《17-H3C SecPath UTM系列URL过滤典型配置举例》由会员分享,可在线阅读,更多相关《17-H3C SecPath UTM系列URL过滤典型配置举例(10页珍藏版)》请在金锄头文库上搜索。
1、i H3C SecPath UTM 系列 URL 过滤典型配置举例 关键词:关键词:URL 摘摘 要:本文主要描述了要:本文主要描述了 UTM 设备的设备的 URL 过滤的典型配置方法。过滤的典型配置方法。 缩略语:缩略语: 缩略语 英文全名 中文解释 UTM Unified Threat Management 统一威胁管理 URL Uniform Resource Locator 统一资源定位符 ii 目 录 1 特性简介. 1 2 应用场合. 1 3 注意事项. 1 4 配置举例. 1 4.1 组网需求. 1 4.2 配置思路. 2 4.3 使用版本. 2 4.4 配置步骤. 2 4.4.
2、1 基本配置 . 2 4.4.2 URL过滤配置.5 4.5 验证结果. 7 4.6 URL规则配置补充说明.7 5 相关资料. 8 5.1 其它相关资料. 8 1 1 特性简介特性简介 URL(Uniform Resource Locator,统一资源定位符)过滤是一种网页过滤功能,支持根据域名和URI(Uniform Resource Identifier,统一资源标识符)路径对 HTTP 的请求报文进行过滤。 2 应用场合应用场合 URL 过滤可以实现对因特网访问的管理,什么时间可以在企业内部使用互联网进行个人事务,例如通过在每天不同时段配置不同的过滤规则,来实现在工作时段不允许登录体育
3、网址,而下班后和午餐时间则可以。 3 注意事项注意事项 配置 URL 过滤时需要注意如下事项: ? 已经应用到段上的 URL 过滤策略不能删除。 ? 系统预定义的 URL 过滤策略和规则不能删除。 ? 一个报文在一个段上只能匹配一条 URL 过滤段策略。当一个段上应用了多个 URL 过滤策略,则系统在对报文进行匹配时,会根据段策略中指定的 IP 地址范围的精确程度,越精确的(即IP 地址范围越小的)段策略越优先匹配;当有多个段策略的 IP 地址范围精确程度相同时,则先配置的段策略优先匹配。 4 配置举例配置举例 4.1 组网需求 某公司的内网网段为 4.1.1.0/24,外网网段为 192.1
4、68.100.0/22。在 UTM 上配置 URL 过滤策略和规则,禁止内网用户在上午(8:3012:00)访问网站 图4-1 URL 配置举例组网图 2 4.2 配置思路 ? 将需要进行管理的流量引进深度检测 ? 配置 URL 策略和规则 ? 应用策略到指定段上 4.3 使用版本 dis ver H3C Comware Platform Software Comware Software, Version 5.20, Beta 5112 Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C
5、 SecPath U200-CA uptime is 0 week, 0 day, 1 hour, 9 minutes CPU type: RMI XLS208 750MHz CPU 1024M bytes DDR2 SDRAM Memory 32M bytes Flash Memory PCB Version:Ver.A Logic Version: 2.0 Basic BootWare Version: 1.21 Extend BootWare Version: 1.21 FIXED PORT CON (Hardware)Ver.A, (Driver)1.0, (Cpld)2.0 FIXE
6、D PORT GE0/0 (Hardware)Ver.A, (Driver)1.0, (Cpld)2.0 FIXED PORT GE0/1 (Hardware)Ver.A, (Driver)1.0, (Cpld)2.0 FIXED PORT GE0/2 (Hardware)Ver.A, (Driver)1.0, (Cpld)2.0 FIXED PORT GE0/3 (Hardware)Ver.A, (Driver)1.0, (Cpld)2.0 FIXED PORT GE0/4 (Hardware)Ver.A, (Driver)1.0, (Cpld)2.0 FIXED PORT GE0/5 (H
7、ardware)Ver.A, (Driver)1.0, (Cpld)2.0 SUBCARD 1 The SubCard is not present 4.4 配置步骤 4.4.1 基本配置 1. 配置接口 GE0/1 在左侧导航栏中点击“设备管理 接口管理”,点击 GE0/1 栏中的按钮,进入“接口编辑”界面。按照下图设置接口 GE0/1,然后点击按钮完成配置。 3 点击左侧导航栏“设备管理 安全域”,点击 Untrust 栏中的按钮,进入“修改安全域”界面。按照下图将接口 GE0/1 加入 Untrust 域,点击按钮,返回“安全域”界面。 2. 配置接口 GE0/4 同样配置接口 GE0/
8、4 的 IP 地址为 4.1.1.1/24,加入到安全域 Trust。在“设备管理 接口管理”中看到配置完成后的界面: 4 3. NAT 配置 为了使内部的主机能够通过 UTM 连接到外网,需在 GE0/1 接口上配置 NAT 策略,这里配置ACL3004,地址转换方式为“Easy IP”。 点击“防火墙 ACL”,新建 ID 为 3004 的 ACL,在其中添加规则,定义需要配置的流量。该例中允许源地址为 4.1.1.0/24 的报文通过。见下图: 点击“防火墙 NAT 动态地址转换”,在“地址转换关联”页签下点击,进行如下配置。 4. 路由信息 点击“网络管理 路由管理 静态路由”,配置静
9、态默认路由,下一跳地址 192.168.100.254 为外网中的路由器与 GE0/1 在同一个网段的接口地址。 5. 引流策略 配置将流量引进 I-ware 平台,以进行深度分析的配置。将 Trust 和 Untrust 之间匹配 ACL3000 的流量都引到段 0 上。 首先配置 ACL,点击“防火墙 ACL”,新建 ID 为 3000 的 ACL,在其中添加规则,定义需要配置的流量。如下图: 再点击“IPS | AV | 应用控制 高级设置”,新建引流策略,将 ACL3000 的流量引到段 0 上。 5 4.4.2 URL 过滤配置 点击导航栏“IPS | AV | 应用控制 高级设置”,点击“应用安全策略”,进入深度检测页面。 1. 创建一个时间表“morning”。 在导航栏中选择“系统管理 时间表管理”,单击按钮,在创建时间表的页面进行如下配置,在时间表格中选中“周一周五”的“8:3012:00”的时间段。 2. 配置 URL 规则及说明 为缺省的 URL 过滤策略“URL Filter Policy”创建一个规则“h3c”。 在导航栏中选择“URL 过滤 规则管理”,单击 按钮,进行如下
