usg6000安全策略配置(doc41页).docx
- 格式:docx
- 大小:387.16 KB
- 文档页数:43
配置反病毒
在企业网关设备上应用反病毒特性,保护内部网络用户和服务器免受病毒威胁。
组网需求
某公司在网络边界处部署了NGFW作为安全网关。内网用户需要通过Web服务器和POP3服务器下载文件和邮件,内网FTP服务器需要接收外网用户上传的文件。公司利用NGFW提供的反病毒功能阻止病毒文件在这些过程中进入受保护网络,保障内网用户和服务器的安全。网络环境如图1所示。
其中,由于公司使用Netease邮箱作为工作邮箱,为了保证工作邮件的正常收发,需要放行Netease邮箱的所有邮件。另外,内网用户在通过Web服务器下载某重要软件时失败,排查发现该软件因被NGFW判定为病毒而被阻断(病毒ID为8000),考虑到该软件的重要性和对该软件来源的信任,管理员决定临时放行该类病毒文件,以使用户可以成功下载该软件。
图1 配置反病毒组网图
配置思路
1. 配置接口IP地址和安全区域,完成网络基本参数配置。
2. 配置两个反病毒配置文件,一个反病毒配置文件针对HTTP和POP3协议设置匹配条件和响应动作,并在该配置文件中配置Netease邮箱的应用例外和病毒ID为8000的病毒例外,另外一个反病毒配置文件针对FTP协议设置匹配条件和响应动作。
3. 配置安全策略,在Trust到Untrust和DMZ到Untrust方向分别引用反病毒配置文件,实现组网需求。 操作步骤
1. 配置接口IP地址和安全区域,完成网络基本参数配置。
a. 选择“网络 > 接口”。
b. 单击GE1/0/1,按如下参数配置。
安全区域 untrust
IPv4
IP地址 1.1.1.1/24
c. 单击“确定”。
d. 参考上述步骤按如下参数配置GE1/0/2接口。
安全区域 dmz
IPv4
IP地址 10.2.0.1/24
e. 参考上述步骤按如下参数配置GE1/0/3接口。
安全区域 trust
IPv4
IP地址 10.3.0.1/24
2. 配置反病毒配置文件。
a. 选择“对象 > 安全配置文件 > 反病毒”。
b. 单击“新建”,按下图完成针对HTTP和POP3协议的配置。 c. 单击“确定”。
d. 参考上述步骤按如下参数完成针对FTP协议的配置。 3. 配置内网用户到外网服务器方向(Trust到Untrust方向)的安全策略。
a. 选择“策略 > 安全策略 > 安全策略”。
b. 单击“新建”。
c. 在“新建安全策略”中应用反病毒配置文件。参数配置如下。
名称 policy_av_1
描述 Intranet-User
源安全区域 trust
目的安全区域 untrust
动作 permit
内容安全
反病毒
AV_http_pop3
d. 单击“确定”。
4. 配置外网用户到内网服务器方向(Untrust到DMZ方向)的安全策略。
参照内网用户到外网服务器方向安全策略的配置方法,完成安全策略的配置。参数配置如下。
名称 policy_av_2
描述 Intranet-Server
源安全区域 untrust
目的安全区域 dmz
动作 permit 内容安全
反病毒
AV_ftp
5. 单击界面右上角的“保存”,在弹出的对话框中单击“确定”。
配置URL过滤
在NGFW上配置URL过滤功能,对用户访问的URL进行控制,允许或禁止用户访问某些网页资源。
组网需求
如图1所示,NGFW作为企业网关部署在网络边界,对用户发出访问外部网络的HTTP和HTTPS请求进行URL过滤。
公司有研发部门员工和市场部门员工两类,具体需求如下:
企业所有员工可以访问包含education的网站。
企业所有员工不可以访问包含bbs的网站。
研发部门员工在每天的09:00~17:00只可以访问教育/科学类、搜索/门户类网站。其他网站都不能访问。
市场部门员工在每天的09:00~17:00只可以访问教育/科学类、搜索/门户类、社会焦点类网站和。其他网站都不能访问。
图1 配置URL过滤组网图
配置思路
1. 配置接口IP地址和安全区域,完成网络基本参数配置。
2. 配置自定义分类url_userdefine_category,将列入url_userdefine_category分类。
3. 配置分类服务器远程查询,用来获取URL与预定义分类的对应关系。本例中教育/科学类、搜索/门户类、社会焦点类网站可以通过预定义分类来进行URL过滤控制。 4. 针对研发部门员工和市场部门员工,配置两个URL过滤配置文件,将包含关键字bbs的URL列入黑名单,将包含关键字education的URL列入白名单。并设置URL自定义分类和预定义分类的控制动作。
5. 配置两个安全策略,引用时间段、用户组等信息,实现针对不同用户组和不同时间段的URL访问控制策略。
操作步骤
1. 配置接口IP地址和安全区域,完成网络基本参数配置。
a. 选择“网络 > 接口”。
b. 单击GE1/0/1对应的,按如下参数配置。
安全区域 trust
IPv4
IP地址 10.3.0.1/24
c. 单击“完成”。
d. 参考上述步骤按如下参数配置GE1/0/2接口。
安全区域 untrust
IPv4
IP地址 1.1.1.1/24
2. 配置URL自定义分类。
a. 选择“对象 > URL分类”。
b. 单击“新建”,按如下参数配置。
名称 url_userdefine_category
描述 url userdefine category of accessURL
c. 单击“确定”。
3. 配置URL分类服务器。
a. 选择“对象 > 安全配置文件 > URL过滤”。
b. 单击“配置”,配置URL分类服务器,按如下参数配置。
查询方式 远程
国家 中国
安全服务中心
超时时间 3
超时后动作 允许
c. 单击“确定”。
d. 单击“接受”。
4. 配置URL过滤配置文件。
a. 选择“对象 > 安全配置文件 > URL过滤”。
b. 在“URL过滤配置文件”中,单击“新建”,按如下参数配置。
名称 profile_url_1
描述 URL filter profile of web access
缺省动作 允许
白名单 *education*
黑名单 *bbs* SSL解密 启用
URL过滤级别 选择“自定义”:将预定义分类“教育配置为阻断。
说明:
为了使配置简单化,配置上述动作时,选择“自定义”后,选中第一行“名称“阻断”,然后再配置上述两个预定义c. 单击“确定”。
d. 在“URL过滤配置文件”中,单击“新建”,按如下参数配置。
名称 profile_url_2
描述 URL filter profile of web access
缺省动作 允许
白名单 *education*
黑名单 *bbs*
SSL解密 启用
URL过滤级别 选择“自定义”:将预定义分类“教育“url_userdefine_category”的动作说明:
为了使配置简单化,配置上述动作时,选择“自定义”后,选中第一行“名称“阻断”,然后再配置上述三个预定义e. 单击“确定”。
5. 配置时间段。
a. 选择“对象 > 时间段”。
b. 单击“新建”,按如下参数配置名为“time_range”的时间段。 名称
time_range
类型 周期时间段
开始时间 09:00
结束时间 17:00
每周生效时间 星期一、星期二、星期三、星期四、星c. 单击“确定”。
6. 在安全策略中应用URL过滤配置文件。
说明:
本例中引用到的用户组research(研发部门员工)和用户组marketing(市场部门员工)假设已经创建完成。
a. 选择“策略 > 安全策略 > 安全策略”。
b. 单击“新建”,按如下参数配置。关于安全策略的更多信息,请参见安全策略。
名称 policy_sec_1
描述 Security policy of web access pro源安全区域 trust
目的安全区域 untrust
用户 /research
时间段 time_range
动作 permit 内容安全
URL过滤 profile_url_1
c. 单击“确定”。
d. 单击“新建”,按如下参数配置。关于安全策略的更多信息,请参见安全策略。
名称 policy_sec_2
描述 Security policy of web access pro源安全区域 trust
目的安全区域 untrust
用户 /marketing
时间段 time_range
动作 permit
内容安全
URL过滤 profile_url_2
e. 单击“确定”。
举例:配置文件过滤
在企业网关配置文件过滤后,可以降低内部网络感染病毒的风险,还可以防止员工将公司机密文件泄露到互联网。
组网需求 如图1所示,某公司在网络边界处部署了NGFW作为安全网关。公司希望在保证网络能够正常使用的同时实现以下需求:
为了防止公司机密文件的泄露,禁止员工上传常见文档文件、开发文件(C、CPP、JAVA)以及压缩文件到内网服务器和Internet。
为了降低病毒进入公司内部的风险,禁止员工从Internet下载可执行文件以及Internet用户上传可执行文件到内网服务器。
为了保证员工的工作效率,禁止员工从Internet下载视频类文件。
图1 文件过滤组网图
数据规划
说明:
本举例的用户已经存在于NGFW中,并且已经完成了认证的配置。
项目 数据
policy_sec_user1 名称:policy_sec_user1
源安全区域:trust
目的安全区域:untrust
用户:user
动作:允许
文件过滤:profile_file_user1 安配文policy_sec_user2 名称:policy_sec_user2
源安全区域:trust 安滤