FAQ-USG6300防火墙设备部署URL过滤www.facebook.com失败
问题描述
如图:
该项目针对防火墙部署的架构比较简单,网络连通性方面没有问题。根据客户要求配置URL过滤facebook,配置如下:
url-filter category user-defined name noface_cat
add url www.facebook.com
add url facebook.pt
add url facebook.com
#
profile type url-filter name nofacebook
add blacklist url *facebook*
add blacklist url *www.facebook.com*
add blacklist url www.facebook.com
add blacklist url facebook
category pre-defined control-level high
category user-defined name noface_cat action block
default action block
security-policy
rule name NoFacebook
description App Do Facebook
policy logging
session logging
application app Facebook
action permit
rule name BlockSiteFacebook
description BlockSiteFacebook
policy logging
session logging
source-zone trust
destination-zone untrust
profile url-filter nofacebook
action permit
rule name Saida
policy logging
source-zone trust
destination-zone untrust
profile av default
profile ips default
profile url-filter default
action permit
rule name Entrada
policy logging
source-zone untrust
destination-zone trust
profile av default
profile ips default
profile url-filter default
action permit
rule name BypassDetect
policy logging
source-zone untrust
destination-zone untrust
profile av default
profile ips default
action permit
进行了多次测试,发现使用display profile type url-filter命令查看URL过滤配置文件的信息时,测试的流量可以hit到配置的URL策略上。但是客户依然可以访问facebook
解决方案
在咨询相关专家后,告知为当前使用的C20版本对facebook不生效,建议升级到C30版本后再进行测试。执行以下操作:
1、 将USG6300版本由之前的C20版本升级到V100R001C30版本。
2、 在原配置基础上添加以下配置:
proxy-policy
rule name "ssl decryption policy 1"
source-zone trust #配置代理策略规则的源安全区域
destination-zone untrust #配置代理策略规则的目的安全区域
source-address x.x.x.x #内网IP网段
action ssl-decyp
版权声明:
作者:SE_Gai
链接:https://www.cnesa.cn/395.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
THE END
0
打赏
海报
FAQ-USG6300防火墙设备部署URL过滤www.facebook.com失败
问题描述
如图:
该项目针对防火墙部署的架构比较简单,网络连通性方面没有问题。根据客户要求配置URL过滤facebook,配置如下:
url-filter category user-……
共有 0 条评论