文档编号:1722
浏览:3918 评分:4
最后更新于:2014-05-09
此文档基于HiPER 520 V1.5.0版本
用户需求:
只需要内网某用户能访问几个常用银行网站,比如工商银行等,禁止访问其他网页,内网IP都已经设置了IP/MAC地址绑定。
检查配置:
1.首先登录路由界面,防火墙->访问控制策略 ,已经放通了80(web)服务、以及工商银行网址域名“ *icbc* ”,最后禁止此IP访问其它所有服务。(注意:此处以放通工商银行www.icbc.com.cn为例)配置如图1:
图1
2.测试登录银行主页面 www.icbc.com.cn正常打开,点击个人网上银行无法访问,分别如图2、图3:
图2
图3
从图3可以发现,点击个人网上银行后,最终跳转的链接含有https协议。
3.再添加放通https协议(TCP 443)的策略,测试访问个人银行正常,如图4、5:
图4
图5
注意:
1、超文本传输安全协议HTTPS,是超文本传输协议和SSL/TLS的组合,用以提供加密通讯及对网络服务器身份的鉴定。HTTPS连接经常被用于万维网上的交易支付和企业信息系统中敏感信息的传输。也就是HTTP协议的安全版;
2、注意防火墙,访问控制策略的顺序,允许的放在前面,禁止的放在最后;
3、内网有多个地址需要进行限制,可以通过用户管理->地址组,进行配置,然后在到防火墙引用此地址组即可;
4、SE平台放通域名需要注意域名前后加通配符*,内网不能使用内网域名服务器,也不能开启设备的DNS代理,否则其他网站都可以正常打开。