USG6000安全策略配置（DOC41页）

配置反病毒在企业网关设备上应用反病毒特性，保护内部网络用户和服务器免受病毒威胁。组网需求某公司在网络边界处部署了NGFW作为安全网关。内网用户需要通过Web服务器和POP3服务器下载文件和邮件，内网FTP服务器需要接收外网用户上传的文件。公司利用NGFW提供的反病毒功能阻止病毒文件在这些过程中进入受保护网络，保障内网用户和服务器的安全。网络环境如图1所示。其中，由于公司使用Netease邮箱作为工作邮箱，为了保证工作邮件的正常收发，需要放行Netease邮箱的所有邮件。另外，内网用户在通过Web服务器下载某重要软件时失败，排查发现该软件因被NGFW判定为病毒而被阻断（病毒ID为8000），考虑到该软件的重要性和对该软件来源的信任，管理员决定临时放行该类病毒文件，以使用户可以成功下载该软件。图1配置反病毒组网图配置思路1.配置接口IP地址和安全区域，完成网络基本参数配置。2.配置两个反病毒配置文件，一个反病毒配置文件针对HTTP和POP3协议设置匹配条件和响应动作，并在该配置文件中配置Netease邮箱的应用例外和病毒ID为8000的病毒例外，另外一个反病毒配置文件针对FTP协议设置匹配条件和响应动作。3.配置安全策略，在Trust到Untrust和DMZ到Untrust方向分别引用反病毒配置文件，实现组网需求。操作步骤1.配置接口IP地址和安全区域，完成网络基本参数配置。a.选择“网络接口”。b.单击GE1/0/1，按如下参数配置。安全区域untrustIPv4IP地址1.1.1.1/24c.单击“确定”。d.参考上述步骤按如下参数配置GE1/0/2接口。安全区域dmzIPv4IP地址10.2.0.1/24e.参考上述步骤按如下参数配置GE1/0/3接口。安全区域trustIPv4IP地址10.3.0.1/242.配置反病毒配置文件。a.选择“对象安全配置文件反病毒”。b.单击“新建”，按下图完成针对HTTP和POP3协议的配置。c.单击“确定”。d.参考上述步骤按如下参数完成针对FTP协议的配置。3.配置内网用户到外网服务器方向（Trust到Untrust方向）的安全策略。a.选择“策略安全策略安全策略”。b.单击“新建”。c.在“新建安全策略”中应用反病毒配置文件。参数配置如下。名称policy_av_1描述Intranet-User源安全区域trust目的安全区域untrust动作permit内容安全反病毒AV_http_pop3d.单击“确定”。4.配置外网用户到内网服务器方向（Untrust到DMZ方向）的安全策略。参照内网用户到外网服务器方向安全策略的配置方法，完成安全策略的配置。参数配置如下。名称policy_av_2描述Intranet-Server源安全区域untrust目的安全区域dmz动作permit内容安全反病毒AV_ftp5.单击界面右上角的“保存”，在弹出的对话框中单击“确定”。配置URL过滤在NGFW上配置URL过滤功能，对用户访问的URL进行控制，允许或禁止用户访问某些网页资源。组网需求如图1所示，NGFW作为企业网关部署在网络边界，对用户发出访问外部网络的HTTP和HTTPS请求进行URL过滤。公司有研发部门员工和市场部门员工两类，具体需求如下：企业所有员工可以访问包含education的网站。企业所有员工不可以访问包含bbs的网站。研发部门员工在每天的09：00～17：00只可以访问教育/科学类、搜索/门户类网站。其他网站都不能访问。市场部门员工在每天的09：00～17：00只可以访问教育/科学类、搜索/门户类、社会焦点类网站和。其他网站都不能访问。图1配置URL过滤组网图配置思路1.配置接口IP地址和安全区域，完成网络基本参数配置。2.配置自定义分类url_userdefine_category，将分类。3.配置分类服务器远程查询，用来获取URL与预定义分类的对应关系。本例中教育/科学类、搜索/门户类、社会焦点类网站可以通过预定义分类来进行URL过滤控制。4.针对研发部门员工和市场部门员工，配置两个URL过滤配置文件，将包含关键字bbs的URL列入黑名单，将包含关键字education的URL列入白名单。并设置URL自定义分类和预定义分类的控制动作。5.配置两个安全策略，引用时间段、用户组等信息，实现针对不同用户组和不同时间段的URL访问控制策略。操作步骤1.配置接口IP地址和安全区域，完成网络基本参数配置。a.选择“网络接口”。b.单击GE1/0/1对应的，按如下参数配置。安全区域trustIPv4IP地址10.3.0.1/24c.单击“完成”。d.参考上述步骤按如下参数配置GE1/0/2接口。安全区域untrustIPv4IP地址1.1.1.1/242.配置URL自定义分类。a.选择“对象URL分类”。b.单击“新建”，按如下参数配置。名称url_userdefine_category描述urluserdefinecategoryofaccesscontrolformarketing.URL单击“确定”。3.配置URL分类服务器。a.选择“对象安全配置文件URL过滤”。b.单击“配置”，配置URL分类服务器，按如下参数配置。查询方式远程国家中国安全服务中心sec.huawei.com超时时间3超时后动作允许c.单击“确定”。d.单击“接受”。4.配置URL过滤配置文件。a.选择“对象安全配置文件URL过滤”。b.在“URL过滤配置文件”中，单击“新建”，按如下参数配置。名称profile_url_1描述URLfilterprofileofwebaccesscontrolforresearch.缺省动作允许白名单*education*黑名单*bbs*SSL解密启用URL过滤级别选择“自定义”：将预定义分类“教育/科学类”和“搜索/门户类”的动作配置为允许，其他预定义分类的动作配置为阻断。说明：为了使配置简单化，配置上述动作时，可以采取如下操作：选择“自定义”后，选中第一行“名称”右侧对应的动作“阻断”，此时所有自定义和预定义分类的动作都成为“阻断”，然后再配置上述两个预定义分类的动作为“允许”。c.单击“确定”。d.在“URL过滤配置文件”中，单击“新建”，按如下参数配置。名称profile_url_2描述URLfilterprofileofwebaccesscontrolformarketing.缺省动作允许白名单*education*黑名单*bbs*SSL解密启用URL过滤级别选择“自定义”：将预定义分类“教育/科学类”、“搜索/门户类”和“社会焦点类”以及自定义分类“url_userdefine_category”的动作配置为允许，其他预定义分类的动作配置为阻断。说明：为了使配置简单化，配置上述动作时，可以采取如下操作：选择“自定义”后，选中第一行“名称”右侧对应的动作“阻断”，此时所有自定义和预定义分类的动作都成为“阻断”，然后再配置上述三个预定义分类及一个自定义分类的动作为“允许”。e.单击“确定”。5.配置时间段。a.选择“对象时间段”。b.单击“新建”，按如下参数配置名为“time_range”的时间段。名称time_range类型周期时间段开始时间09：00结束时间17：00每周生效时间星期一、星期二、星期三、星期四、星期五、星期六、星期日c.单击“确定”。6.在安全策略中应用URL过滤配置文件。说明：本例中引用到的用户组research（研发部门员工）和用户组marketing（市场部门员工）假设已经创建完成。a.选择“策略安全策略安全策略”。b.单击“新建”，按如下参数配置。关于安全策略的更多信息，请参见安全策略。名称policy_sec_1描述Securitypolicyofwebaccessprotectforresearch.源安全区域trust目的安全区域untrust用户/research时间段time_range动作permit内容安全URL过滤profile_url_1c.单击“确定”。d.单击“新建”，按如下参数配置。关于安全策略的更多信息，请参见安全策略。名称policy_sec_2描述Securitypolicyofwebaccessprotectformarketing.源安全区域trust目的安全区域untrust用户/marketing时间段time_range动作permit内容安全URL过滤profile_url_2e.单击“确定”。举例：配置文件过滤在企业网关配置文件过滤后，可以降低内部网络感染病毒的风险，还可以防止员工将公司机密文件泄露到互联网。组网需求如图1所示，某公司在网络边界处部署了NGFW作为安全网关。公司希望在保证网络能够正常使用的同时实现以下需求：为了防止公司机密文件的泄露，禁止员工上传常见文档文件、开发文件（C、CPP、JAVA）以及压缩文件到内网服务器和Internet。为了降低病毒进入公司内部的风险，禁止员工从Internet下载可执行文件以及Internet用户上传可执行文件到内网服务器。为了保证员工的工作效率，禁止员工从Internet下载视频类文件。图1文件过滤组网图数据规划说明：本举例的用户已经存在于NGFW中，并且已经完成了认证的配置。项目数据说明policy_sec_user1名称：policy_sec_user1源安全区域：trust目的安全区域：untrust用户：user动作：允许文件过滤：profile_file_user1安全策略“policy_sec_user1”的作用是允许公司员工访问Internet，引用文件过滤配置文件“profile_file_user1”可以禁止员工上传常见文档文件、开发文件和压缩文件到Internet以及禁止员工从Internet下载可执行文件和视频文件。policy_sec_user2名称：policy_sec_user2源安全区域：trust安全策略“policy_sec_user2”的作用是允许公司员工访问内网服务器，引用文件过滤配置文件“profile_file_user2”可以禁止员工上传常见文档文件、开发文件以及项目数据说明目的安全区域：dmz目的地址/地区：10.2.0.5/24用户：user动作：允许文件过滤：profile_file_user2压缩文件到内网服务器。policy_sec_internet名称：policy_sec_internet源安全区域：untrust目的安全区域：dmz目的地址/地区：10.2.0.5/24动作：允许文件过滤：profile_file_internet安全策略“policy_sec_internet”的作用是允许Internet用户访问内网服务器，引用文件过滤配置文件“profile_file_internet”可以禁止Internet用户上传可执行文件到内网服务器。profile_file_user1名称：rule1文件类型：文档文件、压缩文件、代码文件方向：上传动作：阻断文件过滤配置文件“profile_file_user1”的规则“rule1”的作用是禁止上传常见文档文件、开发文件以及压缩文件。名称：rule2文件类型：可执行文件、音视频文件方向：下载动作：阻断文件过滤配置文件“profile_file_user1”的规则“rule2”的作用是禁止下载可执行文件、视频和音频文件。profile_file_user2名称：rule1文件类型：文档文件、压缩文件、代码文件方向：上传动作：阻断文件过滤配置文件“profile_file_user2”的规则“rule1”的作用是禁止上传常见文档文件、开发文件以及压缩文件。profile_file_internet名称：