??

組網(wǎng)需求??

如圖1所示，F(xiàn)W作為企業(yè)網(wǎng)關(guān)部署在網(wǎng)絡(luò)邊緣，某些企業(yè)只允許員工使用企業(yè)規(guī)定的賬號(hào)登錄谷歌服務(wù)，禁止員工使用個(gè)人賬號(hào)登錄谷歌服務(wù)，此時(shí)通過在FW上配置谷歌賬戶控制功能可以解決該問題。? ? ? ? ?

配置思路??

1.配置接口IP地址和安全區(qū)域，完成網(wǎng)絡(luò)基本參數(shù)配置。

2.新建URL過濾配置文件google account，配置谷歌賬戶控制功能。

3.配置安全策略，引用URL過濾配置文件google account。

4.配置SSL加密流量檢測(cè)功能，對(duì)HTTPS流量進(jìn)行解密。?配置SSL解密證書，并將SSL解密證書導(dǎo)入安裝到內(nèi)網(wǎng)PC。

實(shí)驗(yàn)步驟：??

1.配置接口IP地址和安全區(qū)域。

a.選擇“網(wǎng)絡(luò) > 接口”。

b.單擊GE0/0/1對(duì)應(yīng)的，按如下參數(shù)配置。

c.單擊“確定”。

d.參考上述步驟，將接口GE0/0/2加入Trust區(qū)域。

?GE0/0/2的相關(guān)參數(shù)如下，其他參數(shù)使用默認(rèn)值：

1. 新建URL過濾配置文件google account，配置谷歌賬戶控制功能。

   a.選擇“對(duì)象?>?安全策略配置文件?> URL過濾”。

   b.單擊“新建”，按如下參數(shù)配

c.選擇“高級(jí) > 谷歌賬戶控制”，新建谷歌賬戶控制策略并引用該谷歌賬戶控制策略。? ? ? ? ?

d.單擊“確定”。

2.配置安全策略，引用URL過濾配置文件google account。

a.選擇“策略 > 安全策略 > 安全策略”。

b.單擊“新建安全策略”，按如下參數(shù)配置。

c.單擊“確定”。

3.配置SSL加密流量檢測(cè)功能。

a.配置SSL解密證書，并將SSL解密證書導(dǎo)入安裝到內(nèi)網(wǎng)PC。

1.選擇“對(duì)象 > 證書 > SSL解密證書”。

2.選擇進(jìn)入“SSL解密證書”頁簽。單擊“新建”，按如下參數(shù)配置SSL解密證書。

3.單擊“確定”。

4.單擊SSL解密證書所在行的，下載SSL解密證書到管理員PC本地。

5.單擊“確定”。

6.將導(dǎo)出的證書文件發(fā)送給內(nèi)網(wǎng)用戶，并要求其在PC上安裝和信任該證書。用戶不安裝此證書，可能導(dǎo)致正常訪問因證書原因被阻斷。

b.可選：導(dǎo)入企業(yè)信任的證書頒發(fā)機(jī)構(gòu)的CA證書，并將導(dǎo)入的CA證書指定為服務(wù)器CA證書，F(xiàn)W根據(jù)服務(wù)器CA證書驗(yàn)證服務(wù)器證書是否可信。

1.選擇“對(duì)象 > 證書 > CA證書”。

2.單擊“上傳”，導(dǎo)入CA證書。

3.單擊“確定”。

4.選擇“對(duì)象 > 證書 > SSL解密證書”，選中“服務(wù)器CA證書”頁簽。

5.單擊“新建”，選擇已經(jīng)導(dǎo)入設(shè)備的CA證書。

6.單擊“確定”。

c.配置檢測(cè)配置文件和SSL加密流量檢測(cè)策略。

1.選擇“策略 > 加密流量檢測(cè) > 檢測(cè)配置文件”。

選擇“檢測(cè)配置文件”，單擊“新建”，按

2.單擊“確定”。

3.選擇“檢測(cè)策略”，單擊“新建”，按如下參數(shù)配置。

4.單擊“確定”。

4.單擊界面右上角的“保存”，在彈出的對(duì)話框中單擊“確定”。

5.單擊界面右上角的“提交”，在彈出的對(duì)話框中單擊“確定”。

結(jié)果驗(yàn)證??

1.企業(yè)用戶使用個(gè)人賬戶登錄，將提示該服務(wù)無法使用，如果使用以huawei.com為結(jié)尾的賬號(hào)將登錄成功。? ? ? ? ?

2.管理員通過查看URL日志（“監(jiān)控 > 日志 > URL日志”），可以看到命中URL過濾配置文件中規(guī)則的類型為“谷歌賬戶控制”的日志信息。

? ? ? ? ?