- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
44-全局白名單
本章節下載: 44-全局白名單 (397.06 KB)
當前的網絡環境中,出於信息安全的考慮對用戶上網的數據進行控製和審計的限製;但是存在一些特權的用戶(高層領導、特權管理員),他們不希望自己上網的數據被限製或者被審計;全局白名單可以針對特殊用戶排除這些繁瑣的策略審計,實現數據全放通。
本功能具有如下功能點:
· 支持對源IP地址配置(包括主機地址、網段地址、地址範圍)配置白名單;
· 支持對源MAC地址配置白名單;
· 該功能支持IPv4/IPv6的使用場景。
通過菜單“策略配置 > 全局白名單”,進入如圖1-1所示頁麵。在該頁麵上可以查看已配置的全局白名單信息,各個顯示項含義如表1-1所示。
|
標題項 |
說明 |
|
名稱 |
全局白名單策略的名稱,必填項。 |
|
地址 |
配置全局白名單的地址,可支持配置IP地址和MAC地址兩種方式。 |
|
描述 |
全局白名單策略的描述,選填項。 |
|
狀態 |
全局白名單策略的狀態分啟用和禁用兩種狀態。 |
|
操作 |
操作選項可以對全局白名單策略執行編輯修改描述、地址、狀態操作,也可以刪除單條全局白名單策略操作。 |
點擊圖1-1的<新建>按鈕,可以進入全局白名單配置界麵,如圖1-2所示。各個配置項的含義如表1-2所示。
|
標題項 |
說明 |
|
啟用 |
全局白名單策略是否啟用,勾選表示啟用,不勾選表示禁用。 |
|
名稱 |
全局白名單策略的名稱,必填項。 |
|
描述 |
全局白名單策略的描述,選填項。 |
|
地址 |
配置全局白名單的地址,可支持配置IP地址和MAC地址兩種方式。 |
· 全局白名單隻對會話中的源IP、源MAC進行匹配。
· 配置全局白名單的用戶僅做會話識別,不做其它控製策略。
測試終端通過設備訪問外網資源,設備對測試終端所有用戶(圖中測試終端PC除外)訪問外網資源進行審計並對終端訪問外網要優先進行WEB認證,以及工作時間禁止使用即時通訊軟件。
· 測試終端和設備網絡可達。
· 設備上用戶識別範圍包含測試終端所在網段。
圖1-3 全局白名單組網圖
(1) 配置用戶識別範圍。如圖1-4所示。
(2) 配置審計策略。如圖1-5所示。
(3) 配置控製策略。如圖1-6所示。
(4) 配置認證策略。如圖1-7所示。
(5) 配置全局白名單,如圖1-8所示。
配置完成後,在白名單用戶測試PC(20.1.1.21)上訪問外網不需要經過認證即可上網,且上網訪問的記錄將不會進行審計,工作時間登錄qq也是正常的。
在其它非白名單用戶終端(20.1.1.10)上訪問外網首先需要進行認證才能訪問外網,且訪問外網的相關記錄設備上可以進行審計,工作時間登錄qq被阻斷。
(1) 非白名單用戶訪問外網需要優先進行認證,如圖1-9所示。
(2) 非白名單用戶瀏覽網頁審計記錄正常,如圖1-10所示。
(3) 非白名單用戶即時通訊軟件阻斷正常,如圖1-11所示。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
