AR2200路由器利用ACL匹配内网用户URL过滤规范上网行为因为不生效

发布时间:  2016-01-07 浏览次数:  586 下载次数:  0
问题描述
客户对内网172.16.6.0/24网段的用户配置url过滤规范上网行为不能访问www.pipi.cn,结果不生效,经过定位找出原因是acl中只匹配了出去的流
量,没有匹配进来时的流量,在URL过滤模板调用ACL时没有起到匹配限制内网用户的数据流而导致阻断失败。
处理过程

首先检查客户是否已经加载license,因为URL过滤需要license授权,经过检查客户是有加载安全业务增值包的。

然后检查配置,是否有开启深度安全防御功能,检查发现客户也是开启的。

产品文档的案例中与客户配置不同的地方就是客户在安全策略绑定URL过滤模板时有调用匹配内网用户地址段的ACL,检查ACL规则发现客户只配置了匹配源地址是内网用户地址段的规则,。


这里还应该在ACL中配置基于目的地址的匹配规则



解决方案

找到问题原因后,帮助客户进行了配置修改。

建议与总结
这个案例的经典之处就在于:对内网用户限制上网还要配置基于目的地址的ACL,在处理安全业务应用的类似故障案例时可以作为一个参考。

END