- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-代理策略配置
本章節下載: 09-代理策略配置 (384.95 KB)
目 錄
代理策略是一種安全防護策略,通過對客戶端和服務器之間的連接進行代理,實現由設備對通過的流量進行檢測和控製,避免由於直接訪問而出現安全問題。
目前支持TCP代理和SSL代理功能。
如下圖所示,設備作為TCP代理,分別與客戶端和服務器之間建立TCP連接,為客戶端和服務器之間提供TCP層隔離,有效地攔截惡意連接和攻擊。
圖1-1 TCP代理功能示意圖
由於SSL流量是加密傳輸的,設備無法對加密的數據進行深度安全檢測。在設備上配置SSL代理功能後,可解決以上問題。
圖1-2 SSL代理功能示意圖
如上圖所示,設備根據代理策略判斷需要對HTTPS客戶端的報文進行SSL代理,並會分別與客戶端和服務器建立SSL連接,然後對傳輸的報文先進行解密,再進行深度安全檢測(即進行DPI業務處理)。完成深度安全檢測後,對放行的報文重新進行加密,並發送到服務器。
有關DPI業務的詳細介紹,請參見“DPI深度安全配置指導”。
根據SSL代理功能防護對象的不同,可分為如下使用場景:
· 保護內網客戶端:設備部署在內網客戶端所在網絡出口處。當內網客戶端訪問外網服務器時,設備作為代理服務器,會對服務器響應的報文進行解密後再進行DPI深度安全等業務的檢測,防止內網客戶端受到外部惡意網站的攻擊。在此場景下,設備使用SSL代理服務器證書與內網客戶端進行SSL協商。有關SSL代理服務器證書的介紹,請參見“3. 基本概念”中的“SSL代理服務器證書”。
· 保護內網服務器:設備部署在內網服務器所在網絡入口處,當外網客戶端訪問內網服務器時,設備作為代理服務器,會對報文進行解密後再進行DPI深度安全等業務的檢測,防止外部惡意流量對內網服務器進行攻擊。在此場景下,設備使用導入的內網服務器證書與外網客戶端進行SSL協商。有關內網服務器證書的介紹,請參見“3. 基本概念”中的“內網服務器證書”。
有關DPI深度安全功能的詳細介紹,請參見“DPI深度安全”中的“DPI深度安全概述”。
· SSL代理服務器證書
保護內網客戶端的場景下,設備作為SSL代理服務器會代替內網客戶端驗證外網服務器是否可信。因此,在設備驗證了外網服務器的身份後,會基於收到的服務器證書重新簽發一個新的服務器證書與內網客戶端進行SSL協商。這個重新簽發的服務器證書就稱為SSL代理服務器證書,它用來向內網客戶端表明設備的身份,同時攜帶外網服務器是否可信的標識。代理服務器證書支持如下標識:
¡ 可信:當服務器可信時,設備將標識為“可信”的代理服務器證書發送給客戶端,客戶端接收到標識為可信的證書後,會通過服務器身份校驗,與設備成功建立SSL連接。
¡ 不可信:當服務器不可信時,設備將標識為“不可信”的代理服務器證書發送給客戶端,由客戶端決定是否繼續訪問不可信的服務器。
· SSL解密證書
由於設備本身不具備簽發證書的功能,需要管理員自行申請具備簽發功能的證書並導入到設備中,該證書即為“SSL解密證書”,設備將使用該證書簽發SSL代理服務器證書。
管理員將SSL解密證書導入到設備時,同時會對證書進行標識:
¡ 標識為可信:用於簽發可信的SSL代理服務器證書。
¡ 標識為不可信:用於簽發不可信的SSL代理服務器證書。
· 內網服務器證書
在保護內網服務器的場景下,需要管理員先將需要保護的內網服務器的證書導入到設備中。導入證書後,設備將對證書進行解析,生成一個CER格式的證書文件和一個密鑰文件。
¡ CER證書:用於校驗服務器身份。設備將計算CER證書文件的MD5值,並將MD5值作為證書的唯一標識。在SSL代理過程中,設備收到服務器發來的證書後,會先計算證書的MD5值,再與CER證書的MD5值進行匹配。如果MD5值相同,則認為該證書可信,通過校驗;如果MD5值不同,則認為證書不可信,校驗失敗,不進行SSL代理。
¡ 密鑰文件:用於後續SSL代理過程中加解密報文。
· SSL代理白名單
SSL代理白名單是指不需要進行SSL代理的網站域名或IP地址。配置SSL代理白名單功能後,設備將對網站服務器證書匹配SSL代理白名單的SSL連接不進行代理。
SSL代理白名單支持的類型如下:
¡ 預定義:設備已經預置的SSL代理白名單,支持域名白名單和IP地址白名單。
¡ 自定義:用戶手工配置SSL代理白名單,僅支持域名白名單。
SSL代理功能是基於TCP代理功能實現的,當設備根據代理策略判斷需要進行SSL代理時,先進行TCP代理,建立TCP連接,再進行SSL代理。在保護內網客戶端的場景下,SSL代理實現流程如圖1-3所示(以內網客戶端訪問外網服務器為例)。
圖1-3 保護客戶端場景下SSL代理原理圖
保護內網客戶端的場景下,SSL代理實現流程如下:
(1) 設備接收到客戶端發起的建立SSL連接請求。
(2) 設備作為代理客戶端向服務器發起建立SSL連接請求。
(3) 服務器響應請求並發送服務器證書。
(4) 設備驗證服務器證書的合法性,驗證通過後與服務器協商加密算法等信息,完成SSL握手,成功建立SSL連接。
(5) 設備作為代理服務器,響應客戶端請求,並根據服務器證書的內容,使用SSL解密證書自己簽發SSL代理服務器證書,供客戶端驗證。
(6) 客戶端完成對代理服務器證書的校驗後,與設備完成SSL握手,建立SSL連接。
(7) 客戶端、服務器和設備之間傳輸加密的SSL報文。
(8) 設備解密SSL流量,並進行DPI深度安全業務處理。
(9) 完成DPI業務處理後,設備將再次加密後的報文發往服務器。
SSL代理功能是基於TCP代理功能實現的,當設備根據代理策略判斷需要進行SSL代理時,先進行TCP代理,建立TCP連接,再進行SSL代理。在保護內網服務器的場景下,SSL代理實現流程如圖1-4所示(以外網客戶端訪問內網服務器為例)。
圖1-4 保護內網服務器場景下SSL代理原理圖
保護內網服務器的場景下,SSL代理實現流程如下:
(1) 管理員獲取需要保護的內網服務器的證書,並導入到設備中。
(2) 設備接收到客戶端發起的SSL連接建立請求。
(3) 設備作為代理客戶端向服務器發起建立SSL連接建立請求。
(4) 服務器響應請求並發送服務器證書。
(5) 設備驗證服務器證書的合法性,驗證通過後與服務器協商加密算法等信息,完成SSL握手,成功建立SSL連接。
(6) 設備作為代理服務器,響應客戶端請求,並將導入的內網服務器證書發送給客戶端。
(7) 客戶端完成對服務器證書的校驗後,與設備完成SSL握手,建立SSL連接。
(8) 客戶端、服務器和設備之間傳輸加密的SSL報文。
(9) 設備解密SSL流量,並進行DPI深度安全業務處理。
(10) 完成DPI業務處理後,設備將再次加密後的報文發往服務器。
代理策略對報文的控製是通過代理策略規則實現的,代理策略根據配置的代理策略規則對流量進行劃分,對不同的流量進行不同代理方式的處理。規則中可以設置匹配報文的過濾條件以及處理報文的動作。
代理策略中的每條規則都由唯一的名稱和編號標識。名稱必須在創建規則時由用戶手工指定;而編號既可以手工指定,也可以由係統自動分配。
每條規則中均可以配置多種過濾條件,具體包括:源安全域、目的安全域、源IP地址、目的IP地址、用戶、用戶組和服務。每種過濾條件中均可以配置多個匹配項,比如源安全域過濾條件中可以指定多個源安全域,任何一個匹配項被匹配成功則認為該過濾條件匹配成功。
缺省情況下,設備按照規則創建的先後順序對報文進行匹配,先創建的先匹配,也可以通過手工的方式調整規則的匹配順序。當一條規則匹配成功後,則結束匹配過程。
建議將規劃的所有規則按照“深度優先”的原則(即控製範圍小的、條件細化的在前,範圍大的在後)進行排序,再按照此順序配置每一條規則。
設備將根據代理策略規則中配置的動作,對命中策略的流量進行如下處理:
· 動作配置為TCP代理時,設備將對命中策略的流量進行TCP代理。
· 動作配置為SSL解密時,設備將對命中策略的流量進行SSL代理,並基於此對SSL流量進行解密,並對解密後的流量進行DPI深度安全檢測。
其中,SSL解密功能支持如下防護類型:
¡ 客戶端:用於保護內網客戶端的場景。
¡ 服務器:用於保護內網服務器的場景。
· 動作配置為不代理時,設備將對命中策略的流量進行透傳。
代理策略對規則的匹配過程如圖1-5所示:
代理策略對報文的處理過程如下:
(1) 將報文的屬性信息與過濾條件中的匹配項進行匹配。每種過濾條件的多個匹配項之間是或的關係,即報文與某一個過濾條件中的任意一項匹配成功,則報文與此過濾條件匹配成功;若報文與某一個過濾條件中的所有項都匹配失敗,則報文與此過濾條件匹配失敗。
(2) 若報文與某條規則中的所有過濾條件都匹配成功(用戶與用戶組匹配一項即可),則報文與此條規則匹配成功。若有一個過濾條件不匹配,則報文與此條規則匹配失敗,報文繼續匹配下一條規則。以此類推,直到最後一條規則,若報文還未與規則匹配成功,則設備對此報文執行策略配置的缺省動作。
(3) 若報文與某條規則匹配成功,則結束此匹配過程,並對此報文執行規則中配置的動作。
(4) 若報文與任何規則都不能匹配成功,則對報文執行代理策略的缺省動作。
· TCP代理與SSL代理對設備的轉發性能會產生較大的影響,請根據實際情況判斷是否需要開啟上述功能。
· 配置代理策略時,請盡量細化策略的過濾條件,避免配置過濾條件寬泛的代理策略,影響設備的正常轉發。
· 當設備進行TCP代理時,如果同時需要進行NAT業務的處理,則不支持ALG功能。有關NAT業務和ALG功能的詳細介紹,請參見“三層技術-IP業務配置指導”中的“NAT”。
· 如果同時需要配置SSL代理和TCP代理功能,配置代理策略規則時,請先配置動作為SSL解密的規則,避免因為先匹配到動作為TCP代理的規則導致SSL解密的規則匹配失敗。
· 配置SSL代理功能時,需要在安全策略中允許源安全域和Local域互通。有關安全策略的詳細介紹,請參見“安全配置指導”中的“安全策略”。
· 開啟SSL代理後,IPS業務的捕獲動作將失效。有關捕獲動作的詳細介紹,請參見“DPI深度安全配置指導”中的“IPS”。
· 配置SSL代理功能時,請務必根據不同的使用場景正確配置SSL解密功能的防護類型,並配置相應類型的證書與客戶端進行SSL協商。
· 在RBM雙機熱備的非對稱組網環境中(即同一條流量的報文來回路徑不一致),不支持使用TCP代理和SSL代理功能。即使配置了TCP代理或SSL代理功能,其功能也不會生效。有關RBM雙機熱備的詳細介紹,請參見“高可靠性配置指導”中的“雙機熱備(RBM)”。
代理策略的基本配置思路如圖1-6所示,在配置代理策略之前需要完成的配置包括:創建安全域、配置接口並加入安全域、配置對象、配置DPI業務、配置安全策略。
代理策略配置任務如下:
(1) 配置代理策略
a. 配置代理策略缺省動作
b. 創建代理策略規則
c. 配置代理策略規則過濾條件
d. 配置代理策略規則動作
(2) (可選)管理代理策略規則
a. 移動代理策略規則
b. 禁用代理策略規則
(3) 配置SSL解密證書
僅當設備需要配置SSL代理功能且SSL解密防護類型是client時,才需要進行本配置。
a. 導入SSL解密證書
b. (可選)修改SSL解密證書可信度
c. (可選)刪除SSL解密證書
(4) 配置內網服務器證書
僅當設備需要配置SSL代理功能且SSL解密防護類型是server時,才需要進行本配置。
a. 導入內網服務器證書
b. (可選)刪除內網服務器證書
(5) (可選)配置SSL代理域名白名單
a. 添加自定義域名白名單
b. 禁用預定義域名白名單
在配置代理策略之前,需完成以下任務:
· 配置IP地址對象組和服務對象組(請參見“安全配置指導”中的“對象組”)。
· 配置用戶和用戶組(請參見“安全配置指導”中的“用戶身份識別與管理”)。
· 配置安全域(請參見“基礎配置指導”中的“安全域”)。
· 配置安全策略(請參見“安全配置指導”中的“安全策略”)。
· 配置DPI業務(請參見“DPI深度安全配置指導”中的各模塊)。
當不存在代理策略規則或報文未匹配到任何代理策略規則的情況下,設備將對所有經過的報文執行代理策略缺省動作。
(1) 進入係統視圖。
system-view
(2) 進入代理策略視圖。
app-proxy-policy
(3) 配置代理策略默認動作。
default action { no-proxy | ssl-decrypt | tcp-proxy }
缺省情況下,代理策略缺省動作為不代理。
(4) 配置代理策略默認動作為SSL解密時的SSL解密防護類型。
default ssl-decrypt protect-mode { client | server }
缺省情況下,代理策略默認動作為SSL解密時的SSL解密防護類型為client。
(1) 進入係統視圖。
system-view
(2) 進入代理策略視圖。
app-proxy-policy
(3) 創建代理策略規則,並進入代理策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
缺省情況下,未配置代理策略規則。
當代理策略規則中未配置任何過濾條件時,則該規則將匹配所有報文。
當代理策略規則中引用的對象組不存在,或對象組中內容為空時,則該規則將不能匹配任何報文。
(1) 進入係統視圖。
system-view
(2) 進入代理策略視圖。
app-proxy-policy
(3) 進入代理策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置代理策略規則的過濾條件。
¡ 配置作為代理策略規則過濾條件的源安全域。
source-zone source-zone-name
缺省情況下,未配置源安全域過濾條件。
¡ 配置作為代理策略規則過濾條件的目的安全域。
destination-zone destination-zone-name
缺省情況下,未配置目的安全域過濾條件。
¡ 配置作為代理策略規則過濾條件的源IP地址。
source-ip object-group object-group-name
缺省情況下,未配置源IP地址過濾條件。
¡ 配置作為代理策略規則過濾條件的目的IP地址。
destination-ip object-group object-group-name
缺省情況下,未配置目的IP地址過濾條件。
¡ 配置作為代理策略規則過濾條件的服務。
service object-group { object-group-name | any }
缺省情況下,未配置服務過濾條件。
¡ 配置作為代理策略規則過濾條件的用戶。
user username [ domain domain-name ]
缺省情況下,未配置用戶過濾條件。
¡ 配置作為代理策略規則過濾條件的用戶組。
user-group user-group-name [ domain domain-name ]
缺省情況下,未配置用戶組過濾條件。
(1) 進入係統視圖。
system-view
(2) 進入代理策略視圖。
app-proxy-policy
(3) 進入代理策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置代理策略規則動作。
action { no-proxy | ssl-decrypt | tcp-proxy }
缺省情況下,代理策略規則動作為不代理。
(5) 配置SSL解密防護類型。
ssl-decrypt protect-mode { client | server }
缺省情況下,SSL解密防護類型為client。
本命令僅在代理策略規則動作為ssl-decrypt時需要配置。
缺省情況下,設備按照規則創建的先後順序對報文進行匹配,先創建的先匹配,也通過本功能來移動規則的位置,調整規則的匹配順序。當一條規則匹配成功後,則結束匹配過程。
(1) 進入係統視圖。
system-view
(2) 進入代理策略視圖。
app-proxy-policy
(3) 移動代理策略規則的位置。請選擇其中一項進行配置。
¡ 使用規則ID移動代理策略規則的位置。
rule move id rule-id before insert-rule-id
¡ 使用規則名稱移動代理策略規則的位置。
rule move name rule-name1 { before [ rule-name2 ] | after rule-name2 }
(1) 進入係統視圖。
system-view
(2) 進入代理策略視圖。
app-proxy-policy
(3) 進入代理策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 禁用代理策略規則。
disable
缺省情況下,代理策略規則處於啟用狀態。
設備作為SSL代理服務器保護客戶端場景下,需要導入SSL解密證書。
設備上隻能存在一份可信證書和一份不可信證書,後續導入的可信或者不可信證書會覆蓋原有的證書。
需要在客戶端瀏覽器上安裝並信任標識為可信的SSL解密證書。
導入成功後,設備將修改證書文件類型為CER格式。
(1) 進入係統視圖。
system-view
(2) 導入SSL解密證書。
app-proxy ssl-decrypt-certificate import { trusted | untrusted } { pem | p12 } filename filename
設備中隻能存在一份可信SSL解密證書和一份不可信SSL解密證書,若改變證書的可信度,則會覆蓋原有的證書。
當SSL解密證書成功導入設備後,文件類型會被改為CER格式,修改證書時需要將指定的證書後綴名改為.cer。
(1) 進入係統視圖。
system-view
(2) 修改SSL解密證書的可信度。
app-proxy ssl-decrypt-certificate modify { trusted | untrusted } filename filename
刪除SSL解密證書後,設備將不能簽發SSL代理服務器證書,從而導致客戶端因無法驗證服務器身份造成SSL代理連接失敗,設備將直接透傳報文。
當證書成功導入設備後,文件類型會被改為CER格式,刪除證書時需要將指定的證書後綴名改為.cer。
(1) 進入係統視圖。
system-view
(2) 刪除SSL解密證書。
app-proxy ssl-decrypt-certificate delete filename filename
設備作為SSL代理服務器保護服務器景下,需要導入內網服務器證書。
每個保存在設備上的內網服務器證書均有一個MD5值,如果導入的內網服務器證書MD5值已經存在,設備將覆蓋MD5值相同的已有證書。
(1) 進入係統視圖。
system-view
(2) 導入內網服務器證書。
app-proxy internal-server-certificate import { p12 | pem } filename filename
當內網服務器證書過期或不需要保護該服務器時,可刪除導入的證書。
可通過display app-proxy imported internal-server-certificate命令查看內網服務器證書的MD5值。
(1) 進入係統視圖。
system-view
(2) 刪除內網服務器證書。
app-proxy internal-server-certificate delete md5 md5-value
對於不需要或不能夠以代理方式訪問的服務器,可以將這些服務器的域名加入自定義域名白名單。設備對匹配白名單的所有SSL連接不進行代理。
在如下場景中,設備無法通過客戶端或服務器的校驗,不能進行SSL代理,需要配置SSL代理白名單,使設備直接透傳報文:
· 服務器要求對客戶端身份進行驗證。
· 客戶端要求對服務器證書做深度校驗。
(1) 進入係統視圖。
system-view
(2) 添加自定義域名白名單。
app-proxy ssl whitelist user-defined-hostname host-name
缺省情況下,未配置自定義SSL代理域名白名單。
(1) 進入係統視圖。
system-view
(2) 禁用預定義域名白名單。
undo app-proxy ssl whitelist predefined-hostname { chrome-hsts [ hostname ] | hostname } enable
缺省情況下,預定義SSL代理域名白名單處於啟用狀態。
需要激活SSL代理域名白名單配置的場景如下:
· 對自定義SSL代理域名白名單進行添加、修改和刪除操作。
· 對預定義SSL代理域名白名單進行啟用或禁用操作。
(1) 進入係統視圖。
system-view
(2) 激活SSL代理域名白名單配置。
app-proxy ssl whitelist activate
在完成上述配置後,在任意視圖下執行display命令可以顯示代理策略的配置信息、配置白名單和相關證書,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除代理策略使用的IP地址白名單和相關證書。
表1-1 代理策略顯示和維護
|
操作 |
命令 |
|
顯示代理策略的配置信息 |
display app-proxy-policy |
|
顯示內網服務器證書 |
display app-proxy imported internal-server-certificate |
|
顯示SSL解密證書 |
display app-proxy ssl-decrypt-certificate |
|
顯示服務器證書 |
display app-proxy server-certificate [ slot slot-number ] |
|
顯示SSL代理域名白名單 |
display app-proxy ssl whitelist hostname { user-defined | predefined } |
|
顯示SSL代理IP地址白名單 |
display app-proxy ssl whitelist { ipv4 | ipv6 } { all [ slot slot-number ] | ip-address } |
|
清除服務器證書 |
reset app-proxy server-certificate |
|
清除SSL代理IP地址白名單 |
reset app-proxy ssl whitelist ip |
如圖1-7所示,Device作為安全網關部署在內網邊界。由於設備無法對HTTPS流量進行深度安全檢測,導致無法阻斷部分網站的訪問。現需要配置SSL解密功能,對HTTPS流量進行SSL解密,再進行DPI業務檢測,保護企業內網用戶安全。
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置對象組
# 創建名為obj1的IP地址對象組,並配置其子網地址為192.168.1.0/24。
[Device] object-group ip address obj1
[Device-obj-grp-ip-obj1] network subnet 192.168.1.0 24
[Device-obj-grp-ip-obj1] quit
(5) 導入SSL解密證書
# 導入名為trust.pem的可信SSL解密證書和名為untrust.pem的不可信SSL解密證書,分別用於簽發標識為可信和不可信的代理服務器證書。
[Device] app-proxy ssl-decrypt-certificate import trust pem filename trust.pem
[Device] app-proxy ssl-decrypt-certificate import untrust pem filename untrust.pem
(6) 在內網用戶瀏覽器上安裝並信任名為trust.pem的可信SSL解密證書(具體配置步驟略)。
(7) 配置代理策略及規則
# 創建名為https的代理策略規則,對所有通過HTTPS協議訪問Web服務器的連接進行SSL解密。
[Device] app-proxy-policy
[Device-app-proxy-policy] rule 1 name https
[Device-app-proxy-policy-rule-1-https] source-zone trust
[Device-app-proxy-policy-rule-1-https] destination-zone untrust
[Device-app-proxy-policy-rule-1-https] source-ip object-group obj1
[Device-app-proxy-policy-rule-1-https] service object-group https
[Device-app-proxy-policy-rule-1-https] action ssl-decrypt
[Device-app-proxy-policy-rule-1-https] quit
(8) 配置URL過濾功能
# 創建名稱為https的自定義URL過濾分類,並在分類中添加主機名www.baidu.com。
[Device] url-filter category https severity 1001
[Device-url-filter-category-https] rule host text www.baidu.com
[Device-url-filter-category-https] quit
# 創建名為p1的URL過濾策略,配置自定義分類https的動作為重置並生成日誌。
[Device] url-filter policy p1
[Device-url-filter-policy-p1] category https action reset logging
[Device-url-filter-policy-p1] quit
(9) 配置DPI應用profile並激活URL過濾策略和規則配置
# 創建名為sec的DPI應用profile,並在DPI應用profile sec中應用URL過濾策略p1。
[Device] app-profile sec
[Device-app-profile-sec] url-filter apply policy p1
[Device-app-profile-sec] quit
# 激活URL過濾策略和規則配置。
[Device] inspect activate
(10) 配置安全策略
# 配置名稱為trust-untrust的安全策略規則,使內網用戶可以訪問外網,並對交互報文進行URL過濾業務檢測。具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] profile sec
[Device-security-policy-ip-10-trust-untrust] quit
# 按照同樣的步驟,配置名稱為untrust-trust的安全策略規則,由於使用SSL代理功能時,設備同時作為代理客戶端和代理服務器,需要放行外網到內網的流量。具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name untrust-trust
[Device-security-policy-ip-11-untrust-trust] source-zone untrust
[Device-security-policy-ip-11-untrust-trust] destination-zone trust
[Device-security-policy-ip-11-untrust-trust] destination-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-11-untrust-trust] action pass
[Device-security-policy-ip-11-untrust-trust] profile sec
[Device-security-policy-ip-11-untrust-trust] quit
# 按照同樣的步驟,配置名稱為proxyserverlocalin和proxyserverlocalout的安全策略規則,保證設備可作為代理服務器,對客戶端向服務器發起的訪問流量進行代理。具體配置步驟如下。
[Device-security-policy-ip] rule name proxyserverlocalin
[Device-security-policy-ip-12-proxyserverlocalin] source-zone trust
[Device-security-policy-ip-12-proxyserverlocalin] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-12-proxyserverlocalin] destination-zone local
[Device-security-policy-ip-12-proxyserverlocalin] action pass
[Device-security-policy-ip-12-proxyserverlocalin] quit
[Device-security-policy-ip] rule name proxyserverlocalout
[Device-security-policy-ip-13-proxyserverlocalout] source-zone local
[Device-security-policy-ip-13-proxyserverlocalout] destination-zone trust
[Device-security-policy-ip-13-proxyserverlocalout] destination-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-13-proxyserverlocalout] action pass
[Device-security-policy-ip-13-proxyserverlocalout] quit
# 按照同樣的步驟,配置名稱為proxyclientlocalin和proxyclientlocalout的安全策略規則,保證設備可作為代理客戶端,對服務器發往客戶端的流量進行代理。具體配置步驟如下。
[Device-security-policy-ip] rule name proxyclientlocalin
[Device-security-policy-ip-14-proxyclientlocalin] source-zone untrust
[Device-security-policy-ip-14-proxyclientlocalin] destination-zone local
[Device-security-policy-ip-14-proxyclientlocalin] destination-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-14-proxyclientlocalin] action pass
[Device-security-policy-ip-14-proxyclientlocalin] quit
[Device-security-policy-ip] rule name proxyclientlocalout
[Device-security-policy-ip-15-proxyclientlocalout] source-zone local
[Device-security-policy-ip-15-proxyclientlocalout] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-15-proxyclientlocalout] destination-zone untrust
[Device-security-policy-ip-15-proxyclientlocalout] action pass
[Device-security-policy-ip-15-proxyclientlocalout] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置完成後,當用戶訪問www.baidu.com時,設備會阻斷該訪問並打印日誌。管理員也可以通過display app-proxy server-certificate命令查看設備作為SSL代理客戶端時接收到的客戶端訪問的服務器證書,可以看到設備進行SSL代理的次數、第一次進行SSL代理的時間以及最近一次進行SSL代理的時間等信息。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
