即时通讯工具控制配置举例

本节提供一个通过上网行为管理功能对即时通讯工具进行控制的配置实例。

某企业通过安全网关接入Internet,接口ethernet0/0属于untrust安全域,接入Internetethernet0/1属于trust安全域,连接内网的研发部门;ethernet0/3属于trust1安全域,连接内网的市场部门。在安全网关上配置上网行为管理策略规则,监控市场部员工(该部分员工对应角色marketing)的MSN聊天内容并进行日志记录。

组网图如下:

关于日志输出部分的配置,请参阅日志配置一节,本节重点介绍上网行为管理策略规则相关配置。进行下列实例配置前,请参阅上网行为管理介绍中的准备工作一节进行配置前的准备。

请按照以下步骤进行配置:

第一步:配置用户、角色以及角色映射规则(以该部门员工user1为例)。

  1. 访问页面“用户用户”。
  2. 在<AAA服务器>下拉菜单中选择“local”,然后点击<用户列表>中的『新建用户』按钮,进入新建用户页面。选项配置如下:
  1. 点击『确认』按钮。
  2. 在<AAA服务器>下拉菜单中选择“local”,并点击<所有用户组>。
  3. 在<用户组列表>部分点击『新建用户组』按钮,进入新建用户组页面。选项配置如下:
  1. 点击『确认』按钮。
  2. 访问页面“用户角色”。
  3. 在<角色列表>部分点击『新角色』按钮,进入新角色配置页面。选项配置如下:
  1. 点击『确认』按钮。
  2. 在<角色列表>部分点击『新角色映射』按钮,进入新角色映射配置页面。选项配置如下:
  1. 点击『添加』按钮。
  2. 点击『关闭』按钮。

第二步:配置本地认证服务器的角色映射规则。

  1. 访问页面“用户AAA服务器”。
  2. 在<AAA服务器列表>栏中,点击AAA服务器local相应的『编辑』按钮,进入AAA服务器配置页面。在<角色映射规则>下拉菜单中选择role-mapping1
  3. 点击『确定』按钮。

第三步:配置接口与安全域。

  1. 访问页面“网络接口”。
  2. 点击接口列表中ethernet0/3相对应的『编辑』按钮,进入接口基本配置页面。选项配置如下:
  1. 点击『确定』按钮。
  2. 点击接口列表中ethernet0/0相对应的『编辑』按钮,进入接口基本配置页面。选项配置如下:
  1. 点击『确定』按钮。

第四步:开启设备的HTTP Web认证功能并且通过策略规则触发Web认证功能。

  1. 访问“网络Web认证”,进入Web认证配置页面。选项配置如下:
  1. 点击『确定』按钮。
  2. 访问页面“防火墙策略”。
  3. 在策略列表<源安全域>下拉菜单中选中“trust”,<目的安全域>下拉菜单中选中“untrust”,并点击『新建』按钮,主窗口显示策略基本配置选项。选项配置如下:
  1. 点击『确定』按钮返回策略列表页面。系统分配该策略条目的ID1
  2. 点击该策略条目相应的『编辑』按钮,进入策略高级配置(ID=1)页面。在<角色>下拉菜单中选择UNKNOWN
  3. 点击『确定』按钮。

第五步:配置允许访问网络的策略规则。

  1. 访问页面“防火墙策略”。
  2. 在策略列表<源安全域>下拉菜单中选中“trust”,<目的安全域>下拉菜单中选中“untrust”,并点击『新建』按钮,主窗口显示策略基本配置选项。选项配置如下:
  1. 点击『确定』按钮返回策略列表页面。系统分配该策略条目的ID2
  2. 点击该策略条目相应的『编辑』按钮,进入策略高级配置(ID=2)页面。在<角色>下拉菜单中选择marketing
  3. 点击『确定』按钮。

第六步:配置上网行为管理策略规则。

  1. 访问页面“上网行为策略”。
  2. 从<目的安全域>下拉菜单选择“untrust”,然后点击『新建』按钮,进入策略规则配置页面。选项配置如下:
  1. 点击策略规则配置页面<菜单>列表中的“即时通讯”选项,在即时通讯列表部分进行如下配置
  1. 点击『确认』按钮。

配置生效后,系统会对市场部员工的MSN聊天行为和内容进行日志记录。