USG包过滤防火墙规则详解中的URL过滤如何封HTTPS网站
点击联系发帖人
时间:2018-05-28 05:55
USG+产品URL过滤技术白皮书_百度文库
您的浏览器Javascript被禁用,需开启后体验完整功能,
享专业文档下载特权
&赠共享文档下载特权
&10W篇文档免费专享
&每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
USG+产品URL过滤技术白皮书
&&安全网关,防病毒
阅读已结束,下载本文需要
想免费下载本文?
定制HR最喜欢的简历
下载文档到电脑,同时保存到云知识,更方便管理
加入VIP
还剩14页未读,
定制HR最喜欢的简历
你可能喜欢URL过滤功能仅支持HTTP协议?
Released on :
Latest reply: 11:55:06
Help Card:&(problem unresolve)
如题:URL过滤功能仅支持HTTP协议。这是Secoway_USG_V300R001C10SPC600_产品文档(hdx)里的说明那么对于HTTPS的过滤就不生效了?还是拒绝呢?
convention:
direct elevator
&Moderator
Released on
convention:
Released on
那么USG2130要过滤HTTPS的话,怎么做?
convention:
* Including Third Party’s Trade Secret or No:
Third Party’s Trade Secret
Third Party’s Trade Secret refers to Third Party’s (other than Huawei’s) technical or commercial information which is unknown to the public, with commercial value, and kept confidential by Third Party. It may include without limitation Price Information, Roadmap, Commercial Authorization, Core Algorithm and Source Code. Should you have any questions, please contact e..
If the attachment button is not available, update the Adobe Flash Player to the latest version!
`@trans`drinking_poetry`~trans`
`@trans`drinking_poetry_des`~trans`
`@trans`universal_genius`~trans`
`@trans`universal_genius_des`~trans`USG配置WEB过滤
最新回复: 08:25:59
配置员工上网权限举例
介绍如何通过Web过滤来配置员工上网权限。
如图1所示,USG部署在公司出口处,对发出访问外部网络的HTTP请求进行Web过滤。
公司有研发员工和非研发员工两类,研发员工对应的IP地址范围是10.10.10.10/24~10.10.10.100/24,非研发员工对应的IP地址范围是10.10.10.101/24~10.10.10.200/24。具体需求如下:
·网站控制:企业所有员工可以访问包含info.com或learn.net的网站;所有员工不可以访问包含bt.com或bitcom.net的网站。
·下载控制:企业所有员工不可以下载视频文件(文件类型为AVI、MP4)。
·访问控制:研发员工在每天的08:00~18:00不可以访问新闻类网站、P2P类网站。
·搜索控制:非研发员工在每天08:00~18:00不可以对电影类关键字(film、movie)进行搜索。
·当员工访问的URL被阻止时,在员工的浏览器内显示Web推送页面:“Sorry, You are not authorized to access the URL!”。
图1 配置Web过滤组网图
配置思路如下:
1.配置运行模式为UTM模式。
2.配置接口的基本数据,包括:IP地址、接口加入安全区域和缺省路由。
3.配置URL过滤的全局参数,包括:启用URL过滤功能、配置Web推送页面。
4.配置黑白名单,将包含bt.com或bitcom.net的URL列入黑名单,将包含info.com或learn.net的URL列入白名单。
5.配置DNS,用来解析安全服务中心的IP地址。配置安全服务中心,用来获取预定义分类。本例中新闻类、P2P类的网站可以通过预定义分类来进行控制。
6.配置时间对象,满足在不同时间段内的不同的URL控制需求。
7.配置Web过滤策略:
·创建Web过滤策略webpolicy1,引用URL过滤策略urlpolicy1。在URL过滤策略中实现访问控制。
·创建Web过滤策略webpolicy2,在Web过滤策略中实现搜索控制。
·创建Web过滤策略webpolicy3,引用URL过滤策略urlpolicy3。在URL过滤策略中实现网站控制;在Web过滤策略上实现下载控制。
8.将Web过滤策略应用于安全区域Trust与Untrust之间,并通过引用源地址、时间对象和Web过滤策略,达到控制员工上网的目的。
1.配置运行模式为UTM模式。
2.&USG& system-view
[USG] runmode utm
切换运行模式需要重启设备后才生效。请根据系统提示操作,推荐选择保存配置后重启。
3.配置USG基本数据。
# 配置接口GigabitEthernet 0/0/1的IP地址。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip address 10.10.10.1 24
[USG-GigabitEthernet0/0/1] quit
# 配置接口GigabitEthernet 0/0/2的IP地址。
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] ip address 30.1.1.1 24
[USG-GigabitEthernet0/0/2] quit
# 配置接口加入安全区域。
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/1
[USG-zone-trust] quit
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/2
[USG-zone-untrust] quit
# 配置缺省路由。下一跳地址为Internet上与USG直接相连的路由器接口的IP地址。
[USG] ip route-static 0.0.0.0 0 30.1.1.2
4.配置URL过滤基本参数。
# 启用URL过滤功能。
[USG] url-filter enable
# 配置Web推送页面。
[USG] http-access notification text Sorry,You are not authorized to access the URL!
5.配置公共模式组。
a.# 创建URL模式组bt,将bt.com、bitcom.net加入到公共模式组中,匹配方式为任意匹配。
b.[USG] pattern-group bt type url
c.[USG-pattern-group-url-bt] pattern any bt.com
d.[USG-pattern-group-url-bt] pattern any bitcom.net
e.[USG-pattern-group-url-bt] quit
f.# 创建URL模式组study,将info.com、learn.net加入到公共模式组中,匹配方式为任意匹配。
g.[USG] pattern-group study type url
h.[USG-pattern-group-url-study] pattern any info.com
i.[USG-pattern-group-url-study] pattern any learn.net
j.[USG-pattern-group-url-study] quit
k.创建关键字公共模式组search,将关键字film、movie加入到公共模式组中。
l.[USG] pattern-group search type keyword
m.[USG-pattern-group-keyword-search] pattern film
n.[USG-pattern-group-keyword-search] pattern movie
o.[USG-pattern-group-keyword-search] quit
p.创建文件扩展名公共模式组download,将关键字AVI、MP4加入到公共模式组中。
q.[USG] pattern-group download type file-extension
r.[USG-pattern-group-fe-download] pattern avi
s.[USG-pattern-group-fe-download] pattern mp4
t.[USG-pattern-group-fe-download] quit
u.提交公共模式组,提交后公共模式组才真正生效。
[USG] pattern configure commit
6.配置预定义分类。
a.配置DNS,用来解析安全服务中心的域名。
# 启用DNS解析功能。
[USG] dns resolve
# 配置DNS服务器的IP地址。
[USG] dns server 202.118.66.6
b.配置国家信息。
[USG] country CN
请仔细阅读弹出的声明,并在所适用法律法规允许的目的和范围内启用URL过滤预定义分类远程查询功能。不配置国家信息或配置不属于设备所在地的国家信息时,禁用URL预定义分类远程查询功能。
c.配置安全服务中心。
[USG] security server domain sec.huawei.com
当从安全服务中心获取预定义分类之后,执行命令display url-filter category pre-defined,查看并记录新闻类、P2P类网站的ID。本例中新闻类的ID为18,P2P类的ID为1。
7.配置时间对象。
8.[USG] time-range time1 8:00 to 18:00 daily
9.配置URL过滤策略。
如果是第一次配置,黑白名单过滤、预定义分类过滤和自定义分类过滤缺省情况下都已经启用,自定义分类和预定义分类的控制动作都是允许。如果不是第一次配置可以根据需要选择性的执行下面启用黑白名单过滤、预定义分类过滤和自定义分类过滤功能的命令。
# urlpolicy1启用预定义分类、禁止新闻类网站和P2P网站。
[USG] url-filter policy urlpolicy1
[USG-urlfilter-policy-urlpolicy1] category pre-defined enable
[USG-urlfilter-policy-urlpolicy1] category pre-defined id 18 action deny
[USG-urlfilter-policy-urlpolicy1] category pre-defined id 1 action deny
[USG-urlfilter-policy-urlpolicy1] quit
# urlpolicy3启用黑白名单,引用公共模式组bt和study。
[USG] url-filter policy urlpolicy3
[USG-urlfilter-policy-urlpolicy3] blacklist enable
[USG-urlfilter-policy-urlpolicy3] whitelist enable
[USG-urlfilter-policy-urlpolicy3] blacklist group bt
[USG-urlfilter-policy-urlpolicy3] whitelist group study
[USG-urlfilter-policy-urlpolicy3] quit
10.配置Web过滤策略,引用配置的URL过滤策略。
# 创建Web过滤策略webpolicy1,引用URL过滤策略urlpolicy1。
[USG] web-filter policy webpolicy1
[USG-web-filter-policy-webpolicy1] policy url-filter urlpolicy1
[USG-web-filter-policy-webpolicy1] quit
# 创建Web过滤策略webpolicy2,在Web过滤策略中实现搜索控制。
[USG] web-filter policy webpolicy2
[USG-web-filter-policy-webpolicy2] sek-filter enable
[USG-web-filter-policy-webpolicy2] sek-filter group search action block
[USG-web-filter-policy-webpolicy2] quit
# 创建Web过滤策略webpolicy3,引用URL过滤策略urlpolicy3。
[USG] web-filter policy webpolicy3
[USG-web-filter-policy-webpolicy3] policy url-filter urlpolicy3
# 在webpolicy3上启用Web内容过滤,实现下载控制。
[USG-web-filter-policy-webpolicy3] web-content enable
[USG-web-filter-policy-webpolicy3] web-content download file-extension group download action block
[USG-web-filter-policy-webpolicy3] quit
11.将Web过滤策略应用于安全区域Trust与Untrust之间,实现精确管理员工上网行为的目的。
缺省情况下,越先配置的策略,优先级越高,越先匹配报文。已经匹配的报文不再进行后续匹配。
由于URL访问的连接一般是由内网PC发起的,所以Web过滤策略应用在Trust到Untrust的Outbound方向。
[USG] policy interzone trust untrust outbound
[USG-policy-interzone-trust-untrust-outbound] policy 1
[USG-policy-interzone-trust-untrust-outbound-1] action permit
[USG-policy-interzone-trust-untrust-outbound-1] policy source range 10.10.10.10 10.10.10.100
[USG-policy-interzone-trust-untrust-outbound-1] policy time-range time1
[USG-policy-interzone-trust-untrust-outbound-1] policy web-filter webpolicy1
[USG-policy-interzone-trust-untrust-outbound-1] quit
[USG-policy-interzone-trust-untrust-outbound] policy 2
[USG-policy-interzone-trust-untrust-outbound-2] action permit
[USG-policy-interzone-trust-untrust-outbound-2] policy source range 10.10.10.101 10.10.10.200
[USG-policy-interzone-trust-untrust-outbound-2] policy time-range time1
[USG-policy-interzone-trust-untrust-outbound-2] policy web-filter webpolicy2
[USG-policy-interzone-trust-untrust-outbound-2] quit
[USG-policy-interzone-trust-untrust-outbound] policy 3
[USG-policy-interzone-trust-untrust-outbound-3] action permit
[USG-policy-interzone-trust-untrust-outbound-3] policy source any
[USG-policy-interzone-trust-untrust-outbound-3] policy web-filter webpolicy3
以下结果表示配置成功:
·企业所有员工可以访问包含info.com或learn.net的网站;所有员工不可以访问包含bt.com或bitcom.net的网站。
·企业所有员工不可以下载视频文件(文件类型为AVI、MP4)。
·研发员工在每天的08:00~18:00不可以访问新闻类网站、P2P类网站。
·非研发员工在每天08:00~18:00不可以对电影类关键字(film、movie)进行搜索。
·当员工访问的URL被阻止时,在员工的浏览器内显示Web推送页面:“Sorry, You are not authorized to access the URL!”。
sysname USG
dns resolve
dns server 202.118.66.6
runmode utm
time-range time1 08:00 to 18:00 daily
http-access notification text Sorry,You are not authorized to access the URL!
url-filter blacklist group bt
url-filter whitelist group study
security server domain sec.huawei.com
interface GigabitEthernet0/0/1
ip address 10.10.10.1 255.255.255.0
interface GigabitEthernet0/0/2
ip address 30.1.1.1 255.255.255.0
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/1
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/2
ip route-static 0.0.0.0 0.0.0.0 30.1.1.2
pattern-group bt type url
pattern any bt.com
pattern any bitcom.net
pattern-group study type url
pattern any info.com
pattern any learn.net
pattern-group search type keyword
pattern film
pattern movie
pattern-group download type file-extension
pattern avi
pattern mp4
url-filter policy urlpolicy1
category pre-defined id 1 action deny
category pre-defined id 18 action deny
url-filter policy urlpolicy3
blacklist enable
whitelist enable
blacklist group bt
whitelist group study
web-filter policy webpolicy1
policy url-filter urlpolicy1
web-filter policy webpolicy2
sek-filter enable
sek-filter group search action block
web-filter policy webpolicy3
policy url-filter urlpolicy3
web-content enable
web-content download file-extension group download action block
policy interzone trust untrust outbound
& action permit
& policy time-range time1
& policy source range 10.10.10.10 10.10.10.100
& policy web-filter webpolicy1
& action permit
& policy time-range time1
& policy source range 10.10.10.101 10.10.10.200
& policy web-filter webpolicy2
& action permit
& policy web-filter webpolicy3
学习了解一下!
* 是否包含第三方商业秘密:
第三方商业秘密
第三方商业秘密是指第三方不为公众所知悉、具有商业价值并经权利人采取保密措施的技术信息和经营信息,包括但不限于:产品的价格信息、路标规划、商务授权、核心算法和源代码等。如有疑问,请联系:e.(各社区公共邮箱)。
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
`@trans`drinking_poetry`~trans`
`@trans`drinking_poetry_des`~trans`查看:4788|回复:2
初级工程师
华为USG2210想设置不让用户登录某些网站,例如就不想让用户登录新浪网站
助理工程师
可以做url 过滤。。。用web方式来配置,相对简单
企业员工可以访问网站。企业员工不可以访问网站。企业员工在每天的08:00~18:00不可以访问新闻类网站、P2P类网站、体育类网站和。当用户访问的URL被阻止时,在用户的浏览器内显示Web推送页面:“Sorry,You are not authorized to access the URL!”。配置思路URL过滤的配置思路如下:配置接口的基本数据,包括:IP地址、接口加入安全区域和缺省路由。配置运行模式为UTM模式。配置URL过滤的全局参数,包括:启用URL过滤功能、配置Web推送页面和URL过滤的默认访问控制动作为允许。将“”列入白名单,允许所有员工进行访问;将“”列入黑名单,禁止所有用户访问。配置DNS,用来解析安全服务中心的IP地址。配置安全服务中心,用来获取预定义分类。本例中新闻类、P2P类、体育类的网站可以通过预定义分类来进行URL过滤控制。配置自定义分类UC:user,包含关键字的URL将列入UC:user分类。配置时间对象,满足在时间段内的URL控制需求。配置URL过滤策略。将URL过滤策略应用于安全区域Trust与Untrust之间,并通过引用时间对象,达到控制用户上网的目的。配置脚本
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
sysname USG& && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
runmode utm& && && && && && && && && && && && && && && && && && && && && && &&&
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
url-filter notification Sorry,You are not authorized to access the URL!& && &&&
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
url-filter whitelist id 1 keyword & && && && && && && && &&&
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
url-filter blacklist id 1 keyword & && && && && && && && && && && &&&
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &
security server domain sec.huawei.com& && && && && && && && && && && && && && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
interface Vlanif2& && && && && && && && && && && && && && && && && && && && && &
ip address 10.10.10.1 255.255.255.0& && && && && && && && && && && && && && &&&
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
interface Ethernet0/0/0& && && && && && && && && && && && && && && && && && && &
ip address 30.1.1.1 255.255.255.0& && && && && && && && && && && && && && && && && && && && && && && && && && && && && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
interface Ethernet1/0/0& && && && && && && && && && && && && && && && && && && &
port access vlan 2& && && && && && && && && && && && && && && && && && && && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
firewall zone trust& && && && && && && && && && && && && && && && && && && && &
set priority 85& && && && && && && && && && && && && && && && && && && && && &
add interface Vlanif2& && && && && && && && && && && && && && && && && && && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
firewall zone untrust& && && && && && && && && && && && && && && && && && && &&&
set priority 5& && && && && && && && && && && && && && && && && && && && && &&&
add interface Ethernet0/0/0& &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
ip route-static 0.0.0.0 0.0.0.0 30.1.1.2& && && && && && && && && && && &&&
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
url-filter category UC:user& && && && && && && && && && && && && && && && && &
& &url keyword & && && && && && && && && && && && && && && && && &&&
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
url-filter policy urlpolicy1& && && && && && && && && && && && && && && && && &
&&category pre-define id 1 action deny& && && && && && && && && && && && && && &
&&category pre-define id 4 action deny& && && && && && && && && && && && && && &
&&category pre-define id 18 action deny& && && && && && && && && && && && && &&&
&&category user-defined name UC:user action deny& && && && && && && && && && &&&
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
policy interzone trust untrust outbound& && && && && && && && && && && && && &&&
policy 1& && && && && && && && && && && && && && && && && && && && && && && &&&
action permit& && && && && && && && && && && && && && && && && && && && && && &
policy time-range time1& && && && && && && && && && && && && && && && && && &&&
policy source range 10.10.10.10 10.10.10.100
policy url-filter urlpolicy1& && && && && && && && && && && &
#& && && && && && && && && && && && && && && &&&
本帖最后由 Cody21 于
22:11 编辑
初级工程师
OK 非常感谢你的回答 太详细了USG防火墙中的URL过滤如何封HTTPS网站_百度知道
USG防火墙中的URL过滤如何封HTTPS网站
我有更好的答案
禁止443端口访问就可以了,这样所有HTTPS网站都打不开了。
为您推荐:
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。}
您的浏览器Javascript被禁用,需开启后体验完整功能,
享专业文档下载特权
&赠共享文档下载特权
&10W篇文档免费专享
&每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
USG+产品URL过滤技术白皮书
&&安全网关,防病毒
阅读已结束,下载本文需要
想免费下载本文?
定制HR最喜欢的简历
下载文档到电脑,同时保存到云知识,更方便管理
加入VIP
还剩14页未读,
定制HR最喜欢的简历
你可能喜欢URL过滤功能仅支持HTTP协议?
Released on :
Latest reply: 11:55:06
Help Card:&(problem unresolve)
如题:URL过滤功能仅支持HTTP协议。这是Secoway_USG_V300R001C10SPC600_产品文档(hdx)里的说明那么对于HTTPS的过滤就不生效了?还是拒绝呢?
convention:
direct elevator
&Moderator
Released on
convention:
Released on
那么USG2130要过滤HTTPS的话,怎么做?
convention:
* Including Third Party’s Trade Secret or No:
Third Party’s Trade Secret
Third Party’s Trade Secret refers to Third Party’s (other than Huawei’s) technical or commercial information which is unknown to the public, with commercial value, and kept confidential by Third Party. It may include without limitation Price Information, Roadmap, Commercial Authorization, Core Algorithm and Source Code. Should you have any questions, please contact e..
If the attachment button is not available, update the Adobe Flash Player to the latest version!
`@trans`drinking_poetry`~trans`
`@trans`drinking_poetry_des`~trans`
`@trans`universal_genius`~trans`
`@trans`universal_genius_des`~trans`USG配置WEB过滤
最新回复: 08:25:59
配置员工上网权限举例
介绍如何通过Web过滤来配置员工上网权限。
如图1所示,USG部署在公司出口处,对发出访问外部网络的HTTP请求进行Web过滤。
公司有研发员工和非研发员工两类,研发员工对应的IP地址范围是10.10.10.10/24~10.10.10.100/24,非研发员工对应的IP地址范围是10.10.10.101/24~10.10.10.200/24。具体需求如下:
·网站控制:企业所有员工可以访问包含info.com或learn.net的网站;所有员工不可以访问包含bt.com或bitcom.net的网站。
·下载控制:企业所有员工不可以下载视频文件(文件类型为AVI、MP4)。
·访问控制:研发员工在每天的08:00~18:00不可以访问新闻类网站、P2P类网站。
·搜索控制:非研发员工在每天08:00~18:00不可以对电影类关键字(film、movie)进行搜索。
·当员工访问的URL被阻止时,在员工的浏览器内显示Web推送页面:“Sorry, You are not authorized to access the URL!”。
图1 配置Web过滤组网图
配置思路如下:
1.配置运行模式为UTM模式。
2.配置接口的基本数据,包括:IP地址、接口加入安全区域和缺省路由。
3.配置URL过滤的全局参数,包括:启用URL过滤功能、配置Web推送页面。
4.配置黑白名单,将包含bt.com或bitcom.net的URL列入黑名单,将包含info.com或learn.net的URL列入白名单。
5.配置DNS,用来解析安全服务中心的IP地址。配置安全服务中心,用来获取预定义分类。本例中新闻类、P2P类的网站可以通过预定义分类来进行控制。
6.配置时间对象,满足在不同时间段内的不同的URL控制需求。
7.配置Web过滤策略:
·创建Web过滤策略webpolicy1,引用URL过滤策略urlpolicy1。在URL过滤策略中实现访问控制。
·创建Web过滤策略webpolicy2,在Web过滤策略中实现搜索控制。
·创建Web过滤策略webpolicy3,引用URL过滤策略urlpolicy3。在URL过滤策略中实现网站控制;在Web过滤策略上实现下载控制。
8.将Web过滤策略应用于安全区域Trust与Untrust之间,并通过引用源地址、时间对象和Web过滤策略,达到控制员工上网的目的。
1.配置运行模式为UTM模式。
2.&USG& system-view
[USG] runmode utm
切换运行模式需要重启设备后才生效。请根据系统提示操作,推荐选择保存配置后重启。
3.配置USG基本数据。
# 配置接口GigabitEthernet 0/0/1的IP地址。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip address 10.10.10.1 24
[USG-GigabitEthernet0/0/1] quit
# 配置接口GigabitEthernet 0/0/2的IP地址。
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] ip address 30.1.1.1 24
[USG-GigabitEthernet0/0/2] quit
# 配置接口加入安全区域。
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/1
[USG-zone-trust] quit
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/2
[USG-zone-untrust] quit
# 配置缺省路由。下一跳地址为Internet上与USG直接相连的路由器接口的IP地址。
[USG] ip route-static 0.0.0.0 0 30.1.1.2
4.配置URL过滤基本参数。
# 启用URL过滤功能。
[USG] url-filter enable
# 配置Web推送页面。
[USG] http-access notification text Sorry,You are not authorized to access the URL!
5.配置公共模式组。
a.# 创建URL模式组bt,将bt.com、bitcom.net加入到公共模式组中,匹配方式为任意匹配。
b.[USG] pattern-group bt type url
c.[USG-pattern-group-url-bt] pattern any bt.com
d.[USG-pattern-group-url-bt] pattern any bitcom.net
e.[USG-pattern-group-url-bt] quit
f.# 创建URL模式组study,将info.com、learn.net加入到公共模式组中,匹配方式为任意匹配。
g.[USG] pattern-group study type url
h.[USG-pattern-group-url-study] pattern any info.com
i.[USG-pattern-group-url-study] pattern any learn.net
j.[USG-pattern-group-url-study] quit
k.创建关键字公共模式组search,将关键字film、movie加入到公共模式组中。
l.[USG] pattern-group search type keyword
m.[USG-pattern-group-keyword-search] pattern film
n.[USG-pattern-group-keyword-search] pattern movie
o.[USG-pattern-group-keyword-search] quit
p.创建文件扩展名公共模式组download,将关键字AVI、MP4加入到公共模式组中。
q.[USG] pattern-group download type file-extension
r.[USG-pattern-group-fe-download] pattern avi
s.[USG-pattern-group-fe-download] pattern mp4
t.[USG-pattern-group-fe-download] quit
u.提交公共模式组,提交后公共模式组才真正生效。
[USG] pattern configure commit
6.配置预定义分类。
a.配置DNS,用来解析安全服务中心的域名。
# 启用DNS解析功能。
[USG] dns resolve
# 配置DNS服务器的IP地址。
[USG] dns server 202.118.66.6
b.配置国家信息。
[USG] country CN
请仔细阅读弹出的声明,并在所适用法律法规允许的目的和范围内启用URL过滤预定义分类远程查询功能。不配置国家信息或配置不属于设备所在地的国家信息时,禁用URL预定义分类远程查询功能。
c.配置安全服务中心。
[USG] security server domain sec.huawei.com
当从安全服务中心获取预定义分类之后,执行命令display url-filter category pre-defined,查看并记录新闻类、P2P类网站的ID。本例中新闻类的ID为18,P2P类的ID为1。
7.配置时间对象。
8.[USG] time-range time1 8:00 to 18:00 daily
9.配置URL过滤策略。
如果是第一次配置,黑白名单过滤、预定义分类过滤和自定义分类过滤缺省情况下都已经启用,自定义分类和预定义分类的控制动作都是允许。如果不是第一次配置可以根据需要选择性的执行下面启用黑白名单过滤、预定义分类过滤和自定义分类过滤功能的命令。
# urlpolicy1启用预定义分类、禁止新闻类网站和P2P网站。
[USG] url-filter policy urlpolicy1
[USG-urlfilter-policy-urlpolicy1] category pre-defined enable
[USG-urlfilter-policy-urlpolicy1] category pre-defined id 18 action deny
[USG-urlfilter-policy-urlpolicy1] category pre-defined id 1 action deny
[USG-urlfilter-policy-urlpolicy1] quit
# urlpolicy3启用黑白名单,引用公共模式组bt和study。
[USG] url-filter policy urlpolicy3
[USG-urlfilter-policy-urlpolicy3] blacklist enable
[USG-urlfilter-policy-urlpolicy3] whitelist enable
[USG-urlfilter-policy-urlpolicy3] blacklist group bt
[USG-urlfilter-policy-urlpolicy3] whitelist group study
[USG-urlfilter-policy-urlpolicy3] quit
10.配置Web过滤策略,引用配置的URL过滤策略。
# 创建Web过滤策略webpolicy1,引用URL过滤策略urlpolicy1。
[USG] web-filter policy webpolicy1
[USG-web-filter-policy-webpolicy1] policy url-filter urlpolicy1
[USG-web-filter-policy-webpolicy1] quit
# 创建Web过滤策略webpolicy2,在Web过滤策略中实现搜索控制。
[USG] web-filter policy webpolicy2
[USG-web-filter-policy-webpolicy2] sek-filter enable
[USG-web-filter-policy-webpolicy2] sek-filter group search action block
[USG-web-filter-policy-webpolicy2] quit
# 创建Web过滤策略webpolicy3,引用URL过滤策略urlpolicy3。
[USG] web-filter policy webpolicy3
[USG-web-filter-policy-webpolicy3] policy url-filter urlpolicy3
# 在webpolicy3上启用Web内容过滤,实现下载控制。
[USG-web-filter-policy-webpolicy3] web-content enable
[USG-web-filter-policy-webpolicy3] web-content download file-extension group download action block
[USG-web-filter-policy-webpolicy3] quit
11.将Web过滤策略应用于安全区域Trust与Untrust之间,实现精确管理员工上网行为的目的。
缺省情况下,越先配置的策略,优先级越高,越先匹配报文。已经匹配的报文不再进行后续匹配。
由于URL访问的连接一般是由内网PC发起的,所以Web过滤策略应用在Trust到Untrust的Outbound方向。
[USG] policy interzone trust untrust outbound
[USG-policy-interzone-trust-untrust-outbound] policy 1
[USG-policy-interzone-trust-untrust-outbound-1] action permit
[USG-policy-interzone-trust-untrust-outbound-1] policy source range 10.10.10.10 10.10.10.100
[USG-policy-interzone-trust-untrust-outbound-1] policy time-range time1
[USG-policy-interzone-trust-untrust-outbound-1] policy web-filter webpolicy1
[USG-policy-interzone-trust-untrust-outbound-1] quit
[USG-policy-interzone-trust-untrust-outbound] policy 2
[USG-policy-interzone-trust-untrust-outbound-2] action permit
[USG-policy-interzone-trust-untrust-outbound-2] policy source range 10.10.10.101 10.10.10.200
[USG-policy-interzone-trust-untrust-outbound-2] policy time-range time1
[USG-policy-interzone-trust-untrust-outbound-2] policy web-filter webpolicy2
[USG-policy-interzone-trust-untrust-outbound-2] quit
[USG-policy-interzone-trust-untrust-outbound] policy 3
[USG-policy-interzone-trust-untrust-outbound-3] action permit
[USG-policy-interzone-trust-untrust-outbound-3] policy source any
[USG-policy-interzone-trust-untrust-outbound-3] policy web-filter webpolicy3
以下结果表示配置成功:
·企业所有员工可以访问包含info.com或learn.net的网站;所有员工不可以访问包含bt.com或bitcom.net的网站。
·企业所有员工不可以下载视频文件(文件类型为AVI、MP4)。
·研发员工在每天的08:00~18:00不可以访问新闻类网站、P2P类网站。
·非研发员工在每天08:00~18:00不可以对电影类关键字(film、movie)进行搜索。
·当员工访问的URL被阻止时,在员工的浏览器内显示Web推送页面:“Sorry, You are not authorized to access the URL!”。
sysname USG
dns resolve
dns server 202.118.66.6
runmode utm
time-range time1 08:00 to 18:00 daily
http-access notification text Sorry,You are not authorized to access the URL!
url-filter blacklist group bt
url-filter whitelist group study
security server domain sec.huawei.com
interface GigabitEthernet0/0/1
ip address 10.10.10.1 255.255.255.0
interface GigabitEthernet0/0/2
ip address 30.1.1.1 255.255.255.0
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/1
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/2
ip route-static 0.0.0.0 0.0.0.0 30.1.1.2
pattern-group bt type url
pattern any bt.com
pattern any bitcom.net
pattern-group study type url
pattern any info.com
pattern any learn.net
pattern-group search type keyword
pattern film
pattern movie
pattern-group download type file-extension
pattern avi
pattern mp4
url-filter policy urlpolicy1
category pre-defined id 1 action deny
category pre-defined id 18 action deny
url-filter policy urlpolicy3
blacklist enable
whitelist enable
blacklist group bt
whitelist group study
web-filter policy webpolicy1
policy url-filter urlpolicy1
web-filter policy webpolicy2
sek-filter enable
sek-filter group search action block
web-filter policy webpolicy3
policy url-filter urlpolicy3
web-content enable
web-content download file-extension group download action block
policy interzone trust untrust outbound
& action permit
& policy time-range time1
& policy source range 10.10.10.10 10.10.10.100
& policy web-filter webpolicy1
& action permit
& policy time-range time1
& policy source range 10.10.10.101 10.10.10.200
& policy web-filter webpolicy2
& action permit
& policy web-filter webpolicy3
学习了解一下!
* 是否包含第三方商业秘密:
第三方商业秘密
第三方商业秘密是指第三方不为公众所知悉、具有商业价值并经权利人采取保密措施的技术信息和经营信息,包括但不限于:产品的价格信息、路标规划、商务授权、核心算法和源代码等。如有疑问,请联系:e.(各社区公共邮箱)。
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
`@trans`drinking_poetry`~trans`
`@trans`drinking_poetry_des`~trans`查看:4788|回复:2
初级工程师
华为USG2210想设置不让用户登录某些网站,例如就不想让用户登录新浪网站
助理工程师
可以做url 过滤。。。用web方式来配置,相对简单
企业员工可以访问网站。企业员工不可以访问网站。企业员工在每天的08:00~18:00不可以访问新闻类网站、P2P类网站、体育类网站和。当用户访问的URL被阻止时,在用户的浏览器内显示Web推送页面:“Sorry,You are not authorized to access the URL!”。配置思路URL过滤的配置思路如下:配置接口的基本数据,包括:IP地址、接口加入安全区域和缺省路由。配置运行模式为UTM模式。配置URL过滤的全局参数,包括:启用URL过滤功能、配置Web推送页面和URL过滤的默认访问控制动作为允许。将“”列入白名单,允许所有员工进行访问;将“”列入黑名单,禁止所有用户访问。配置DNS,用来解析安全服务中心的IP地址。配置安全服务中心,用来获取预定义分类。本例中新闻类、P2P类、体育类的网站可以通过预定义分类来进行URL过滤控制。配置自定义分类UC:user,包含关键字的URL将列入UC:user分类。配置时间对象,满足在时间段内的URL控制需求。配置URL过滤策略。将URL过滤策略应用于安全区域Trust与Untrust之间,并通过引用时间对象,达到控制用户上网的目的。配置脚本
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
sysname USG& && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
runmode utm& && && && && && && && && && && && && && && && && && && && && && &&&
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
url-filter notification Sorry,You are not authorized to access the URL!& && &&&
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
url-filter whitelist id 1 keyword & && && && && && && && &&&
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
url-filter blacklist id 1 keyword & && && && && && && && && && && &&&
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && &
security server domain sec.huawei.com& && && && && && && && && && && && && && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
interface Vlanif2& && && && && && && && && && && && && && && && && && && && && &
ip address 10.10.10.1 255.255.255.0& && && && && && && && && && && && && && &&&
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
interface Ethernet0/0/0& && && && && && && && && && && && && && && && && && && &
ip address 30.1.1.1 255.255.255.0& && && && && && && && && && && && && && && && && && && && && && && && && && && && && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
interface Ethernet1/0/0& && && && && && && && && && && && && && && && && && && &
port access vlan 2& && && && && && && && && && && && && && && && && && && && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
firewall zone trust& && && && && && && && && && && && && && && && && && && && &
set priority 85& && && && && && && && && && && && && && && && && && && && && &
add interface Vlanif2& && && && && && && && && && && && && && && && && && && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
firewall zone untrust& && && && && && && && && && && && && && && && && && && &&&
set priority 5& && && && && && && && && && && && && && && && && && && && && &&&
add interface Ethernet0/0/0& &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
ip route-static 0.0.0.0 0.0.0.0 30.1.1.2& && && && && && && && && && && &&&
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
url-filter category UC:user& && && && && && && && && && && && && && && && && &
& &url keyword & && && && && && && && && && && && && && && && && &&&
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
url-filter policy urlpolicy1& && && && && && && && && && && && && && && && && &
&&category pre-define id 1 action deny& && && && && && && && && && && && && && &
&&category pre-define id 4 action deny& && && && && && && && && && && && && && &
&&category pre-define id 18 action deny& && && && && && && && && && && && && &&&
&&category user-defined name UC:user action deny& && && && && && && && && && &&&
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
#& && && && && && && && && && && && && && && && && && && && && && && && && && &
policy interzone trust untrust outbound& && && && && && && && && && && && && &&&
policy 1& && && && && && && && && && && && && && && && && && && && && && && &&&
action permit& && && && && && && && && && && && && && && && && && && && && && &
policy time-range time1& && && && && && && && && && && && && && && && && && &&&
policy source range 10.10.10.10 10.10.10.100
policy url-filter urlpolicy1& && && && && && && && && && && &
#& && && && && && && && && && && && && && && &&&
本帖最后由 Cody21 于
22:11 编辑
初级工程师
OK 非常感谢你的回答 太详细了USG防火墙中的URL过滤如何封HTTPS网站_百度知道
USG防火墙中的URL过滤如何封HTTPS网站
我有更好的答案
禁止443端口访问就可以了,这样所有HTTPS网站都打不开了。
为您推荐:
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。}
我要回帖
更多关于 防火墙包过滤规则 的文章
更多推荐
- ·请问单独把孩子户口迁到姥姥家可以入太奶奶户口不?
- ·对于自家孩子的单科成绩,家长怎么做才能让孩子成绩提高们是怎么提升的?
- ·含有什么奶粉含益生菌最多的奶粉不上火吗?
- ·怎样提升孩子对男孩子没有时间观念怎么办重视?
- ·若要介绍别人去仙都旅游要怎么介绍(介绍旅行的英语作文文70词左右)?
- ·kindle型号选择怎么选择适合自己的型号
- ·如何自制家用自制空调清洗剂怎么配
- ·用NET-CAN100隧道适配器本地连接连接隧道适配器本地连接进行无线通讯
- ·TCL 如何利用串口 抓取工具抓取LOG
- ·关于OPPO Find 7 你小程序开发需要几个人知道的几个小故事
- ·为什么这个移动显卡天梯图在梯图找不到
- ·笔记本wifi,教您笔记本无法连接到wifiwifi怎么解决
- ·智能家居带来的好处给我们的生活带来怎样的改变
- ·想把上网京东账号怎么注销注销 怎么就那么难
- ·你无法想象美国最落后的州的火车到底有多落后,这到底是为啥
- ·网络投票 你怎么看泛滥 你有困扰吗
- ·大学生消费水平如何控制自己的消费欲望
- ·读《中华成语故事·愚公移山的故事50字》有感400字
- ·linux文件窗口如何安装中文输入法
- ·USG包过滤防火墙规则详解中的URL过滤如何封HTTPS网站
- ·智慧式用电安全管理系统有什么优势
- ·洗碗废水,餐厨废水处理规范怎么处理您知道
- ·科目一科目二考试要注意什么这几点,否则可能直接导致挂科
- ·田移动2移动三根火柴让燕子他变成6个正方形
- ·不要如何把黄瓜切成菱形片,我不是存钱罐是什么意思污段子
- ·对初中物理课堂教学有效性的思考几点思考
- ·山川什么存四字成语:描写祖国山川的诗句四字词语有哪些
- ·求助,希望大家可以国光帮帮忙2017
- ·ESPN专家:火箭队夺冠如何交易才能夺冠
- ·雅思阅读难度3篇文章难度有差异么
- ·幼儿园适合用太阳能超导地热采暖采暖吗?
- ·常用商务英语口语语培训班该如何选
- ·高中有机化学在线课程家教如何设置课程
- ·将MOOC运用于传统课堂和慕课教学的几点建议
- ·gta5正义使者怎么改装 怎么完成
