酷米网(kmw.com),专注高端域名快速交易!

  1. 当前位置: 
  2. 首页 > 
  3. 域名资讯  > H3C SecPath UTM系列典型配置案例集-5W102-UTM系...
服务器时间:2018-04-21 14:08:32 (CST +08:00)

H3C SecPath UTM系列典型配置案例集-5W102-UTM系列URL过滤典型配置举例

2017-12-17 17:16:42     浏览量: 24

UTM 系列URL 典型配置举例

UTM 系列URL 典型配置举例

关键词:URL ,分类

摘 要:本文主要描述了UTM 设备的URL 功能的典型配置方法。 缩略语: 缩略语

UTM

URL 英文全名 Unified Threat Management Uniform Resource Locator 统一威胁管理 统一资源定位符 中文解释

杭州华三通信技术有限公司 www.h3c.com.cn

第1页,共17页

,

UTM 系列URL 典型配置举例

目 录

1 特性简介.............................................................................................................................................. 3

2 应用场合.............................................................................................................................................. 3

3 注意事项.............................................................................................................................................. 3

4 配置举例.............................................................................................................................................. 4

4.1 组网需求.............................................................................................................................................. 4

4.2 配置思路.............................................................................................................................................. 4

4.3 使用版本.............................................................................................................................................. 4

4.4 配置步骤.............................................................................................................................................. 4

4.4.1 基本配置................................................................................................................................... 4

4.4.2 URL过滤配置............................................................................................................................. 7

4.5 验证结果............................................................................................................................................ 12

4.6 URL规则配置补充说明....................................................................................................................... 13

4.7 URL分类服务器使用说明................................................................................................................... 14

5 相关资料............................................................................................................................................ 17

5.1 其它相关资料..................................................................................................................................... 17

杭州华三通信技术有限公司 www.h3c.com.cn

第2页,共17页

,

UTM 系列URL 典型配置举例1 特性简介

URL (Uniform Resource Locator,统一资源定位符)过滤是一种网页过滤功能,支持自定义URL 过滤和基于分类的URL 过滤。

z 自定义URL 过滤是指,用户可以根据需要,在设备上手动指定域名和URI (Uniform Resource

Identifier ,统一资源标识符)路径的匹配规则,以及相应的执行动作,以对收到的HTTP 请求报文进行过滤。

z 基于分类的URL 过滤是指,设备收到HTTP 请求报文后,向专门的URL 分类服务器发送URL

分类请求,由URL 分类服务器进行URL 分类查询并将分类结果返回给设备。设备根据预先设置的分类URL 过滤的规则,对HTTP 请求执行相应的动作。

2 应用场合

URL 过滤可以实现对因特网访问的管理,什么时间可以在企业内部使用互联网进行个人事务,例如通过在每天不同时段配置不同的过滤规则,来实现在工作时段不允许登录体育网址,而下班后和午餐时间则可以。

3 注意事项

配置URL 过滤时需要注意如下事项:

z

z

z 已经应用到段上的URL 过滤策略不能删除。 系统预定义的URL 过滤策略和规则不能删除。 一个报文在一个段上只能匹配一条URL 过滤段策略。当一个段上应用了多个URL 过滤策略,

则系统在对报文进行匹配时,会根据段策略中指定的IP 地址范围的精确程度来匹配,越精确的(即IP 地址范围越小的)段策略越优先匹配;当有多个段策略的IP 地址范围精确程度相同时,则先配置的段策略优先匹配。

z 如果创建策略的过程中某一步骤执行失败,则已经执行过的步骤都将进行回退;而对修改策

略的过程,则不会进行回退。

z 要实现基于分类的URL 过滤,需要保证设备与URL 分类服务器的正常通信。设备上正确配

置URL 分类服务器参数,并激活配置后,可以通过系统日志查看设备与URL 分类服务器的连接状态。

z

z 设备上已导入合法的、未过期的License 文件。 设备能够连接到“http://www.h3c.com.cn”进行特性License 有效日期的校验。当URL 分类

过滤特性的License 有效日期到期时,URL 分类过滤功能会失效,自定义URL 过滤功能不受影响。

杭州华三通信技术有限公司 www.h3c.com.cn

第3页,共17页

,

UTM 系列URL 典型配置举例4 配置举例

4.1 组网需求

某公司的内网网段为4.1.1.0/24,外网网段为192.168.100.0/22。在Device 上配置URL 过滤策略和规则,禁止内网用户(用户4.1.1.10除外)在上午(8:30~12:00)访问网站www.h3c.com.cn/Training,其它时间可以访问,并且记录访问日志。

图1 URL 配置举例组网图

4.2 配置思路

z

z

z 将需要进行管理的流量引进深度检测 配置URL 策略和规则 应用策略到指定段上

4.3 使用版本

F5118

4.4 配置步骤

4.4.1 基本配置

1.

配置接口GE0/1

在左侧导航栏中点击“设备管理 > 接口管理”,点击GE0/1栏中的

界面。按照下图设置接口GE0/1,然后点击< 确定 >按钮完成配置。 按钮,进入“接口编辑”

杭州华三通信技术有限公司 www.h3c.com.cn

第4页,共17页

,

UTM 系列URL 典型配置举例

点击左侧导航栏“设备管理 > 安全域”,点击Untrust 栏中的按钮,进入“修改安全域”界面。按照下图将接口GE0/1加入Untrust 域,点击<

确定 >按钮 返回“安全域”界面。

2. 配置接口GE0/4

同样配置接口GE0/4的IP 地址为4.1.1.1/24,加入到安全域Trust 。在“设备管理 > 接口管理”中看到配置完成后的界面:

杭州华三通信技术有限公司 www.h3c.com.cn

第5页,共17页

,

UTM 系列URL 典型配置举例

3. NAT配置

为了使内部的主机能够通过Device 连接到外网,需在GE0/1接口上配置NAT 策略,这里配置ACL3004,地址转换方式为“Easy IP”。

点击“防火墙 > ACL”,新建ID 为3004

的ACL ,在其中添加规则,定义需要配置的流量。该例中允许源地址为4.1.1.0/24的报文通过。见下图:

点击“防火墙 > NAT > 动态地址转换”,在“地址转换关联”页签下点击

< 新建 >,进行如下配置。

4. 路由信息

点击“网络管理 > 路由管理 >

静态路由”,配置静态默认路由,下一跳地址192.168.100.254为外网中的路由器与GE0/1在同一个网段的接口地址。

5. DNS配置

配置DNS 服务器IP 地址,以便解析License 时间校验服务器地址www.h3c.com.cn 。

点击“网络管理 > DNS > 动态域名解析”,点击< 添加IP

地址 >,配置DNS 服务器地址。

杭州华三通信技术有限公司 www.h3c.com.cn

第6页,共17页

,

UTM 系列URL 典型配置举例

6. 引流策略

配置将流量引进I-ware 平台,以进行深度分析的配置。将Trust 和Untrust 之间匹配ACL3000的流量都引到段0上。

首先配置ACL ,点击“防火墙 > ACL ”,新建ID

为3000的ACL ,在其中添加规则,定义需要配置的流量。如下图:

再点击“IPS | AV | 应用控制

> 高级设置”,新建引流策略,将ACL3000的流量引到段0上。

4.4.2 URL过滤配置

点击导航栏“IPS | AV | 应用控制 > 高级设置”,点击“应用安全策略”,进入深度检测页面。

1. 创建一个时间表“morning ”

在导航栏中选择“系统管理 > 时间表管理”,单击<创建时间表>

按钮,在创建时间表的页面进行如下配置,在时间表格中选中“周一~周五”的“8:30~12:00”的时间段。

杭州华三通信技术有限公司 www.h3c.com.cn

第7页,共17页

,

UTM 系列URL 典型配置举例

2. 配置URL 过滤全局参数

在导航栏中选择“URL 过滤 > 全局配置”,在“URL 过滤设置”中进行如下配置: z

z

z

z

z

选中“使能基于分类的URL 过滤”前的复选框。 选中“使能自定义的URL 过滤”前的复选框。 输入URL 分类服务器IP 地址为“192.168.96.11”。 输入URL 分类服务器端口号为“5000”。 单击<确定>按钮完成操作。

3. 创建并应用URL 过滤策略

在“策略应用列表”中,单击<创建策略应用>按钮,在创建策略应用页面进行如下配置: z

z

z

z 输入名称为“URL policy for company”。 单击“分类URL 规则”前的扩展按钮。 在“分类URL 规则”中单击“信息技术”分类组。 设置“软件/硬件”分类的阻断时间为“从不”,记录日志时间为“所有时间”。 杭州华三通信技术有限公司 www.h3c.com.cn

第8页,共17页

,

UTM 系列URL 典型配置举例

z

z 单击“自定义URL 规则”前的扩展按钮。 在“自定义URL 规则”中单击<添加>按钮,在弹出的添加自定义URL 规则页面进行如下配

置: z

z

z

z

z

z

z 输入名称为“h3c ”。 输入域名固定字符串为“www.h3c.com.cn ”。 输入URI 固定字符串为“/Training?”。 选择阻断时间为“morning ”。 选择记录日志时间为“所有时间”。 单击< 确定 >按钮完成操作。 单击<

取消 >按钮关闭添加自定义URL 规则页面。

z

z

z

z

z

z 在“策略应用范围”中单击< 添加 >按钮,在弹出的添加策略应用页面中进行如下配置: 选择段为“0”: 在IP 地址列表中添加IP 地址“4.1.1.0/24”。 在例外IP 地址列表中添加IP 地址“4.1.1.10/32”。 单击< 确定 >按钮完成操作。 单击< 取消 >按钮关闭添加策略应用页面。

www.h3c.com.cn

第9页,共17页杭州华三通信技术有限公司

,

UTM 系列URL 典型配置举例

上述配置内容设置后的页面如下图所示,单击< 确定 >按钮完成操作:

杭州华三通信技术有限公司 www.h3c.com.cn

第10页,共17页