL过滤策略“URL Filter Policy”创建一个规则“h3c”。

在导航栏中选择“URL过滤 > 规则管理”,单击< 创建规则> 按钮,进行如下配置:

输入规则名称为h3c。

选择域名过滤的“固定字符串”前的单选按钮,输入“www.h3c.com.cn”。

选择URL路径过滤的“正则表达式”前的单选按钮,输入“/Training?”。

在时间表中选择“morning”,在动作集中选择“Block+Notify”。

 

 

10.应用URL策略到段上

 

在导航栏中选择“URL过滤 > 段策略管理”,单击< 新建段策略 >按钮,进行如下配置。

 

 

11.激活配置

 

 完成上述的配置后,页面跳转到段策略的显示页面。单击< 激活 >按钮,弹出确认对话框。在确认对话框中单击< 确定 >按钮后,将配置激活。

 

 

 

四.验证结果

 

1)内网用户(4.1.1.2)通过IE浏览器,访问http://www.h3c.com.cn没有问题,但访问http://www.h3c.com.cn/Training,无法显示网页。

2)选择“系统管理 > 设备管理 > 系统状态”界面,可以看到URL过滤的统计值。

 

案例信息

案例类型:典型配置
案例号:KMS - 16989
创建时间:2009年6月6日
更新时间:2009年6月11日
发布时间:2009/6/11 4:44:05
文章密级:游客可见
有效期:长期有效
发布者:万欣 [w06753]
点击次数:923
评论平均得分:0
关键词:
产品线:
产品系列:
产品版本:
技术分类:安全产品技术 MPLS

常用操作
收藏