URL功能中的“自定义分类”和“黑名单和白名单”的区别.

发布时间:  2012-07-20 浏览次数:  110 下载次数:  0
问题描述

组网:

内网―――――usg2210v1r5)―――――公网

用户描述:

用户内网有几个部门要对这几个部门的员工上网权限进行限制。比如:财务部只能访问百度,并且不能访问其他的网站。生产部不能够访问百度,但能访问其他的网站;对全部员工的上网行为进行限制,对领导的上网行为却不做限制。等等的需求。

告警信息
处理过程
实现过程:
 

二.创建url-filter的配置自定义分类名称:UC。

[USG5360]url-filter category UC:baidu [USG5360-urlfilter-category-UC:baidu]url keyword baidu

二.以“百度”为例允许访问百度,不允许访问百度.(用来配置在域间应用URL过滤策略)
[USG5360]url-filter policy abc ---其他网站能访问,但百度不能被访问.
[USG5360-urlfilter-policy-abc]category user-defined name UC:baidu action Deny
[USG5360-urlfilter-policy-xyz]category user-defined name uc:baidu action permit
[USG5360-urlfilter-policy-xyz]category pre-defined action deny
[USG5360-urlfilter-policy-xyz]dis url-filter policy xyz ---其他网站不能被访问,但百度能被访问.
==================================================================
类别ID 类别名称 动作
------------------------------------------------------------------
1 P2P Deny
2 Downloading Deny
60001 UC:baidu Permit ----允许
-----------------------------------------------------
[USG5360-urlfilter-policy-xyz] dis url-filter policy abc
==================================================================
类别ID 类别名称 动作
------------------------------------------------------------------
1 P2P Permit
2 Downloading Permit
60001 UC:baidu Deny ---拒绝
-----------------------------------------------------
匹配方式:关键字匹配
三.应用:将URL过滤策略应用于安全区域Trust与Untrust之间,实现精确管理用户上网行为的目的
[USG5360-policy-interzone-trust-untrust-outbound]policy 10
[USG5360-policy-interzone-trust-untrust-outbound-10]policy source 192.168.45.0 0.0.0.255
[USG5360-policy-interzone-trust-untrust-outbound-10]policy url-filter abc
[USG5360-policy-interzone-trust-untrust-outbound-10]action permit
[USG5360-policy-interzone-trust-untrust-outbound]policy 20
[USG5360-policy-interzone-trust-untrust-outbound-20]policy source 192.168.46.0 0.0.0.255
[USG5360-policy-interzone-trust-untrust-outbound-20]policy url-filter xyz
[USG5360-policy-interzone-trust-untrust-outbound-20]action permit
根因

怎么来满足需求呢?

用传统方式ACL来做?当然不能实现。

用防火墙的URL过滤功能就能实现。比如:1.URL功能中的配置开放特殊用户所有上网权限及配置豁免IP”,就能实现对领导的上网行为却不做限制的需求。2.URL功能中的黑名单和白名单就能实现对对全部员工的上网行为进行限制的功能。3.要实现:财务部只能访问百度,并且不能访问其他的网站。生产部不能够访问百度,但能访问其他的网站的需求。用黑名单和白名单实现不了。URL功能的“自定义分类”

财务部和生产部的网段,分别是192.168.45.0/24192.3168.46.0/24

建议与总结
建议:“财务部只能访问百度,并且不能访问其他的网站。生产部不能够访问百度,但能访问其他的网站”的需求。用“黑名单和白名单”实现不了。URL功能的“自定义分类”.

END