(Web)通过URL分类控制用户访问的网站

1、组网需求。

公司有研发部门员工和市场部门员工两类,具体需求如下:

  • 研发部门员工只可以在每天的09:00~17:00访问教育/科学类、搜索/门户类网站。其他网站均不能访问。

  • 市场部门员工只可以在每天的09:00~17:00访问教育/科学类、搜索/门户类、社会焦点类网站和一个特定的URL(www.example.com/news)和域名(www.example.net)。其他网站均不能访问。

2、配置思路。

  1. 配置接口IP地址和安全区域,完成网络基本参数配置。

  2. 配置远程查询服务器,用来获取URL与预定义分类的对应关系。本例中教育/科学类、搜索/门户类、社会焦点类网站可以通过预定义分类来进行URL过滤控制。为了可以正常使用远程查询功能,需要如下配置:

    1. 激活License并且确保该License在有效服务期内。

    2. 加载URL远程查询组件包。

    3. 配置DNS服务器,确保FW可以正确解析sec.huawei.com。

    4. 配置远程查询服务器的相关参数,包括查询方式、国家名称和超时时间。

    5. 配置安全策略并引用自定义服务,允许FW访问调度中心sec.huawei.com。其中自定义服务中需包含:

      • TCP协议:目的端口为80(与调度中心sec.huawei.com进行交互)

      • TCP协议:目的端口为12612(与调度服务器进行交互)

      • UDP协议:目的端口为12600(与查询服务器进行交互)

  3. 配置自定义分类url_userdefine_category,将www.example.com/news加入自定义URL中,将www.example.net加入自定义域名中。

  4. 针对研发部门员工和市场部门员工,新建两个URL过滤配置文件profile_url_research和profile_url_marketing,设置URL自定义分类和预定义分类的控制动作。

  5. 配置时间段和用户组。

  6. 配置两个安全策略,引用时间段、用户组、URL过滤配置文件等信息。

3、配置步骤。

实验拓扑:

1、配置管理接口使用虚拟机登录。

##配置管理接口IP地址
[FW1]int g0/0/0
[FW1-GigabitEthernet0/0/0]ip add 192.168.136.25 24 
[FW1-GigabitEthernet0/0/0]service-manage all permit 

2、配置基础IP地址。

安全区域 trust
IPv4
IP地址 10.3.0.1/24
安全区域 untrust
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值