交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
说明:
NGFW的入侵防御、防病毒、应用控制三个功能需要有相应特征库才能使用,NGFW出厂已有当前最新的特征库版本,但要想让此功能效果保持理想,需要实时更新特征库的版本,若没有购买正式授权,则特征库无法更新,功能将会不理想,若有购买授权,并将lisence导入设备,则系统会自动更新到最新版本。Lisence的导入请参见:日常维护>>lisence导入章节。
一、组网需求
通过配置URL屏蔽功能,禁止内网用户访问某些非网站。
URL屏蔽列表的过滤行为是阻断,即匹配上该列表中的模式字符串的流要被过滤掉,否则放行;
免屏蔽列表的过滤行为是放行,即匹配上该列表中的模式字符串的流可以通过,否则被过滤。(即只允许免屏蔽列表中的条目通过,其它的都阻断!!所以这个功能要慎重)
二、组网拓扑
三、配置要点
屏蔽列表和免屏蔽列表,两个是不同的功能,选了免屏蔽列表后,就只有表中的URL可以访问,其它都不行,所以与屏蔽列表不能同时选择
1、配置屏蔽列表功能
a、配置屏蔽列表,指定哪些URL需要屏蔽
b、配置安全防护列表,调用第一步的屏蔽列表
c、配置安全策略,调用第二步的安全防护列表
2、配置免屏蔽列表功能
a、配置免屏蔽蔽列表,指定哪些URL需要放通
b、配置安全防护列表,调用第一步的免屏蔽列表
c、配置安全策略,调用第二步的安全防护列表
注意:记录屏蔽/免屏蔽日志的功能慎重开启,如图太多日志,会影响设备的运行
四、配置步骤
1.以下案例以禁止包含有.sina.com.cn后缀的URL网页为例
a、配置屏蔽列表,指定哪些URL需要屏蔽
必须勾选”启用”,并点击“提交”
b、配置安全防护列表,调用第一步的屏蔽列表
勾选安全防护表中的屏蔽列表
日志功能可以有选择性的开启
b、配置安全策略,调用第二步的安全防护列表
在原本设置的安全策略的基础上,调用安全防护列表
2、配置免屏蔽列表功能(改部分功能的设置方法和屏蔽列表功能是完全一样的,这里不赘述)
a、配置免屏蔽蔽列表,指定哪些URL需要放通
b、配置安全防护列表,调用第一步的免屏蔽列表
c、配置安全策略,调用第二步的安全防护列表
注意:记录屏蔽日志的功能慎重开启,如图太多日志,会影响设备的允许。
五、配置验证
以下是屏蔽列表功能的测试结果
如果想要查看相关的日志信息,可以去 日志管理>本地日志>事件日志里查看
2012-08-21 21:53:35 WEB过滤 通知 SrcIP=192.168.1.4 DstIP=218.30.66.101 Protocol=TCP SrcPort=4290 DstPort=80 InInterface=ge0 OutInterface=ge2 FwPolicyID=2 Action=Deny URL=http://www.sina.com.cn/ Content="WEB_FILTER*: The packet was blocked because it is in the URL block list"