深信服社区»版块 安全类 下一代防火墙NGAF 关于限制外网访问内网url的问题

关于限制外网访问内网url的问题

查看数: 2098 | 评论数: 3 | 收藏 0
关灯 | 提示:支持键盘翻页<-左 右->
    组图打开中,请稍候......
发布时间: 2023-4-13 17:07

正文摘要:

AF7.4 内网服务器有个域名abc.def.com 希望限制外网访问内网指定url(abc.def.com/123/gk/),仅限指定的白名单IP访问。 同时我还有个应用策略是允许所有源地址访问服务器的80和443。 不知道以上能不能在AF上实现 ...

回复

neo_huang 发表于 2024-3-1 14:46
如果端口不同,可以分两条应用控制策略
百度之外650001 发表于 2023-4-19 13:47
AF的URL过滤是根据获取内网DNS解析对应域名的数据经过设备时所记录的目标IP,以及访问服务器的HOST字段 为依据实现URL过滤的,不建议使用URL过滤对外网访问内网服务器的的拦截

1、要实现拦截外网访问服务器可通过在【应用控制策略】中新增应用控制策略,源区域选外网、目的区域选内网来限制服务器IP以及端口,实现拦截外网访问服务器的数据

①以标准版本AF7.3版本操作路径示例:可在【内容安全】-【应用控制策略】中配置

②以标准版本AF7.4-8.0.69版本操作路径示例:可在【策略】-【访问控制】-【应用控制策略】中配置

2、若需要实现针对外网访问某个内网服务器的URL拦截,【WEB应用防护】中针对对应服务器IP地址以及端口新建策略,对应策略中【防护功能】-【权限控制】需勾选,【高级配置】-【权限控制】-勾选【URL防护】并配置对应URL的拒绝访问策略

①以标准版本AF7.3版本操作路径示例:可在【服务器保护】-【WEB应用防护】中对应策略中配置

②以标准版本AF7.4-8.0.69版本操作路径示例:可在【对象】-【安全策略模版】-【WEB应用防护】中对应模版中配置

然后在【策略】-【安全策略】-【安全防护策略】里面新增【业务防护策略】,在【防御】-【增强功能】选择【对应模版】,然后点击确定
小鱼儿 发表于 2023-4-13 17:45
本帖最后由 小鱼儿 于 2023-4-13 17:54 编辑

可以的   能实现哦     
8.0.7通过  应用控制策略支持目的添加域名,通过配置应用控制策略进行域名的拦截

您这边是7.4的 需要配置自定义应用来实现了

AF限制内网用户访问某些域名可以通过如下方式
1、从标准版本8.0.7开始,应用控制策略支持目的添加域名,通过配置应用控制策略进行域名的拦截。
2、从标准版本8.0.32-8.0.48,黑名单支持添加域名进行封堵。
3、可以通过配置URL过滤进行放通或拦截;
应用控制策略基于域名配置如下
1、新架构版本从AF标准版本8.0.59开始支持域名应用控制策略:
【对象】-【网络对象】点击【新增域名】,在【策略】-【访问控制】-【应用控制策略】对域名进行引用
2、从AF标准版本8.0.7到8.0.48版本,AF应用控制策略可以直接针对域名做策略。需要先在【系统】-【通用设置】-【网络参数】勾选【应用控制支持域名】,然后在去应用控制策略配置域名策略
3、在AF标准版本8.0.7之前,AF应用控制策略不能直接针对域名做策略。可以解析出对应域名的IP地址,在应用控制策略里针对解析后的IP地址做策略。



配置自定义应用   
配置完成了在应用控制策略调用即可







AF本身有应用识别规则库,数据包流量经过AF,会根据数据包特征来匹配应用识别规则库,从而识别不同的应用,AF应用识别库没有的应用需要做策略限制,可以收集相关信息进行自定义应用。
①以标准版本AF7.4-8.0.69版本操作路径示例:在【对象】-【内容识别库】-【应用识别库】-【自定义应用】新增,自定义应用里面填写的IP是目的IP地址以标准版本AF7.3版本操作路径示例:在【对象定义】-【自定义应用】新增,自定义应用里面填写的IP是目的IP地址

注意:不要将应用放在二级目录下,然后将应用对应的域名写好,[color=rgba(0, 0, 0, 0.65)]自定义应用的应用类型根据应用判断,可以选择归属在已有应用下,也可以手动填写新的应用类型
ps:AF默认内置应用优先级高,也支持调整为用户自定义应用规则优先。 具体切换路径为: ①以标准版本AF7.3版本操作路径示例:可在【对象定义】-【自定义应用】中切换 ②以标准版本AF7.4-8.0.69版本操作路径示例:可在【对象】-【应用识别库】-【自定义应用】中切换,AF内置的应用识别库没有对应的应用规则,就会识别成其他应用。


自定义服务:
以标准版本AF7.4-8.0.69版本操作路径示例:在【对象】-【服务】-【自定义服务】新增
注意:服务的源端口为0-65535,目的端口为对应所需端口