Profile组配置举例

该节提供Profile配置实例。

某企业通过安全网关接入Internet，接口ethernet0/0属于untrust安全域，接入Internet；ethernet0/1属于trust安全域，连接内网。需要通过安全网关对内网用户进行以下行为控制：

• 禁止内网用户登录腾讯QQ；
• 允许内网用户登录MSN，但禁止使用MSN进行文件传输；
• 禁止内网用户下载EXE类型二进制文件。

组网图如下：

请按照以下步骤进行配置：

第一步：配置设备接口。

1. 访问“网络接口”，进入接口列表页面。
2. 点击接口列表中ethernet0/0相对应的『编辑』按钮，进入接口基本配置页面。具体配置信息如下：

• 接口名：ethernet0/0
• 安全域类型：三层安全域
• 安全域：从下拉菜单中选择“untrust”

3. 点击『确定』按钮保存所做配置并返回主配置页面。
4. 点击接口列表中ethernet0/1相对应的『编辑』按钮，进入接口基本配置页面。具体配置信息如下：

• 接口名：ethernet0/1
• 安全域类型：三层安全域
• 安全域：从下拉菜单中选择“trust”
• IP类型：静态IP
• IP/网络掩码：192.168.1.1/24

5. 点击『确定』按钮。

第二步：创建名称为im的行为Profile，阻断腾讯QQ的登录行为，允许MSN登录行为，但阻断MSN的文件传输行为。

1. 点击“应用行为控制”，进入行为Profile列表页面。
2. 点击<行为Profile列表>部分的『新建』按钮，进入行为Profile配置页面。具体配置信息如下：

• 行为Profile名称：im
• MSN：在<登录行为>下拉菜单中选择“允许”，并在<文件传输行为>下拉菜单中选择“拒绝”
• 腾讯QQ：在<登录行为>下拉菜单中选择“拒绝”

3. 点击『确定』按钮。

第三步：创建名称为exe的HTTP Profile，禁止用户下载EXE类型的二进制文件。

1. 点击“应用HTTP控制”，进入HTTP Profile列表页面。
2. 点击<HTTP Profile列表>部分的『新建』按钮，进入HTTP Profile配置页面。具体配置信息如下：

• Profile名称：exe
• EXE：在下拉菜单中选择“拒绝”

3. 点击『确定』按钮。

第四步：创建名称为work-area的Profile组，并添加im和exe两个Profile到该Profile组。

1. 点击“应用Profile组”，进入Profile组列表页面。
2. 点击<Profile组列表>部分的『新建』按钮，进入Profile组配置页面。
3. 在<名称>文本框中输入work-area。
4. 在<可用成员>框内选择im和exe，点击右键头，im Profile和exe Profile显示到<组成员>中。
5. 点击『确定』按钮。

第五步：配置策略规则，在规则中引用work-area Profile组，使其生效。

1. 访问“防火墙策略”，进入策略列表页面。
2. 在策略列表<源安全域>下拉菜单中选中“trust”，<目的安全域>下拉菜单中选中“untrust”，并点击『新建』按钮，主窗口显示策略基本配置选项。具体配置信息如下：

• 源安全域：trust
• 源地址：Any
• 目的安全域：untrust
• 目的地址：Any
• 服务簿：点击『多个』按钮，添加“QQ*、MSN*、HTTP*”到服务簿
• 行为：允许

3. 点击『确定』按钮返回策略列表页面。系统分配该策略条目的ID为2。
4. 点击该策略条目相应的『编辑』按钮，进入策略高级配置（ID=2）页面。在<Profile组>下拉菜单中选择work-area。
5. 点击『确定』按钮返回策略列表页面。
6. 在策略列表<源安全域>下拉菜单中选中“trust”，<目的安全域>下拉菜单中选中“untrust”，并点击『新建』按钮，主窗口显示策略基本配置选项。具体配置信息如下：

• 源安全域：trust
• 源地址：Any
• 目的安全域：untrust
• 目的地址：Any
• 服务簿：Any
• 行为：允许

7. 点击『确定』按钮。系统分配该策略条目的ID为3。