1、组网需求。
公司有研发部门员工和市场部门员工两类,具体需求如下:
-
研发部门员工只可以在每天的09:00~17:00访问教育/科学类、搜索/门户类网站。其他网站均不能访问。
-
市场部门员工只可以在每天的09:00~17:00访问教育/科学类、搜索/门户类、社会焦点类网站和一个特定的URL(www.example.com/news)和域名(www.example.net)。其他网站均不能访问。
2、配置思路。
-
配置接口IP地址和安全区域,完成网络基本参数配置。
-
配置远程查询服务器,用来获取URL与预定义分类的对应关系。本例中教育/科学类、搜索/门户类、社会焦点类网站可以通过预定义分类来进行URL过滤控制。为了可以正常使用远程查询功能,需要如下配置:
-
激活License并且确保该License在有效服务期内。
-
加载URL远程查询组件包。
-
配置DNS服务器,确保FW可以正确解析sec.huawei.com。
-
配置远程查询服务器的相关参数,包括查询方式、国家名称和超时时间。
-
配置安全策略并引用自定义服务,允许FW访问调度中心sec.huawei.com。其中自定义服务中需包含:
-
TCP协议:目的端口为80(与调度中心sec.huawei.com进行交互)
-
TCP协议:目的端口为12612(与调度服务器进行交互)
-
UDP协议:目的端口为12600(与查询服务器进行交互)
-
-
-
配置自定义分类url_userdefine_category,将www.example.com/news加入自定义URL中,将www.example.net加入自定义域名中。
-
针对研发部门员工和市场部门员工,新建两个URL过滤配置文件profile_url_research和profile_url_marketing,设置URL自定义分类和预定义分类的控制动作。
-
配置时间段和用户组。
-
配置两个安全策略,引用时间段、用户组、URL过滤配置文件等信息。
3、配置步骤。
实验拓扑:
1、配置管理接口使用虚拟机登录。
##配置管理接口IP地址
[FW1]int g0/0/0
[FW1-GigabitEthernet0/0/0]ip add 192.168.136.25 24
[FW1-GigabitEthernet0/0/0]service-manage all permit
2、配置基础IP地址。
安全区域 | trust |
---|---|
IPv4 | |
IP地址 | 10.3.0.1/24 |
安全区域 | untrust |
---|