04-IPS URL过滤典型配置-整本手册

目录1 URL过滤配置················································································································ 1-11.1 URL过滤简介·············································································································1-11.1.1 URL过滤原理····································································································1-11.1.2 URL过滤实现流程······························································································1-31.1.3 URL过滤特征库升级与回滚··················································································1-41.2 URL过滤配置任务简介·································································································1-41.3 配置URL过滤·············································································································1-51.3.1 配置URL过滤分类······························································································1-51.3.2 配置URL过滤策略······························································································1-51.3.3 在DPI应用profile中应用URL过滤策略·····································································1-61.3.4 配置URL过滤特征库升级和回滚 ············································································1-61.4 URL过滤显示和维护····································································································1-71.5 URL典型配置举例·······································································································1-81.5.1 URL过滤分类典型配置举例··················································································1-81.5.2 配置手动离线升级URL过滤特征库典型配置举例 ····················································· 1-101.5.3 配置定期自动在线升级URL过滤特征库典型配置举例 ··············································· 1-121 URL过滤配置URL过滤功能的使用受License控制，请在使用URL过滤功能前，安装有效的License。

SecPath防火墙url-filter的典型配置一、组网需求：某公司想限制员工访问某些网站。

二、组网图SecPath1000F：版本为Version 3.40, ESS 1604P01；WEB/DNS Server：Windows 2003操作系统；PC：Windows XP操作系统，DHCP客户端。

三、配置步骤1.SecPath1000F的主要配置#sysname Quidway#firewall packet-filter enablefirewall packet-filter default permit#firewall url-filter host enable//启用url-filterfirewall url-filter host ip-address permit//对IP地址访问为permitfirewall url-filter host load-file flash:/web-filter//指定加载位置和文件#aspf-policy 1//配置aspfdetect http//对http进行检测detect tcpdetect udp#dhcp server ip-pool test//创建DHCP地址池，定义属性值network 192.168.1.0 mask 255.255.255.0gateway-list 192.168.1.1dns-list 202.38.1.2domain-name #acl number 3000//创建NAT转换的ACLrule 0 permit ip source 192.168.1.0 0.0.0.255rule 1 deny ip#interface GigabitEthernet0/0ip address 192.168.1.1 255.255.255.0dhcp select interface//在接口下启用DHCPdhcp server dns-list 202.38.1.2//定义DHCP Server分配的DNS#interface GigabitEthernet0/1ip address 202.38.1.1 255.255.255.0firewall aspf 1 outbound//接口出方向应用aspfnat outbound 3000//配置nat outbound#firewall zone trustadd interface GigabitEthernet0/0set priority 85#firewall zone untrustadd interface GigabitEthernet0/1set priority 5#ip route-static 0.0.0.0 0.0.0.0 202.38.1.2//配置默认路由#[Quidway]firewall url-filter host add deny //添加关键字[ Quidway]dis firewall url-filter host item-all //显示添加的关键字Firewall url-filter host itemsitem(s) added manually :1item(s) loaded from file : 0SN Match-Times Keywords----------------------------------------------10<deny><Quidway>dirDirectory of flash:/1 -rw- 8576044 Sep 30 2006 08:57:31 system2 -rw- 1021629 Sep 27 2006 10:26:51 http.zip3 -rw- 1735 Oct 09 2006 17:18:35 config.cfg4 -rw- 4 Sep 28 2006 21:27:48 snmpboots5-rw-27Oct 09 2006 17:12:44web-filter//在flash中保存url-filter <Quidway>more web-filter//显示“web-filter”文件内容<deny>2.PC的验证结果显示自动获取的IP地址：未启用url-filter时，访问Web服务器：启用url-filter后，不能访问Web服务器：四、配置关键点1.添加完关键字后，如果重启设备，配置的关键字会丢失，需要通过firewall url-filter host save-file web-filter命令保存关键字到flash中；此外，如果重启设备后，还需要重新加载已经保存在flash中的文件，可以通过firewall url-filter host load-file web-filter命令自动加载；2.启用url-filter后，firewall url-filter host ip-address默认属性是deny，如果用地址访问服务器会无法访问；3.可以通过Tftp程序把web-filter文件下载到本地，修改完成后再上传到flash中。

ER6系列路由器应用——URL过滤
URL (Uniform Resource Locator —统一资源定位符)，它是万维网的统一资源定位标志，就是通常所讲的网址。

限制局域网内的计算机访问某些特定网站，可以通过设置URL过滤来实现。

例：希望禁止局域网内部分计算机192.168.1.101-192.168.1.150访问网易（）、新浪（），以及禁止下载扩展名为“.exe”的文件。

ER6110/6120设置步骤如下：
1、用户组设置
用户管理>>组设置，设置用户组名：
用户管理>>用户设置，设置用户IP地址：
用户管理>>视图，将用户添加到用户组里：
2、启用URL过滤，规则选择为“仅禁止访问列表中URL地址”
3、添加规则：
①：域名过滤添加“”以及“”
②：关键字过滤添加“.exe”
设置完成，如下图：
【注意】：URL过滤只针对HTTP站点生效
注：ER5系列路由器的URL过滤默认针对路由器下所有用户来设置的，不能够针对某些用户组来设置。

IPS URL过滤典型配置关键词：URL摘要：本文主要介绍IPS系列产品URL的典型配置。

缩略语：缩略语英文全名中文解释IPS Intrusion Prevention System 入侵防御系统URL Uniform Resource Locator 统一资源定位符目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (4)4.3 配置步骤 (4)4.3.1 时间表的配置 (4)4.3.2 创建一个URL过滤策略“A URL policy” (6)4.3.3 为URL过滤策略创建一个规则“abc” (6)4.3.4 在公司A访问Internet对应的段“0”上应用URL过滤策略 (8)4.3.5 将配置激活 (9)4.3.6 实测结果 (9)1 特性简介URL过滤模块是IPS系列产品的一个非常重要的功能模块，它能够识别、阻断某些内网用户对某个或某些特定网站的访问。

URL过滤模块提供了固定字符串和正则表达式两种匹配方式，用户可以根据需要针对某些网站的某些字符进行匹配，也可以通过正则表达式更加灵活的进行匹配。

不过通过正则表达式进行匹配时，需要用户对正则表达式比较熟悉。

2 应用场合(1) 本功能模块可以帮助网管控制内网用户对某些网站的访问：(2) 阻断内网用户对非法网站、黄色网站和游戏网站等的访问；(3) 分时段阻断内网用户对游戏、休闲网站的访问：如工作时间禁止访问游戏等网站，休息时间允许访问。

3 注意事项无4 配置举例4.1 组网需求在IPS设备上配置URL过滤策略和规则，禁止公司A研发部门的用户（IP网段为10.0.0.0/8，IP地址10.0.0.1除外）在上班时间（8:30～18:00）访问网站，其它时间可以访问。

图1 URL过滤典型配置组网图4.2 配置思路如图1 所示，IPS设备在线（Inline）部署到公司内网的出口链路上。

网关路由器操作手册版权所有©杭州海康威视数字技术股份有限公司2020。

保留一切权利。

本手册的任何部分，包括文字、图片、图形等均归属于杭州海康威视数字技术股份有限公司或其关联公司（以下简称“海康威视”）。

未经书面许可，任何单位或个人不得以任何方式摘录、复制、翻译、修改本手册的全部或部分。

除非另有约定，海康威视不对本手册提供任何明示或默示的声明或保证。

关于本产品本手册描述的产品仅供中国大陆地区销售和使用。

本产品只能在购买地所在国家或地区享受售后服务及维保方案。

关于本手册本手册仅作为相关产品的指导说明，可能与实际产品存在差异，请以实物为准。

因产品版本升级或其他需要，海康威视可能对本手册进行更新，如您需要最新版手册，请您登录海康威视官网查阅（）。

海康威视建议您在专业人员的指导下使用本手册。

商标声明●为海康威视的注册商标。

●本手册涉及的其他商标由其所有人各自拥有。

责任声明●在法律允许的最大范围内，本手册以及所描述的产品（包含其硬件、软件、固件等）均“按照现状”提供，可能存在瑕疵或错误。

海康威视不提供任何形式的明示或默示保证，包括但不限于适销性、质量满意度、适合特定目的等保证；亦不对使用本手册或使用海康威视产品导致的任何特殊、附带、偶然或间接的损害进行赔偿，包括但不限于商业利润损失、系统故障、数据或文档丢失产生的损失。

●您知悉互联网的开放性特点，您将产品接入互联网可能存在网络攻击、黑客攻击、病毒感染等风险，海康威视不对因此造成的产品工作异常、信息泄露等问题承担责任，但海康威视将及时为您提供产品相关技术支持。

●使用本产品时，请您严格遵循适用的法律法规，避免侵犯第三方权利，包括但不限于公开权、知识产权、数据权利或其他隐私权。

您亦不得将本产品用于大规模杀伤性武器、生化武器、核爆炸或任何不安全的核能利用或侵犯人权的用途。

●如本手册内容与适用的法律相冲突，则以法律规定为准。

前言本节内容的目的是确保用户通过本手册能够正确使用产品，以避免操作中的危险或财产损失。

url过滤原理一、URL过滤的概念URL过滤是指对URL进行筛选和阻止的过程。

URL（Uniform Resource Locator）是统一资源定位符的缩写，是互联网上标识资源的地址。

URL过滤是一种网络安全措施，通过对URL进行检查和匹配，以阻止用户访问非法、不安全或违规的网站或资源。

二、URL过滤的原理URL过滤的原理是基于黑名单或白名单的方式进行。

黑名单方式是指根据事先确定的规则和列表，将包含非法、不安全或违规内容的URL列入黑名单，当用户请求访问这些URL时，网络安全设备会进行拦截和阻止。

白名单方式则是将合法、安全或允许访问的URL列入白名单，对于不在白名单中的URL进行拦截和阻止。

三、URL过滤的作用1. 防止访问非法网站：URL过滤可以阻止用户访问包含非法内容的网站，如色情、赌博、恶意软件等。

2. 防止访问恶意网站：URL过滤可以识别和阻止恶意网站，如钓鱼网站、欺诈网站等，以保护用户的个人信息和财产安全。

3. 控制员工上网行为：企业可以利用URL过滤控制员工上网行为，限制访问社交媒体、游戏、视频等非工作相关的网站，提高员工的工作效率。

4. 保护儿童上网安全：家长可以通过URL过滤来限制孩子访问不适宜的网站，保护他们的健康成长。

四、URL过滤的实现方式1. 关键词过滤：根据事先设定的关键词列表，对URL进行检索和匹配，如果URL中包含了关键词，就进行拦截和阻止。

2. 域名过滤：对URL中的域名进行检查，如果域名在黑名单中或不在白名单中，就进行拦截和阻止。

3. URL分类数据库：利用URL分类数据库，根据URL的内容将其归类为合法、不安全或违规的网站，然后根据分类结果进行过滤。

4. 网络安全设备：网络安全设备如防火墙、代理服务器等可以通过配置URL过滤规则实现对URL的过滤和阻止。

五、URL过滤的挑战和改进1. 加密通信：随着HTTPS的普及，很多网站采用了加密通信，这给URL过滤带来了挑战，因为无法直接查看和检测加密通信中的URL内容。

IPS配置天融信TOPSEC® 北京市海淀区上地东路1号华控大厦 100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-8008105119版权声明 本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印© 1995-2008 天融信公司商标声明 本手册中所谈及的产品名称仅做识别之用。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈目录1入侵防御 (1)1.1IPS策略 (1)1.2IPS引擎 (7)1.3服务 (8)1.4动作 (9)1.5规则 (10)1.5.1系统规则 (10)1.5.2系统规则集 (11)1.5.3自定义规则 (14)1.5.4自定义规则集 (15)1.6规则库管理 (17)1.6.1系统规则库 (17)1.6.2自定义规则库 (18)1.7防火墙联动 (19)1.8IPS报表 (22)1.8.1攻击排名 (22)1.8.2详细事件 (22)2自定义规则使用说明 (24)A.1负载检测类规则选项 (24)A.2非负载检查类规则选项 (27)A.3IP (32)A.4TCP (34)A.5HTTP (35)A.6DNS (39)A.7FTP (42)A.8POP3 (44)A.9SMTP (45)A.10QQ (46)A.11MSN (47)A.12IMAP (48)1入侵防御天融信入侵防御设备是基于模式匹配和异常检测技术对网络数据进行在线数据解析和攻击检测的网络安全解决方案。

它通过对数据包进行规则匹配，对异常的数据包进行主动防御，从而保护网络的安全。

同时，天融信入侵防御设备可以实现与天融信防火墙的联动，对用户内部网络提供了全面、高效的安全保护。

本章内容主要包括：z IPS策略：介绍如何设置入侵防御规则。

Secpath IPS系列T200 URL过滤典型配置一、组网需求在T200设备上配置URL过滤策略和规则，禁止公司A研发部门的用户（IP网段为10.0.0.0/8，IP地址10.0.0.1除外）在上班时间（8:30～18:00）访问网站，其它时间可以访问。

二、组网图：三、配置步骤：◆创建一个公司A的时间表“A schedule”●在导航栏中选择“对象管理> 时间表管理”，单击“创建时间表”页签。

●输入名称为“A schedule”。

●输入描述为“Schedule for A”。

●选择“时间分组1”。

●输入分组名为“RD”。

●输入时间段1为“default”。

●输入时间段2为“worktime”。

●单击“时间段2”的按钮，在时间表格中选中“周一～周五”的“8:30～18:00”的时间段。

●单击<应用>按钮完成操作。

时间分组设置◆创建一个URL过滤策略“A URL policy”。

●在导航栏中选择“对象管理 > URL过滤”，单击“创建策略”页签。

●输入名称为“A URL policy”。

●输入描述为“URL policy for A”。

●选择时间表为“A schedule”。

●单击<添加>按钮完成操作。

创建URL过滤策略◆为URL过滤策略创建一个规则“abc”。

●单击“创建规则”页签。

●选择策略为“A URL policy”。

●输入名称为“abc”。

●输入描述为“filter ”。

●选择过滤类型为“主机名”。

●输入固定字符串“。

”●选择时间分组为“RD”。

●为时间段“break time”选择动作集为“Permit”。

●为时间段“work time”选择动作集为“Block”。

●单击<保存>按钮完成操作。

创建URL过滤规则◆在公司A访问Internet对应的段“0”上应用URL过滤策略。

●在导航栏中选择“对象管理 > 段管理>段策略管理”，单击“应用策略”页签。

目录1 URL过滤配置················································································································ 1-11.1 URL过滤简介·············································································································1-11.1.1 URL过滤原理····································································································1-11.1.2 URL过滤实现流程······························································································1-31.1.3 URL过滤特征库升级与回滚··················································································1-41.2 URL过滤配置任务简介·································································································1-41.3 配置URL过滤·············································································································1-51.3.1 配置URL过滤分类······························································································1-51.3.2 配置URL过滤策略······························································································1-51.3.3 在DPI应用profile中应用URL过滤策略·····································································1-61.3.4 配置URL过滤特征库升级和回滚 ············································································1-61.4 URL过滤显示和维护····································································································1-71.5 URL典型配置举例·······································································································1-81.5.1 URL过滤分类典型配置举例··················································································1-81.5.2 配置手动离线升级URL过滤特征库典型配置举例 ····················································· 1-101.5.3 配置定期自动在线升级URL过滤特征库典型配置举例 ··············································· 1-121 URL过滤配置URL过滤功能的使用受License控制，请在使用URL过滤功能前，安装有效的License。

url过滤URL过滤概述URL过滤是一种常用的网络安全措施，用于限制或阻止访问特定的网站或网页。

这种过滤通常根据预先定义的规则或策略来操作，并且可以应用于个人计算机、企业网络或公共网络。

URL过滤技术可通过防火墙、代理服务器或特定的软件应用程序来实施。

背景随着互联网的迅猛发展，越来越多的人们依赖于网络进行工作、学习和娱乐。

然而，互联网也带来了一些安全隐患和风险，例如色情、暴力、赌博和恶意软件等。

为了保护用户的安全和网络环境的稳定，URL过滤技术应运而生。

URL过滤的原理URL过滤的原理是根据预先设定的过滤规则，对访问的URL进行判断和过滤。

这些规则通常包括黑名单和白名单。

黑名单将包含不允许访问的URL地址，而白名单则包含允许访问的URL地址。

URL过滤系统会根据这些规则对用户的访问进行识别和分类，然后根据相应的处理方式进行处理。

URL过滤的应用领域URL过滤技术广泛应用于个人计算机、企业网络和公共网络等领域。

在个人计算机领域，URL过滤可以帮助父母监控和控制孩子使用互联网的内容，防止他们接触到不良的网站或信息。

此外，URL过滤还可以帮助保护个人计算机免受恶意软件和网络钓鱼等威胁。

在企业网络领域，URL过滤可以帮助企业管理者限制员工使用互联网的范围，提高员工的工作效率。

通过设置合适的URL过滤规则，企业可以阻止员工访问与工作无关的网站，如社交媒体、游戏和娱乐网站。

此外，URL过滤还可防止员工访问包含恶意软件或病毒的网站，从而保护企业网络的安全。

在公共网络领域，URL过滤常用于公共场所如图书馆、学校和咖啡馆等，以帮助管理员防止用户访问不适宜的网站或信息。

URL过滤可以帮助维持公共网络的秩序和正常运行，防止网络拥塞和滥用。

URL过滤技术的挑战尽管URL过滤技术在保护用户安全和网络环境稳定方面起到了重要作用，但它也面临一些挑战。

首先，URL过滤需要不断更新和维护其过滤规则。

随着不良网站和恶意软件技术的不断演变和更新，URL过滤规则需要及时更新以应对新的威胁。

路由器设置IPv过滤规则在现代网络环境中，路由器被广泛应用于家庭和企业网络中，它不仅能够实现设备之间的互联互通，还能提供一定的网络安全保障。

IPv 过滤规则（IP Filtering Rules）作为路由器的一个重要功能，允许我们通过限制或控制路由器的网络流量，来保护网络的安全性。

本文将介绍如何设置IPv过滤规则。

一、什么是IPv过滤规则IPv过滤规则是一种设置在路由器上的策略，用于对IPv4或IPv6流量进行控制和过滤。

它可以根据不同的条件，比如源IP地址、目标IP 地址、传输协议、端口等信息，对网络流量进行过滤和筛选，从而控制数据包的流向和访问权限。

二、设置IPv过滤规则的步骤1. 登录路由器管理界面首先，打开你的浏览器，输入路由器的IP地址，按下回车键，进入路由器的管理界面。

在管理界面中填写正确的用户名和密码，以便成功登录。

2. 导航至IP过滤规则设置页面在成功登录后，根据路由器品牌和型号的不同，找到相应的设置选项，一般会在高级设置或安全设置中，找到“IP过滤规则”或类似的选项。

3. 设置过滤规则在IP过滤规则设置页面中，你可以添加、修改或删除过滤规则。

针对每条过滤规则，你需要填写以下信息：- 规则名称：为规则起一个便于识别的名称，比如“禁止入站TCP 流量”。

- 源IP地址/子网掩码：输入源IP地址和对应的子网掩码，用于指定允许或禁止的源IP地址范围。

- 目标IP地址/子网掩码：输入目标IP地址和对应的子网掩码，用于指定允许或禁止的目标IP地址范围。

- 协议：选择要过滤的传输协议，如TCP、UDP或ICMP等。

- 源端口范围：输入源端口的起始和结束范围，用于更详细地过滤流量。

- 目标端口范围：输入目标端口的起始和结束范围，用于更详细地过滤流量。

- 动作：选择过滤规则的动作，可以是允许通过、禁止通过或丢弃等。

完成以上设置后，点击确定或保存按钮，使设置生效。

4. 测试过滤规则为了确保过滤规则设置的准确性和可行性，你可以进行一些测试。

waf url过滤规则表WAF（Web Application Firewall）的URL过滤规则表是一个重要的安全措施，用于保护Web应用程序免受各种攻击。

通过URL过滤规则表，您可以定义一系列规则来控制对网站的访问，从而防止潜在的威胁。

以下是一个示例的WAF URL过滤规则表：1. 禁止访问包含“admin”的URL：规则：URL中包含“admin”操作：拒绝访问2. 限制对敏感文件的访问：规则：URL路径匹配敏感文件（例如“”、“”）操作：限制访问权限，仅允许特定IP地址或用户组访问3. 防止SQL注入攻击：规则：URL参数包含特定关键词（例如“union”、“select”）操作：拒绝访问4. 防止跨站脚本攻击（XSS）：规则：URL参数包含未转义的HTML标签或JavaScript代码操作：拒绝访问5. 限制来自特定IP地址的访问：规则：请求的IP地址与指定的黑名单IP地址匹配操作：拒绝访问6. 限制请求频率：规则：在一定时间内超过指定请求次数阈值操作：延迟请求或拒绝访问一段时间7. 限制URL参数长度：规则：URL参数长度超过指定长度阈值操作：拒绝访问或返回错误响应8. 对特定用户代理的访问限制：规则：请求中的User-Agent与指定的恶意User-Agent匹配操作：拒绝访问或返回错误响应9. 根据请求头信息进行过滤：规则：请求头信息包含敏感信息（例如“Authorization”）或特定值（例如“Referer”）操作：拒绝访问或进行进一步的安全检查10. 基于时间的访问限制：规则：请求发生在特定时间段内（例如凌晨1点至6点）操作：拒绝访问或返回错误响应。

H3C UTM产品URL过滤升级使用说明书关键词：URL，分类摘要：基于URL新特性的使用和原有的版本差别较大，输出URL特性升级使用说明书供用户参考。

缩略语：缩略语英文全名中文解释UTM Unified Threat Management 统一威胁管理URL Uniform Resource Locator 统一资源定位符URI Uniform Resource Identifier 统一资源标识符i目录1 URL过滤特性概述 (1)1.1 特性简介 (1)1.2 应用场合 (1)1.3 注意事项 (1)2 新旧版本URL分类上的区别 (2)2.1 旧版本的URL分类 (2)2.2 新版本的URL分类 (2)3 新旧版本部署模式上的区别 (3)3.1 旧版本部署模式 (3)3.2 新版本部署模式 (3)3.3 新旧版本不同的部署模式体现在WEB配置上的区别 (4)4 版本升级后配置变更说明 (4)4.1 配置变更说明 (4)4.2 配置变更举例 (4)5 配置举例 (8)5.1 组网需求 (8)5.2 配置思路 (8)5.3 使用版本 (8)5.4 配置步骤 (9)5.4.1 基本配置 (9)5.4.2 URL过滤配置 (12)5.5 验证结果 (15)6 相关资料 (16)ii1 URL过滤特性概述1.1 特性简介URL（Uniform Resource Locator，统一资源定位符）过滤是一种网页过滤功能，支持自定义URL 过滤和基于分类的URL过滤。

l自定义URL过滤是指，用户可以根据需要，在设备上手动指定域名和URI（Uniform Resource Identifier，统一资源标识符）路径的匹配规则，以及相应的执行动作，以对收到的HTTP请求报文进行过滤。

l基于分类的URL过滤是指，设备收到HTTP请求报文后，向第三方代理发送URL分类识别请求，设备根据预先设置的URL分类过滤的规则，对第三方代理返回的分类识别结果执行相应的动作。

FW典型配置DPtech FW/UTM配置手册杭州迪普科技有限公司2011年05月目录DPtech FW/UTM配置手册 (2)第1章引言 (1)1.1功能配置结构 (1)1.2各章节涉及功能 (1)第2章基本网络配置 (2)2.1组网要求 (2)2.2网络拓扑 (2)2.3配置步骤 (2)2.4功能验证 (4)第3章深度检测功能配置 (6)3.1网络要求 (6)3.2网络拓扑 (6)3.3配置步骤 (6)3.4功能验证 (7)第4章 VPN (9)4.1IPS EC VPN (9)4.1.1 客户端接入模式 (9)4.1.2 网关—网关模式 (12)4.2L2TP VPN (16)4.2.1 网络要求 (16)4.2.2 网络拓扑 (16)4.2.3 配置步骤 (16)4.2.4 功能验证 (20)4.3GRE VPN (22)4.3.1 组网要求 (22)4.3.2 网络拓扑 (22)4.3.3 配置步骤 (22)4.3.4 功能验证 (23)4.4SSL VPN (25)4.4.1 网络要求 (25)4.4.2 网络拓扑 (26)4.4.3 配置步骤 (26)4.4.4 功能验证 (27)第5章 VRRP双机热备 (31)5.1组网要求 (31)5.2网络拓扑 (31)5.3配置步骤 (31)5.4功能验证 (34)第6章日志输出UMC (36)6.1业务日志输出 (36)6.2会话日志输出 (36)6.3流量分析输出 (37)第1章引言1.1 功能配置结构➢【组网要求】：提出实现功能点➢【网络拓扑】：实验室模拟环境➢【配置步骤】：设备WEB页面功能配置➢【功能验证】：验证前期功能点1.2 各章节涉及功能➢【基本网络配置】：接口管理、安全域、静态路由、DHCP、源NAT、目的NAT、包过滤➢【深度检测功能配置】：接口管理、安全域、静态路由、DHCP、源NAT、目的NAT、包过滤、防病毒、带宽限速、访问控制、URL过滤、流量分析、行为审计➢【VPN】：接口管理、安全域、静态路由、DHCP、源NAT、目的NAT、包过滤、IPSce VPN、L2TP VPN、GRE VPN、SSL VPN➢【VRRP双机热备】：接口管理、安全域、静态路由、源NAT、VRRP、双机热备、接口状态同步组➢【日志输出UMC】：业务日志配置、会话日志配置、流量统计配置第2章基本网络配置2.1 组网要求➢内网（3.3.3.2/24）可访问外网（10.99.0.1/24）➢内网地址为DHCP获得➢内网对外提供HTTP服务（安装web服务器）2.2 网络拓扑2.3 配置步骤➢【网络管理】->【接口管理】下，配置接口参数➢在【网络管理】->【网络对象】下，将接口添加到安全域➢在【网络管理】->【单播IPv4路由】下，添加出口路由➢在【网络管理】->【DHCP配置】下，启动DHCP Server➢在【防火墙】->【NAT】下，添加源NAT➢在【防火墙】->【NAT】下，添加目的NAT➢在【防火墙】->【包过滤策略】下，添加Untrust到Trust包过滤策略2.4 功能验证➢内网可DHCP获取到IP地址➢内网可访问外网（网卡自行添加DNS，或DHCP中配置）➢外网可访问内网服务器第3章深度检测功能配置3.1 网络要求➢采用第1章——基本网络配置➢内网（Trust）到外网（Untrust）方向匹配DPI策略（包括应用限速、每IP限速、访问控制、URL过滤、行为审计等）➢备注：本次功能配置以应用限速为例3.2 网络拓扑3.3 配置步骤➢在【访问控制】->【网络应用带宽限速】下，配置限速策略➢在【防火墙】->【包过滤策略】下，添加包过滤策略，并引用应用限速策略➢部分DPI功能配置举例3.4 功能验证➢内网PC（3.3.3.2）用迅雷下载文件，查看限速情况第4章VPN4.1 IPSec VPN4.1.1 客户端接入模式4.1.1.1 组网要求➢采用第1章——基本网络配置➢外网（10.99.0.4）可通过IPSec VPN客户端方式连接到内网，共享内网资源4.1.1.2 网络拓扑4.1.1.3 配置步骤➢在【VPN】->【IPSec】下，启动IPSec，配置客户端接入模式➢在客户端安装IPSec VPN客户端程序4.1.1.4 功能验证➢在IPSec客户端输入相关参数，进行登录并查看状态➢查看本地网卡信息，并进行Ping验证➢验证内网共享资源（http://3.3.3.2）4.1.2 网关—网关模式4.1.2.1 组网要求➢两端配置采用第1章——基本网络配置（相关IP不同）➢PC（3.3.3.2）可通过IPSec VPN访问PC（4.4.4.2），并可共享两端资源4.1.2.2 网络拓扑4.1.2.3 配置步骤➢在【VPN】->【IPSec】下，进行网关—网关模式配置4.1.2.4 功能验证➢在【VPN】->【IPSec】下，可查看IPSec连接信息➢可互相Ping通对端私网地址➢验证内网共享资源4.2 L2TP VPN4.2.1 网络要求➢采用第1章——基本网络配置➢外网（10.99.0.4）可通过L2TP VPN连接到内网，共享内网资源4.2.2 网络拓扑4.2.3 配置步骤➢在【网络管理】->【网络对象】下，将L2TP使用接口添加到安全域中➢在【VPN】->【L2TP】下，启动L2TP，配置LNS和用户信息➢在客户端上添加注册表键值（windows默认的l2tp/ipsec是只支持用证书认证的，对于用pre-share的认证方式或者不使用ipsec的l2tp连接，必须修改注册表），需重启客户端PC，键值如下：#Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Param eters]"ProhibitIPSec"=dword:00000001#➢新建L2TP客户端，在【网上邻居】中创建新连接➢需要修改的参数如下4.2.4 功能验证➢在客户端进行连接➢接入内网后，查看本地网卡信息➢验证内网共享资源（http://3.3.3.2）4.3 GRE VPN4.3.1 组网要求➢两端配置采用第1章——基本网络配置（相关IP不同）➢PC（3.3.3.2）可通过GRE VPN访问PC（4.4.4.2），并可共享两端资源4.3.2 网络拓扑4.3.3 配置步骤➢在【网络管理】->【单播IPv4路由】下，添加静态路由➢在【VPN】->【GRE】下，创建GRE VPN策略4.3.4 功能验证➢可互相Ping通对端私网地址➢验证内网共享资源4.4 SSL VPN4.4.1 网络要求➢采用第1章——基本网络配置➢外网（10.99.0.4）可通过SSL VPN连接到内网，共享分配相应权限的内网资源4.4.2 网络拓扑4.4.3 配置步骤➢在【VPN】->【SSL VPN】下，启动SSL VPN，并导入相应证书（新版本自带证书，老版本需搭建服务器获得）➢在【VPN】->【SSL VPN】下，配置资源（IP资源、web资源等）➢在【VPN】->【SSL VPN】下，添加用户4.4.4 功能验证➢外网用户（10.99.0.4）登录（https://10.99.0.192:6443）➢SSL VPN用户登录，并安装控件➢查询本地网卡信息，可获得内网网段地址➢点击站点名称“dp”，可弹出前期配置的web资源；可共享内网资源➢在【VPN】->【SSL VPN】下，可查看在线用户状态信息第5章VRRP双机热备5.1 组网要求➢内网PC（3.3.3.3）可访问Internet资源➢当FW1（10.99.0.192，主）与FW2（10.99.0.193，备）为主备模式下，断开FW1与SW1的连接，流量自动切换至FW2，PC应用无影响➢重新连接FW1与SW1的连接，流量自动切换回FW1，PC应用无影响5.2 网络拓扑5.3 配置步骤➢在【网络管理】->【接口管理】下，配置接口参数（eth_4为双机热备心跳线，eth_5连接内网，eth_6连接外网）➢在【网络管理】->【网络对象】下，将接口添加到安全域中➢在【网络管理】->【单播IPv4路由】下，添加出口默认路由➢在【防火墙】->【NAT】下，配置源NAT策略➢在【高可靠性】->【VRRP】下，配置VRRP备份组（内网PC网关指向备份组虚拟IP）➢在【高可靠性】->【双机热备】下，进行双机热备配置（心跳线），此功能将同步配置、会话等参数➢在【高可靠性】->【接口状态同步组】下，进行端口同步组配置（可选）；此功能作用为，如下行接口（eth0_5）down掉，则相同接口同步组下的其他接口，也将down 掉，如需重新up，则需重新打开接口的管理状态5.4 功能验证➢内网PC正常上网，分别观察主备设备信息➢内网PC正常上网，断开主设备eth0_5的连接线，分别观察主备设备信息第6章日志输出UMC6.1 业务日志输出➢在【日志管理】->【业务日志】下，配置业务日志输出➢FW中，业务日志主要包括行为审计日志6.2 会话日志输出➢在【防火墙】->【会话管理】下，配置会话日志输出➢FW中，会话日志主要包括NAT日志6.3 流量分析输出➢在【上网行为管理】->【流量分析】下，配置流量分析输出➢FW中，流量分析主要包括流量分析日志。