??

組網(wǎng)需求??

如圖1所示，F(xiàn)W作為企業(yè)網(wǎng)關部署在網(wǎng)絡邊緣，某些企業(yè)只允許員工使用企業(yè)規(guī)定的賬號登錄谷歌服務，禁止員工使用個人賬號登錄谷歌服務，此時通過在FW上配置谷歌賬戶控制功能可以解決該問題。? ? ? ? ?

配置思路??

1.配置接口IP地址和安全區(qū)域，完成網(wǎng)絡基本參數(shù)配置。

2.新建URL過濾配置文件google account，配置谷歌賬戶控制功能。

3.配置安全策略，引用URL過濾配置文件google account。

4.配置SSL加密流量檢測功能，對HTTPS流量進行解密。?配置SSL解密證書，并將SSL解密證書導入安裝到內(nèi)網(wǎng)PC。

實驗步驟：??

1.配置接口IP地址和安全區(qū)域。

a.選擇“網(wǎng)絡 > 接口”。

b.單擊GE0/0/1對應的，按如下參數(shù)配置。

c.單擊“確定”。

d.參考上述步驟，將接口GE0/0/2加入Trust區(qū)域。

?GE0/0/2的相關參數(shù)如下，其他參數(shù)使用默認值：

1. 新建URL過濾配置文件google account，配置谷歌賬戶控制功能。

   a.選擇“對象?>?安全策略配置文件?> URL過濾”。

   b.單擊“新建”，按如下參數(shù)配

c.選擇“高級 > 谷歌賬戶控制”，新建谷歌賬戶控制策略并引用該谷歌賬戶控制策略。? ? ? ? ?

d.單擊“確定”。

2.配置安全策略，引用URL過濾配置文件google account。

a.選擇“策略 > 安全策略 > 安全策略”。

b.單擊“新建安全策略”，按如下參數(shù)配置。

c.單擊“確定”。

3.配置SSL加密流量檢測功能。

a.配置SSL解密證書，并將SSL解密證書導入安裝到內(nèi)網(wǎng)PC。

1.選擇“對象 > 證書 > SSL解密證書”。

2.選擇進入“SSL解密證書”頁簽。單擊“新建”，按如下參數(shù)配置SSL解密證書。

3.單擊“確定”。

4.單擊SSL解密證書所在行的，下載SSL解密證書到管理員PC本地。

5.單擊“確定”。

6.將導出的證書文件發(fā)送給內(nèi)網(wǎng)用戶，并要求其在PC上安裝和信任該證書。用戶不安裝此證書，可能導致正常訪問因證書原因被阻斷。

b.可選：導入企業(yè)信任的證書頒發(fā)機構的CA證書，并將導入的CA證書指定為服務器CA證書，F(xiàn)W根據(jù)服務器CA證書驗證服務器證書是否可信。

1.選擇“對象 > 證書 > CA證書”。

2.單擊“上傳”，導入CA證書。

3.單擊“確定”。

4.選擇“對象 > 證書 > SSL解密證書”，選中“服務器CA證書”頁簽。

5.單擊“新建”，選擇已經(jīng)導入設備的CA證書。

6.單擊“確定”。

c.配置檢測配置文件和SSL加密流量檢測策略。

1.選擇“策略 > 加密流量檢測 > 檢測配置文件”。

選擇“檢測配置文件”，單擊“新建”，按

2.單擊“確定”。

3.選擇“檢測策略”，單擊“新建”，按如下參數(shù)配置。

4.單擊“確定”。

4.單擊界面右上角的“保存”，在彈出的對話框中單擊“確定”。

5.單擊界面右上角的“提交”，在彈出的對話框中單擊“確定”。

結果驗證??

1.企業(yè)用戶使用個人賬戶登錄，將提示該服務無法使用，如果使用以huawei.com為結尾的賬號將登錄成功。? ? ? ? ?

2.管理員通過查看URL日志（“監(jiān)控 > 日志 > URL日志”），可以看到命中URL過濾配置文件中規(guī)則的類型為“谷歌賬戶控制”的日志信息。

? ? ? ? ?