Profile 配置

Profile 与安全策略相结合，能够使安全网关完成细粒度的应用层安全策略控制。Profile 针对不同的应用定义不同的操作，将复杂控制信息简单化，从而简化安全网关配置。Profile 必须添加到Profile 组中才可以被策略规则引用，并且只有被策略规则引用的Profile 组才能够在安全网关的配置中起作用。StoneOS 支持两类Profile，分别是IM 和HTTP。每一类Profile 可以针对具体应用分别配置不同的控制动作。

Profile 的配置包括以下各项：

♦ 创建IM Profile
♦ 创建HTTP Profile
♦ 创建Profile 组并将Profile 添加到Profile 组
♦ 在策略规则中引用Profile 组

创建IM Profile

目前StoneOS 可以控制的IM 应用包括MSN、QQ、Yahoo-Messenger、网易泡泡、搜狐搜Q 和新浪UC。默认情况下，安全网关允许这些应用的所有操作，如文件传输、文本聊天等。用户可以根据需要阻止某些操作。创建IM Profile，首先需要进入IM Profile 配置模式。

1. 点击“安全􀁨IM Profile􀁨新建”。
2. 在<Profile 名称>文本框输入Profile 的名称。
3. 在<IM 项目>列表中为各种IM 应用指定行为，从下拉菜单中选择<允许>或者<拒绝>。
4. 点击『确定』按钮保存所做配置。

创建HTTP Profile

StoneOS 可以控制ActiveX 和Java Applet 的使用，可以禁止下载以下类型的二进制文件：.bat、.com、.exe、.msi、.pif 以及.scr，并且可以进行URL 过滤。默认情况下，安全网关允许这些应用的操作。

1. 点击“安全􀁨HTTP Profile􀁨新建”。
2. 在<Profile 名称>文本框输入Profile 的名称。
3. 在<二进制>列表中为各种类型文件指定行为，从下拉菜单中选择<允许>或者<拒绝>。
4. 在<对象>列表中为ActiveX 和Java Applet 选择行为，从下拉菜单中选择<允许>或者<拒绝>。
5. 点击『确定』按钮保存所做配置。

创建Profile 组

创建好的Profile 只有被添加到Profile 组中后，才能被策略规则引用。

1. 点击“安全􀁨策略􀁨Profile 组􀁨新建”。
2. 在<组名>文本框中输入Profile 组的名称并点击『应用』按钮。
3. 从<可用成员>列表中选择要添加的Profile 名称，然后点击右箭头按钮将其添加到<组成员>列表中。
4. 点击『确定』按钮保存所做配置。

在策略规则中引用Profile 组

将Profile 组引用到策略规则中后，Profile 组中对各种应用做的控制都会应用到符合策略规则过滤条件的流量上。

注意：已经被策略规则引用的Profile 组不能被修改。如果需要修改，请先取消策略规则对Profile 组的引用。

URL 过滤

通过使用SA 系列安全网关的URL 过滤功能，设备可以控制用户的PC 对某些网址的访问。URL 过滤功能包含以下组成部分：

♦ 黑名单：包含不可以访问的URL。不同平台黑名单包含的最大URL 条数不同。
♦ 白名单：包含允许访问URL。不同平台白名单包含的最大URL 条数不同。
♦ 关键字列表：如果URL 中包含有关键字列表中的关键字，则PC 不可以访问该URL。不同平台关键字列表包含的关键字条目数不同。
♦ 不受限IP：不受URL 过滤配置影响，可以访问任何网站。
♦ 只允许用域名访问：如果开启该功能，用户只可以通过域名访问Internet，IP 地址类型的URL 将被拒绝访问。
♦ 只允许访问白名单里的URL：如果开启该功能，用户只可以访问白名单中的URL，其它地址都会被拒绝。