您的位置:360文档中心› 最新最全USG6000安全策略配置(DOC41页)

最新最全USG6000安全策略配置(DOC41页)

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

配置反病毒

在企业网关设备上应用反病毒特性,保护内部网络用户和服务器免受病毒威胁。

组网需求

某公司在网络边界处部署了NGFW作为安全网关。内网用户需要通过Web服务器和POP3服务器下载文件和邮件,内网FTP服务器需要接收外网用户上传的文件。公司利用NGFW提供的反病毒功能阻止病毒文件在这些过程中进入受保护网络,保障内网用户和服务器的安全。网络环境如图

1所示。

其中,由于公司使用Netease邮箱作为工作邮箱,为了保证工作邮件的正常收发,需要放行Netease邮箱的所有邮件。另外,内网用户在通过Web服务器下载某重要软件时失败,排查发现该软件因被NGFW判定为病毒而被阻断(病毒ID为8000),考虑到该软件的重要性和对该软件来源的信任,管理员决定临时放行该类病毒文件,以使用户可以成功下载该软件。

图1 配置反病毒组网图

配置思路

1.配置接口IP地址和安全区域,完成网络基本参数配置。

2.配置两个反病毒配置文件,一个反病毒配置文件针对HTTP和POP3协议设置匹配条件和响

应动作,并在该配置文件中配置Netease邮箱的应用例外和病毒ID为8000的病毒例外,另外一个反病毒配置文件针对FTP协议设置匹配条件和响应动作。

3.配置安全策略,在Trust到Untrust和DMZ到Untrust方向分别引用反病毒配置文件,实

现组网需求。

操作步骤

1.配置接口IP地址和安全区域,完成网络基本参数配置。

a.选择“网络> 接口”。

b.单击GE1/0/1,按如下参数配置。

c.单击“确定”。

d.参考上述步骤按如下参数配置GE1/0/2接口。

e.参考上述步骤按如下参数配置GE1/0/3接口。

2.配置反病毒配置文件。

a.选择“对象> 安全配置文件> 反病毒”。

b.单击“新建”,按下图完成针对HTTP和POP3协议的配置。

c.单击“确定”。

d.参考上述步骤按如下参数完成针对FTP协议的配置。

3.配置内网用户到外网服务器方向(Trust到Untrust方向)的安全策略。

a.选择“策略> 安全策略> 安全策略”。

b.单击“新建”。

c.在“新建安全策略”中应用反病毒配置文件。参数配置如下。

d.单击“确定”。

4.配置外网用户到内网服务器方向(Untrust到DMZ方向)的安全策略。

参照内网用户到外网服务器方向安全策略的配置方法,完成安全策略的配置。参数配置如下。

5.单击界面右上角的“保存”,在弹出的对话框中单击“确定”。

配置URL过滤

在NGFW上配置URL过滤功能,对用户访问的URL进行控制,允许或禁止用户访问某些网页资源。组网需求

如图1所示,NGFW作为企业网关部署在网络边界,对用户发出访问外部网络的HTTP和HTTPS请求进行URL过滤。

公司有研发部门员工和市场部门员工两类,具体需求如下:

•企业所有员工可以访问包含education的网站。

•企业所有员工不可以访问包含bbs的网站。

•研发部门员工在每天的09:00~17:00只可以访问教育/科学类、搜索/门户类网站。其他网站都不能访问。

•市场部门员工在每天的09:00~17:00只可以访问教育/科学类、搜索/门户类、社会焦点类网站和。其他网站都不能访问。

图1 配置URL过滤组网图

配置思路

1.配置接口IP地址和安全区域,完成网络基本参数配置。

2.配置自定义分类url_userdefine_category,将列入

url_userdefine_category分类。

3.配置分类服务器远程查询,用来获取URL与预定义分类的对应关系。本例中教育/科学类、

搜索/门户类、社会焦点类网站可以通过预定义分类来进行URL过滤控制。

4.针对研发部门员工和市场部门员工,配置两个URL过滤配置文件,将包含关键字bbs的

URL列入黑名单,将包含关键字education的URL列入白名单。并设置URL自定义分类和预定义分类的控制动作。

5.配置两个安全策略,引用时间段、用户组等信息,实现针对不同用户组和不同时间段的

URL访问控制策略。

操作步骤

1.配置接口IP地址和安全区域,完成网络基本参数配置。

a.选择“网络> 接口”。

b.单击GE1/0/1对应的,按如下参数配置。

c.单击“完成”。

d.参考上述步骤按如下参数配置GE1/0/2接口。

2.配置URL自定义分类。

a.选择“对象> URL分类”。

b.单击“新建”,按如下参数配置。

c.单击“确定”。

3.配置URL分类服务器。

a.选择“对象> 安全配置文件> URL过滤”。

b.单击“配置”,配置URL分类服务器,按如下参数配置。

c.单击“确定”。

d.单击“接受”。

4.配置URL过滤配置文件。

a.选择“对象> 安全配置文件> URL过滤”。

b.在“URL过滤配置文件”中,单击“新建”,按如下参数配置。

c.单击“确定”。

d.在“URL过滤配置文件”中,单击“新建”,按如下参数配置。

e.单击“确定”。

5.配置时间段。

a.选择“对象> 时间段”。

b.单击“新建”,按如下参数配置名为“time_range”的时间段。

c.单击“确定”。

6.在安全策略中应用URL过滤配置文件。

说明:

本例中引用到的用户组research(研发部门员工)和用户组marketing(市场部门员工)假设已经创建完成。

a.选择“策略> 安全策略> 安全策略”。

b.单击“新建”,按如下参数配置。关于安全策略的更多信息,请参见安全策略。

相关文档
最新文档