FAQ-USG6300防火墙设备部署URL过滤www.facebook.com失败

发布时间:  2015-05-14 浏览次数:  290 下载次数:  0
问题描述

如图:

 


 

 

该项目针对防火墙部署的架构比较简单,网络连通性方面没有问题。根据客户要求配置URL过滤facebook,配置如下:

url-filter category user-defined name noface_cat

 add url www.facebook.com

 add url facebook.pt

 add url facebook.com

#

profile type url-filter name nofacebook

 add blacklist url *facebook*

 add blacklist url *www.facebook.com*

 add blacklist url www.facebook.com

 add blacklist url facebook

 category pre-defined control-level high

 category user-defined name noface_cat action block

 default action block

 

security-policy

 rule name NoFacebook

  description App Do Facebook

  policy logging

  session logging

  application app Facebook

  action permit

 rule name BlockSiteFacebook

  description BlockSiteFacebook

  policy logging

  session logging

  source-zone trust

  destination-zone untrust

  profile url-filter nofacebook

  action permit

rule name Saida

  policy logging

  source-zone trust

  destination-zone untrust

  profile av default

  profile ips default

  profile url-filter default

  action permit

 rule name Entrada

  policy logging

  source-zone untrust

  destination-zone trust

  profile av default

  profile ips default

  profile url-filter default

  action permit

 rule name BypassDetect

  policy logging

  source-zone untrust

  destination-zone untrust

  profile av default

  profile ips default

  action permit

 

进行了多次测试,发现使用display profile type url-filter命令查看URL过滤配置文件的信息时,测试的流量可以hit到配置的URL策略上。但是客户依然可以访问facebook
解决方案

在咨询相关专家后,告知为当前使用的C20版本对facebook不生效,建议升级到C30版本后再进行测试。执行以下操作:
 

1、  USG6300版本由之前的C20版本升级到V100R001C30版本。
 

2、  在原配置基础上添加以下配置:

proxy-policy

rule name "ssl decryption policy 1"

source-zone trust                     #配置代理策略规则的源安全区域

destination-zone untrust        #配置代理策略规则的目的安全区域

source-address x.x.x.x             #内网IP网段

action ssl-decypt

END