02

目  录

1 简介

2 配置前提

3 使用限制及注意事项

4 WEB关键字过滤功能配置举例

4.1 组网需求

4.2 配置思路

4.3 使用版本

4.4 配置步骤

4.5 验证配置

5 虚拟账号过滤功能配置举例

5.1 组网需求

5.2 配置思路

5.3 使用版本

5.4 配置步骤

5.4.1 配置设备

5.5 验证结果

6 邮件控制功能配置举例

6.1 组网需求

6.2 配置思路

6.3 使用版本

6.4 配置步骤

6.5 验证配置

7 终端公告推送功能配置举例

7.1 组网需求

7.2 配置思路

7.3 使用版本

7.4 配置步骤

7.5 配置注意事项

7.6 验证配置

8 终端类型控制配置举例

8.1 组网需求

8.2 配置思路

8.3 使用版本

8.4 配置注意事项

8.5 配置步骤

8.5.1 配置设备

8.6 验证配置

9 IPv6控制策略配置举例

9.1 简介

9.2 组网需求

9.3 组网图

9.4 配置步骤

9.5 验证配置

本文档介绍设备的控制策略配置举例，控制策略包含终端公告提醒、URL过滤控制，应用过滤控制、终端类型控制，应用过滤控制细分为：应用控制、邮件控制、WEB关键字、虚拟账号。本文针对部分功能进行详细配置的举例介绍，以引导用户快速了解功能。各功能实现效果简要介绍如下所示。

WEB关键字实现效果：

·     搜索引擎：

对搜索引擎的搜索内容进行监控，提供告警、拒绝两种处理动作，并支持记录日志。

·     HTTP上传：

对http上传的POST内容进行监控，提供告警、拒绝两种处理动作，并支持记录日志，如：

web邮件过滤（发件人、收件人，主题、内容、附件名）；

web社区论坛（发帖内容、附件上传）；

·     网页内容：

支持所有http网页浏览内容过滤，网页内容必须为文本形式，不能为图片中的文字。

虚拟账号控制实现效果：

只支持QQ虚拟账号的控制，关键字过滤只支持精确匹配。根据匹配到的动作（黑名单|白名单）进行QQ账号控制并产生应用控制日志。

邮件控制实现效果：

邮件控制策略页面包含发件人过滤、收件人过滤、标题及内容过滤、邮件大小以及附件个数过滤。发件人和收件人过滤包括功能开启、策略属性（黑白名单）以及关键字配置。标题及内容支持关键字配置。

终端公告提醒实现效果：

终端公告提醒：当内网终端在访问网页时重定向到公告页面，以达到推送公告的目的，可以设置公告推送频率，支持设备内置公告以及外部公告。

URL过滤实现效果：

URL过滤是基于URL分类来对用户访问WEB站点进行控制，控制动作包含允许和拒绝。这样可以通过对HTTP协议的控制为用户提供应用级的安全防护和访问限制。

终端类型控制实现效果：

终端类型定义如下：

any：所有终端类型。

移动终端：基于Android或IOS系统的智能手机或Pad。

PC：基于Windows操作系统的PC或笔记本。

在某此场景下，为了保证办公内网的安全，管理员只允许受控的办公电脑可以正常访问网络，对其通过wifi热点接入的移动终端进行控制，以达到管控的目的。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了控制策略功能特性。

·     配置WEB关键字过滤规则之前需要先配置解密策略，由于涉及加密的网站较多，不配置解密无法识别到对应的关键字会导致关键字过滤失败。

·     WEB关键字附件上传过滤不支持压缩文件。

·     关键字过滤同一条流只要检查到第一个符合条件的关键字就会停止匹配。

·     关键字过滤不支持附件内容过滤。

·     关键字过滤字母不区分大小写。

·     网页内容过滤时，有时关键字在网页中的位置比较靠后，此时检测到关键字后，部分网页内容已经加载成功，此时会出现网页部分加载的情况。

·     苹果系统虚拟账户控制不生效，特征加密问题。

·     虚拟账户控制：QQ账号黑白名单关键字控制，关键字匹配为精确匹配。

·     虚拟账号控制依赖应用特征库，特征库不识别时无法控制。

·     移动端（安卓）测试虚拟账号控制时，需要关闭移动网络。

·     关键字条目规格512和1024条，每个关键字对象里可以配置1024个关键字。

·     旁路模式qq 阻断不生效。

·     虚拟账户白名单，应用控制不产生日志（只有黑名单阻断后才产生日志）。

·     虚拟账号黑白名单关键字默认显示为“-”。

·     虚拟账号黑名单引用关键字的内容为空，不控制qq登录，不引用关键字策略不生效，不阻断。

·     虚拟账号白名单引用关键字的内容为空（匹配不上），阻断qq登录，并产生日志。不引用关键字策略不生效，不阻断。

·     配置关键字内容为qq号（关键字精确匹配），qq过滤引用白名单。

·     下联终端使用关键字内的qq号码登录，匹配后可以正常登录，不记录控制日志。

·     下联终端使用非关键字内的qq号码登录，qq无法登录，控制日志处应该记录一条日志。

·     配置的虚拟账号阻断，应用控制放行 qq登录阻断前后会有一条放行的日志--- QQ登录识别报文和获取账号报文不在同一个报文中，前一个报文识别为QQ登录，未获取到QQ账号，命中了应用控制策略报放行日志。后一个报文获取到QQ账号，命中了虚拟账号策略，报阻断日志，此情况属于正常现象。

·     使用终端公告提醒功能时内网接口管理方式必须开启http，终端才能正常访问公告页面。

如图1所示，某公司网络管理员针对内网用户上网不允许搜索引擎查找敏感关键字：毒品，不允许外发WEB邮件内容包含敏感关键字：内网资产，不允许浏览包含关键字 的网页。

图1 WEB关键字过滤组网

·     在设备上配置各接口地址，如拓扑图所示。

·     生成CA根证书。

·     导出CA根证书（P12格式）。

·     将CA根证书导入本地证书。

·     创建https对象。

·     创建解密策略。

·     创建关键字对象。

·     创建WEB关键字过滤策略。

·     在测试终端导入证书。

·     验证配置。

本举例是在R6612版本上进行配置和验证的。

如图2、图3所示，在设备上配置各接口地址。点击“网络配置>接口配置>物理接口”，配置接口IP地址。

图2 配置ge0接口

图3 配置ge1接口

如图4所示，点击“策略配置>对象管理>CA服务器>根CA配置管理”，在根证书管理中点击生成CA根证书，配置CA信息。

图4 配置CA根证书

如图5所示，查看已生成的CA根证书。

图5 查看已生成的CA根证书

如图6所示，点击“策略配置>对象管理>CA服务器>根CA配置管理”，在根证书管理中点击导出CA根证书。

图6 导出CA根证书

如图7所示，查看已导出的CA根证书。

图7 查看导出的CA根证书

如图8所示，在“策略配置>对象管理>本地证书>证书>本地证书”，点击导入，选择之前导出的证书，导入即可，注意密码必须与之前设置的密码一致。

图8 将CA根证书导入到本地证书

如图9所示，查看导入成功的本地证书。

图9 导入成功的本地证书

如图10所示，点击“策略配置>对象管理>URL对象>HTTPS对象”，创建https对象。

图10 https对象

如图11所示，由于部分测试网站为https加密网站，需要解密后才能识别到关键字，所以需要先创建解密策略，在导航栏中选择“策略配置 > SSL解密策略”，单击按钮，配置完成后下发。

图11 解密策略

如图12所示，创建关键字对象，在导航栏中选择“策略配置>对象管理>关键字对象”，单击按钮，配置完成后下发。

图12 关键字对象

如图13、图14、图15所示，创建WEB关键字过滤规则，在导航栏中选择“策略配置 > 控制策略”，点击，在弹出页面中依次单击、、，分别创建搜索引擎规则、HTTP上传规则、网页内容规则。

图13 搜索引擎关键字规则

图14 HTTP上传关键字规则

图15 网页内容关键字规则

不同终端的导入证书方式不一样，具体方法请参考“解密策略典型配置举例”。

(1)     搜索引擎结果验证

使用百度搜索引擎搜索关键字“毒品”，访问被阻断，无结果回显，同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志，如图16、图17所示。

图16 关键字搜索结果

图17 应用控制日志

(2)     WEB邮箱结果验证

使用126邮箱发送邮件，内容为：内网资产信息请查收，点击发送，邮件无法发送成功，同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志，如图18、图19所示。

图18 邮件发送

图19 应用控制日志

(3)     网页浏览结果验证

使用测试PC访问腾讯网站http://www.qq.com/，同时可以在导航栏“数据中心 > 日志中心 > 控制日志 > 应用控制日志”中产生相应阻断日志，如图20、图21所示。

图20 访问腾讯

图21 应用控制日志

如图22所示，公司内网存在内网用户供内部人员使用；无线wifi供访客使用，具体需求如下：

·     针对内网用户，公司内部人员只放行特定的QQ账户上网，其它QQ号阻断登录。

·     针对无线wifi网络，阻断特定qq账户，其它qq放行可以上网。

图22 虚拟账户组网图

按照组网图组网

·     新建地址对象

·     配置关键字对象。

·     控制策略虚拟账户处启用qq账户过滤

本举例是在R6612版本上进行配置和验证的。

通过菜单“策略配置>对象管理 > 地址对象”，点击地址对象，配置“内网用户”地址对象和“无线wifi”地址对象。如图23、图24所示。

图23 添加内网用户地址对象

图24 添加无线wifi地址对象

通过菜单“策略配置>对象管理 > 关键字对象”，点击关键字对象，配置“QQ白名单”关键字对象和“QQ黑名单”关键字对象，如图25、图26所示。

图25 添加QQ白名单对象

图26 添加QQ黑名单对象

通过菜单“策略配置>控制策略”，点击进入控制策略配置页面，源地址对象选择“内网用户”，虚拟账户启用白名单，如图27、图28所示。

图27 控制策略配置内网用户源地址

图28 控制策略配置虚拟账户白名单控制

通过菜单“策略配置 >策略配置 >  控制策略”，点击进入控制策略配置页面，源地址对象选择 “无线wifi”，虚拟账户启用黑名单，如图29、图30所示。

图29 控制策略配置无线wifi源地址

图30 控制策略配置虚拟账户黑名单控制

(1)     内网用户匹配白名单策略效果

通过菜单“数据中心 > 日志中心 > 控制日志 > 应用控制日志”，查看虚拟控制日志。内网用户使用白名单关键字内的QQ账户可以登录，不记录控制日志。使用白名单以外的QQ账户，登录账户阻断后，点击日志详情可以查看匹配的策略名称和阻断账户，如图31所示。

图31 内网用户匹配白名单日志

(2)     无线WIFI网段用户匹配黑名单策略效果

通过菜单“数据中心 > 日志中心 > 控制日志 > 应用控制日志”，查看虚拟控制日志。无线WIFI网段用户使用黑名单以外的关键字登录qq，可以登录不记录控制日志。使用黑名单关键字的账户登录qq阻断后查看控制日志，点击日志条目详细可以看到匹配的策略名称和阻断账户进入如图32所示的页面。

图32 无线WIFI用户匹配黑名单日志

如图33所示，针对内网用户test发送邮件大小超过5M，则不允许发送，避免大量占用公司出口带宽。

图33 邮件控制组网图

·     创建用户test。

·     配置阻断策略，选择用户test。

·     配置本地web认证。

·     开启邮件阻断策略，邮件阻断大小设置为5M。

本举例是在R6612版本上进行配置和验证的。

(1)     创建用户test

进入“用户管理 > 用户”，新建“test”用户，如图34所示。

图34 用户配置

(2)     配置控制策略

进入“策略配置 > 控制策略”，在“匹配条件”页面，选择用户“test”，并点击。如图35所示。

图35 配置控制策略

(3)     配置邮件控制策略

在“控制策略配置”页面，选择“应用过滤 > 邮件控制”，配置邮件控制，邮件大小设置为5M，并点击按钮提交该页配置，如图36所示。

图36 配置邮件控制

(4)     配置认证策略

进入“用户管理> 认证管理 > 认证策略”，配置本地WEB认证策略，如图37所示。

图37 配置本地WEB认证

(1)     用户test通过本地认证后过设备发送大于5M的邮件，邮件发送失败，如图38所示。

图38 邮件发送

(2)     设备应用控制记录阻断日志，可以查看详情，如图39所示。

图39 应用控制记录阻断日志

如图40所示，某公司为了加强上网管理，拟定了一个上网准则公告，需要周期性进行网络内部推送，使用设备的ge0和ge1接口以三层路由模式部署在网络中，设备上联出口FW，下联二层交换机。设备上开启移动终端公告推送功能，检测上网行为并周期推送公告提醒。

图40 终端公告推送组网

·     配置设备接口地址及路由。

·     配置地址对象。

·     配置用户识别范围。

·     配置自定义公告内容。

·     开启移动终端公告推送功能。

本举例是在R6612版本上进行配置和验证的。

如图41、图42所示，进入“网络配置>接口配置”页面，点击编辑ge0、ge1操作，把ge0、ge1的地址分别配置为10.0.219.110/24、192.168.1.1/24。

图41 配置ge0接口

图42 配置ge1接口

如图43所示，进入“网络配置>路由管理>静态路由”页面，新建一条访问外网的默认路由。

图43 配置静态路由

如图44所示，进入“策略配置>对象管理>地址对象>IPv4地址对象”页面，点击按钮创建内网用户地址对象，设置地址为192.168.1.0/24，点击。

图44 配置地址对象

如图45所示，进入“用户管理>认证管理>高级选项>全局配置”页面，识别范围选择“内网用户”，其它配置默认，提交配置。

图45 用户识别范围

如图46所示，进入“策略配置>对象管理>公告页面”，点击名称中“默认公告”，弹出自定义公告编辑页面。

图46 自定义公告

如图47所示，进入“策略配置 > 控制策略”页面，新建控制策略，源IP选择“内网用户”并开启终端公告推送功能。

图47 移动终端推送配置

·     内网接口管理方式必须开启http，终端才能正常访问公告页面。

如图48所示，某员工使用1台PC访问http网站，会被推送上网准则公告。

图48 推送公告

如图49所示，某公司内部网段IP地址172.16.11.0/24，要求不允许移动终端及多终端访问外网，使用设备的ge0和ge1接口作为路由模式，串接部署在网络中，设备上联出口FW，下联路由器。设备上开启基于终端的控制策略,移动终端或多终端用户无法访问外网。

图49 基于终端类型的控制策略组网图

l     配置接口

l     配置静态路由

l     配置地址对象

l     配置用户识别范围

l     配置控制策略

本举例是在R6612版本上进行配置和验证的。

如图50所示，进入“网络配置>接口配置”页面，进入物理接口页面，点击按钮，ge0和ge1分别配置10.0.219.110/24和172.16.11.1/24。

图50 配置接口

如图51所示，进入“网络配置>路由管理>静态路由”，点击，配置一条缺省路由。

图51 配置静态路由

如图52所示，进入“策略配置>对象管理>地址对象”，进入IPv4地址对象页面，点击，新建一个“内网地址”地址对象，地址范围：172.16.11.1/24。

图52 配置地址对象

如图53所示，进入“用户管理>认证管理>高级选项”，进入全局配置页面，修改为“内网地址”，其余配置为默认配置。

图53 配置用户识别范围

如图54所示，进入“策略配置 >策略配置 > 控制策略”，进入控制策略页面，点击，配置一条拒绝控制策略，终端选择多终端和移动终端。

图54 配置控制策略

如图55所示，移动终端访问页面，提示访问出错

图55 移动终端无法上网

如图56所示，进入“策略配置 >策略配置 > 控制策略”，进入控制策略页面，可以查到策略匹配记录。

图56 控制策略计数

使用PC可以正常上网，未被阻断。

控制策略不仅适用于IPv4网络，也同样适用于IPv6网络的，可以对通过设备的源接口，目的接口，源IPv6地址，目的IPv6地址，服务，用户，以及应用七元组进行访问控制。

·     匹配基于IPv6的控制策略，用户识别范围需要配置为any或者识别方式配置为启发模式。

·     匹配基于IPv6的控制策略，需要在命令行启用IPv6 enable功能。

内网用户通过设备访问远端服务器，通过控制策略禁止内网用户访问远端IPv6的HTTP服务器和FTP服务器。

图57 IPv6控制策略组网图

(1)     配置基于IPv6地址对象。

进入“策略配置>对象管理>地址对象”页面，新建一条地址对象。

图58 新建IPv6地址对象

(2)     配置基于IPv6的URL控制策略。

进入“策略配置>控制策略”页面，新建一条控制策略，在URL过滤策略中新建一条URL控制策略，URL分类选择其它类，处理动作选择拒绝，日志级别配置通知，提交策略。

图59 新建控制策略-新建URL控制策略

图60 URL控制策略配置完成

(3)     配置应用过滤策略。

单击选择“应用过滤”标签页，新建一条应用过滤策略，应用分类选择“文件传输”，如下图所示。

图61 应用过滤策略选择应用

处理动作选择“拒绝”，日志级别配置为“通知”，如下图所示。

图62 基于IPv6的控制策略-新建应用过滤策略

点击按钮，提交应用过滤配置，如下图所示。

图63 应用过滤策略配置完成

(4)     选择源地址为IPv6地址对象host。

单击选择“匹配条件”标签页，源地址选择“host”，如下图所示。

图64 应用过滤策略选择应用

点击IPv6策略配置页面的按钮，完成IPv6策略配置。

图65 基于IPv6的控制策略配置完成

配置完成后，内网用户host通过IPv6地址能ping通远端IPv6服务器，访问远端服务器IPv6的HTTP服务和登录FTP服务被拒绝。

(1)     测试PC访问IPv6服务器的HTTP服务被拒绝，有相应的阻断提示信息。

图66 访问IPv6服务器的HTTP服务被拒绝

进入“数据中心>日志中心>控制日志>应用控制日志”，有匹配控制策略中URL控制策略的阻断日志。

图67 URL过滤控制阻断日志

(2)     测试终端通过FTP客户端登录IPv6服务器的FTP server，登录失败。

图68 终端登录FTP服务器失败

进入“数据中心>日志中心>控制日志>应用控制日志”，有匹配IPv6控制策略中应用过滤策略的阻断日志。

图69 应用控制阻断日志