USG6000安全策略配置.docxVIP

配置反病毒 在企业网关设备上应用反病毒特性，保护内部网络用户和服务器免受病毒威胁。 组网需求 某公司在网络边界处部署了NGFW作为安全网关。内网用户需要通过Web服务器和POP3服务器下载文件和邮件，内网FTP服务器需要接收外网用户上传的文件。公司利用NGFW提供的反病毒功能阻止病毒文件在这些过程中进入受保护网络，保障内网用户和服务器的安全。网络环境如 图1所示。 其中，由于公司使用Netease邮箱作为工作邮箱，为了保证工作邮件的正常收发，需要放行Netease邮箱的所有邮件。另外，内网用户在通过Web服务器下载某重要软件时失败，排查发现该软件因被NGFW判定为病毒而被阻断（病毒ID为8000），考虑到该软件的重要性和对该软件来源的信任，管理员决定临时放行该类病毒文件，以使用户可以成功下载该软件。 图1?配置反病毒组网图? 配置思路 配置接口IP地址和安全区域，完成网络基本参数配置。 配置两个反病毒配置文件，一个反病毒配置文件针对HTTP和POP3协议设置匹配条件和响应动作，并在该配置文件中配置Netease邮箱的应用例外和病毒ID为8000的病毒例外，另外一个反病毒配置文件针对FTP协议设置匹配条件和响应动作。 配置安全策略，在Trust到Untrust和DMZ到Untrust方向分别引用反病毒配置文件，实现组网需求。 操作步骤 配置接口IP地址和安全区域，完成网络基本参数配置。 选择“网络??接口”。 单击GE1/0/1，按如下参数配置。 安全区域 untrust IPv4 IP地址 /24 单击“确定”。 参考上述步骤按如下参数配置GE1/0/2接口。 安全区域 dmz IPv4 IP地址 /24 参考上述步骤按如下参数配置GE1/0/3接口。 安全区域 trust IPv4 IP地址 /24 配置反病毒配置文件。 选择“对象??安全配置文件??反病毒”。 单击“新建”，按下图完成针对HTTP和POP3协议的配置。 单击“确定”。 参考上述步骤按如下参数完成针对FTP协议的配置。 配置内网用户到外网服务器方向（Trust到Untrust方向）的安全策略。 选择“策略??安全策略??安全策略”。 单击“新建”。 在“新建安全策略”中应用反病毒配置文件。参数配置如下。 名称 policy_av_1 描述 Intranet-User 源安全区域 trust 目的安全区域 untrust 动作 permit 内容安全 反病毒 AV_http_pop3 单击“确定”。 配置外网用户到内网服务器方向（Untrust到DMZ方向）的安全策略。 参照内网用户到外网服务器方向安全策略的配置方法，完成安全策略的配置。参数配置如下。 名称 policy_av_2 描述 Intranet-Server 源安全区域 untrust 目的安全区域 dmz 动作 permit 内容安全 反病毒 AV_ftp 单击界面右上角的“保存”，在弹出的对话框中单击“确定”。 配置URL过滤 在NGFW上配置URL过滤功能，对用户访问的URL进行控制，允许或禁止用户访问某些网页资源。 组网需求 如 图1所示，NGFW作为企业网关部署在网络边界，对用户发出访问外部网络的HTTP和HTTPS请求进行URL过滤。 公司有研发部门员工和市场部门员工两类，具体需求如下： 企业所有员工可以访问包含education的网站。 企业所有员工不可以访问包含bbs的网站。 研发部门员工在每天的09：00～17：00只可以访问教育/科学类、搜索/门户类网站。其他网站都不能访问。 市场部门员工在每天的09：00～17：00只可以访问教育/科学类、搜索/门户类、社会焦点类网站和。其他网站都不能访问。 图1?配置URL过滤组网图? 配置思路 配置接口IP地址和安全区域，完成网络基本参数配置。 配置自定义分类url_userdefine_category，将列入url_userdefine_category分类。 配置分类服务器远程查询，用来获取URL与预定义分类的对应关系。本例中教育/科学类、搜索/门户类、社会焦点类网站可以通过预定义分类来进行URL过滤控制。 针对研发部门员工和市场部门员工，配置两个URL过滤配置文件，将包含关键字bbs的URL列入黑名单，将包含关键字education的URL列入白名单。并设置URL自定义分类和预定义分类的控制动作。 配置两个安全策略，引用时间段、用户组等信息，实现针对不同用户组和不同时间段的URL访问控制策略。 操作步骤 配置接口IP地址和安全区域，完成网络基本参数配置。 选择“网络??接口”。 单击GE1/0/1对应的，按如下参数配置。 安全区域 trust IPv4 IP地址 /24 单击“完成”。 参考上述步骤按如下参数配置GE1/0/