一、组网需求

1、NBR-E作为出口，通过一条静态IP地址上网，内网用户网关在NBR-E的内网口上。配置实现最基本的上网功能；

2、对内网用户访问HTTPS类型网站进行审计且能阻断。

注：11.1(6)B4及以上版本才开始支持https网站域名过滤和审计

二、组网拓扑

 

 

三、配置要点

1. 在简易配置中使用默认审计策略审计HTTPS网站域名。

2. 在简易配置中使用黑名单模式阻断指定的网站。

3. 在简易配置用使用白名单模式限制能访问的网站。

4.在高级配置中配置网站的阻断/允许和审计/不审计。

        

四、配置步骤

方法 一 简易配置开启HTTPS域名审计

登陆网关WEB界面，选择【流控】→【行为策略】→【简易配置】→【开启默认审计】，勾选【网站访问】和【HTTPS审计】两个策略，开启HTTPS域名审计：

方法二 简易配置添加黑名单网站

1）选择【行为策略】→【简易配置】→【开启默认审计】→【HTTPS审计】，开启HTTPS网站审计。

2）通过【行为策略】→【简易配置】→【禁止网站】→【黑名单模式】进入配置页。

 

 

3）选择【选择URL分类】，单击后面的空白框，勾选需要阻断的网站。

 

4）选择【输入网址】，在空白框中输入需要阻断的网站。

 

方法三 简易配置添加白名单网站

1）选择【行为策略】→【简易配置】→【开启默认审计】→【HTTPS审计】，开启HTTPS网站审计。

2）通过【行为策略】→【简易配置】→【禁止网站】→【白名单模式】进入配置页。

3）选择【选择URL分类】，单击后面的空白框，勾选允许访问的网站。

4）选择【输入网址】，在空白框中输入允许访问的网站。

 

 

方法四 高级配置HTTPS网站的阻断/允许和审计/不审计

1）选择【行为策略】→【简易配置】→【开启默认审计】→【HTTPS审计】，开启HTTPS网站审计。

2）通过【行为策略】→【高级配置】→【添加行为策略】新增一个行为策略。

    或者点击【行为策略】→【高级配置】→【根据模板建策略】新增一个策略，该新建策略会包含一些默认的行为控制项。

    或单击列表中已有的行为策略项修改一个已存在的行为策略。

3）点击【策略组名】填写策略组名称。

4）点击【关联用户】将策略组应用于用户或用户组。

5）点击【行为控制】添加行为控制策略

 

方法五 高级配置设置HTTPS加密内容审计

1）选择【行为策略】→【简易配置】→【开启默认审计】→【HTTPS审计】，开启HTTPS网站审计。

2）通过【行为策略】→【高级配置】→【设置HTTPS加密内容审计】。

 

五、配置验证

        1. 测试步骤：

                1）测试PC绑定静态IP或通过上网实名认证。

                2）测试PC通过浏览器访问指定网站。

                3）网管打开EG上的【行为审计报表】→【访问审计报表】→【网站访问明细】查看审计内容。

       2. 测试结果：

                1）简易配置开启HTTPS域名审计后，用户访问的HTTPS网站域名均可审计到。

                2）简易配置黑名单模式下无法访问配置的HTTPS网站。

                3）普通配置白名单模式下只能访问指定的HTTPS网站。

                4）高级配置模式下无法访问阻断的HTTPS网站。

                5）通过行为审计报表能看到访问记录。