联想网御科技(北京)有限公司
透明代理配置 HTTP FTP POP3
案例背景
强5防火墙除了能对地址,协议等4层以下内容控制外,还可以通过代理方式,对应用层的信息做简单的控制。所谓代理,就防火墙代替客户端与应用服务器通讯,所以使用代理功能,首先要确保防火墙自身可以访问到服务器。在强5防火墙上对http,ftp,pop3,telnet协议采用的是透明代理,也就是不用改变客户端的配置实现的代理,本案例将介绍http,ftp,pop3代理功能配置。
案例拓扑
Fe1 10.1.5.254Fe4 219.239.18.18210.1.5.200FW
PC通过防火墙访问互联网,配置防火墙的代理功能,实现对http,ftp,pop3的控制。
配置步骤
1. 按照拓扑配置防火墙IP,网关,DNS,包过滤允许规则,确保防火墙可以访问互连网。
2. 在策略配置的代理服务中启用http代理。如图
第1页
声明:文档所包含文字和图片版权均属联想网御科技(北京)有限公司所有,任何单位或个人不得擅自出
版或发行,违者必究
联想网御科技(北京)有限公司
3. 在安全规则中配置代理规则,注意服务和代理选项均要选择http。如图
此时PC访问网页将通过http代理的方式进行。
4. 在系统监控中的日志中可以查看到代理日志,日志可记录内网哪个源IP访问了哪个外
网的IP地址。如图
第2页
声明:文档所包含文字和图片版权均属联想网御科技(北京)有限公司所有,任何单位或个人不得擅自出
版或发行,违者必究
联想网御科技(北京)有限公司
5. 先停用代理规则,然后在代理服务中启用ftp代理,这里我们去掉“允许上载”选项。
如图:
6. 修改代理规则,将服务和代理变为ftp服务,如图:
此时,PC可以通过代理访问FTP服务,并且只能下载文件而不能上传。
7. 在代理日志中可以查看源地址和目的地址信息,如图:
第3页
声明:文档所包含文字和图片版权均属联想网御科技(北京)有限公司所有,任何单位或个人不得擅自出
版或发行,违者必究
联想网御科技(北京)有限公司
8. 停用代理规则,修改代理服务,启用POP3代理,同时在内容过滤中配置过滤的发件人
地址。如图:
配置好后,如果防火墙检测到PC正在接收来自“lilp@leadsec.com.cn“的邮件,就会给收件人发送一封通知邮件,同时过滤掉该发件人的邮件。如图:
9. 停止代理规则,修改POP3代理内容,过滤收件人关键字,然后启用代理规则。如图:
第4页
声明:文档所包含文字和图片版权均属联想网御科技(北京)有限公司所有,任何单位或个人不得擅自出
版或发行,违者必究
联想网御科技(北京)有限公司
此时,当防火墙检测到收件人匹配过滤的关键字时,就会向该收件人发送通知邮件,同时过滤原邮件。
10. 停用代理规则,修改POP3过滤关键为内容关键字,然后启用代理规则,如图:
此时,当防火墙检测到接收的邮件内容中带有“刺激“关键字时,就会向收件人发送通知邮件,同时过滤原邮件。如图:
第5页
声明:文档所包含文字和图片版权均属联想网御科技(北京)有限公司所有,任何单位或个人不得擅自出
版或发行,违者必究
联想网御科技(北京)有限公司
11. 停止代理规则,修改POP3代理过滤内容,改为过滤附件名,然后启用代理规则,
如图:
此时,如果防火墙检测到接收的邮件附件是“1.txt“时,会向收件人发送通知邮件,同时过滤掉原邮件。如图:
12.
在代理日志中可以查看POP3代理信息。如图:
第6页
声明:文档所包含文字和图片版权均属联想网御科技(北京)有限公司所有,任何单位或个人不得擅自出
版或发行,违者必究
