组网需求
如图1所示,FW作为企业网关部署在网络边缘,某些企业只允许员工使用企业规定的账号登录谷歌服务,禁止员工使用个人账号登录谷歌服务,此时通过在FW上配置谷歌账户控制功能可以解决该问题。
配置思路
1.配置接口IP地址和安全区域,完成网络基本参数配置。
2.新建URL过滤配置文件google account,配置谷歌账户控制功能。
3.配置安全策略,引用URL过滤配置文件google account。
4.配置SSL加密流量检测功能,对HTTPS流量进行解密。•配置SSL解密证书,并将SSL解密证书导入安装到内网PC。
实验步骤:
1.配置接口IP地址和安全区域。
a.选择“网络 > 接口”。
b.单击GE0/0/1对应的
,按如下参数配置。
| 安全区域 | untrust |
| IPv4 | |
| IP地址 | 1.1.1.1/24 |
c.单击“确定”。
d.参考上述步骤,将接口GE0/0/2加入Trust区域。
GE0/0/2的相关参数如下,其他参数使用默认值:
| 安全区域 | trust |
| IPv4 | |
| IP地址 | 10.3.0.1/24 |
1.新建URL过滤配置文件google account,配置谷歌账户控制功能。
a.选择“对象 > 安全策略配置文件 > URL过滤”。
b.单击“新建”,按如下参数配
c.选择“高级 > 谷歌账户控制”,新建谷歌账户控制策略并引用该谷歌账户控制策略。
d.单击“确定”。
2.配置安全策略,引用URL过滤配置文件google account。
a.选择“策略 > 安全策略 > 安全策略”。
b.单击“新建安全策略”,按如下参数配置。
| 名称 | secpolicy-trust2untrust |
| 源安全区域 | trust |
| 目的安全区域 | untrust |
| 源地址 | 10.3.0.1/24 |
| 服务 | https |
| 动作 | 允许 |
| URL过滤 | google account |
c.单击“确定”。
3.配置SSL加密流量检测功能。
a.配置SSL解密证书,并将SSL解密证书导入安装到内网PC。
1.选择“对象 > 证书 > SSL解密证书”。
2.选择进入“SSL解密证书”页签。单击“新建”,按如下参数配置SSL解密证书。
| 证书名称 | ssl-server-ca |
| 域名 | www.example.com |
| 国家/地区 | 中国(CN) |
| 位置 | Trust-Network |
3.单击“确定”。
4.单击SSL解密证书所在行的
,下载SSL解密证书到管理员PC本地。
| 文件格式 | 以pkcs12格式导出文件 |
| 密码/确认密码 | Hello@123 |
5.单击“确定”。
6.将导出的证书文件发送给内网用户,并要求其在PC上安装和信任该证书。用户不安装此证书,可能导致正常访问因证书原因被阻断。
b.可选:导入企业信任的证书颁发机构的CA证书,并将导入的CA证书指定为服务器CA证书,FW根据服务器CA证书验证服务器证书是否可信。
1.选择“对象 > 证书 > CA证书”。
2.单击“上传”,导入CA证书。
| 上传方式 | 本地上传 |
| 证书文件 | server_ca.cer |
3.单击“确定”。
4.选择“对象 > 证书 > SSL解密证书”,选中“服务器CA证书”页签。
5.单击“新建”,选择已经导入设备的CA证书。
6.单击“确定”。
c.配置检测配置文件和SSL加密流量检测策略。
1.选择“策略 > 加密流量检测 > 检测配置文件”。
选择“检测配置文件”,单击“新建”,按
2.单击“确定”。
3.选择“检测策略”,单击“新建”,按如下参数配置。
4.单击“确定”。
4.单击界面右上角的“保存”,在弹出的对话框中单击“确定”。
5.单击界面右上角的“提交”,在弹出的对话框中单击“确定”。
结果验证
1.企业用户使用个人账户登录,将提示该服务无法使用,如果使用以huawei.com为结尾的账号将登录成功。
2.管理员通过查看URL日志(“监控 > 日志 > URL日志”),可以看到命中URL过滤配置文件中规则的类型为“谷歌账户控制”的日志信息。
