Ответ:
Инструкция: Как установить Http ALG для Web URL фильтра
Последнее обновление: 2008-03-04
Обзор
В данном документе запись Objects->Addressbook означает, что в корневом каталоге с левой стороны экрана сначала необходимо нажать Objects (откроется окно) и затем Address Book.
В данном документе большинство примеров рассмотрено на DFL-800. Аналогичные настройки могут быть легко применены для всех других моделей этой серии. Единственное различие касается имен интерфейсов. Поскольку DFL-1600 и DFL-2500 имеют более одного lan-интерфейса, то для них lan-интерфейсы называются lan1, lan2 и lan3, а не просто lan.
Как установить Http ALG для Web URL фильтра
Этот пример показывает, как межсетевой экран может управлять internet web поиском для сетевых клиентов.
Пример 1: Заблокируем web-сайт http://www.yahoo.com/
Шаг 1: Зайдите Objects ->ALG
Или отредактируйте ранее созданный http-outbound
Шаг 3: Нажмите http-outbound
Добавьте ALG URL
Шаг 4: Action: Blacklist
URL: *.yahoo.com/*
Нажмите OK
Шаг 5: Добавьте TCP/IP service
Или отредактируйте предустановленный http-outbound
Шаг 6: НажмитеHttp-outbound
Выберите http-outbound Http ALG
Нажмите OK
Шаг 7: Зайдите Rule-> IPRules
Добавьте IPRule
Шаг 8: во вкладке General
Name: http_ALG
Action: NAT
Service: http
Source Interface: lan
Source Network: lannet
Destination Interface: any
Destination Network: all-nets
Нажмите OK
Шаг 9: Нажмите правой кнопкой мыши на http_ALG rule
Нажмите Move to Top
Шаг 10: Нажмите Save and Active
Пример 2: Заблокируем весь web-сайт http://www.yahoo.com/
Позволим посещение только http://sports.yahoo.com/
Все конфигурации такие же, как в примере 1
Но на шаге 4: добавьте в белый лист http://sports.yahoo.com/
Action: Whitelist
URL: sports.yahoo.com/*
Нажмите OK
! Примечание: Приоритет белого листа выше, чем блок-листа. Это значит, что Вам сначала необходимо полностью заблокировать URL или web-сайты, а только после этого разрешить некоторые разделы web-сайта.
В нашем примере, если Вы установите Action: block URL: sports.yahoo.com/*, и Action: whitelist URL: *.yahoo.com/*, межсетевой экран не сможет заблокировать sports.yahoo.com/*, пока другое правило разрешит сначала весь web-сайт *.yahoo.com/*.