组网需求  

如图1所示，FW作为企业网关部署在网络边缘，某些企业只允许员工使用企业规定的账号登录谷歌服务，禁止员工使用个人账号登录谷歌服务，此时通过在FW上配置谷歌账户控制功能可以解决该问题。         

配置思路  

1.配置接口IP地址和安全区域，完成网络基本参数配置。

2.新建URL过滤配置文件google account，配置谷歌账户控制功能。

3.配置安全策略，引用URL过滤配置文件google account。

4.配置SSL加密流量检测功能，对HTTPS流量进行解密。•配置SSL解密证书，并将SSL解密证书导入安装到内网PC。

实验步骤：  

1.配置接口IP地址和安全区域。

a.选择“网络 > 接口”。

b.单击GE0/0/1对应的，按如下参数配置。

c.单击“确定”。

d.参考上述步骤，将接口GE0/0/2加入Trust区域。

 GE0/0/2的相关参数如下，其他参数使用默认值：

1. 新建URL过滤配置文件google account，配置谷歌账户控制功能。

   a.选择“对象 > 安全策略配置文件 > URL过滤”。

   b.单击“新建”，按如下参数配

c.选择“高级 > 谷歌账户控制”，新建谷歌账户控制策略并引用该谷歌账户控制策略。         

d.单击“确定”。

2.配置安全策略，引用URL过滤配置文件google account。

a.选择“策略 > 安全策略 > 安全策略”。

b.单击“新建安全策略”，按如下参数配置。

c.单击“确定”。

3.配置SSL加密流量检测功能。

a.配置SSL解密证书，并将SSL解密证书导入安装到内网PC。

1.选择“对象 > 证书 > SSL解密证书”。

2.选择进入“SSL解密证书”页签。单击“新建”，按如下参数配置SSL解密证书。

3.单击“确定”。

4.单击SSL解密证书所在行的，下载SSL解密证书到管理员PC本地。

5.单击“确定”。

6.将导出的证书文件发送给内网用户，并要求其在PC上安装和信任该证书。用户不安装此证书，可能导致正常访问因证书原因被阻断。

b.可选：导入企业信任的证书颁发机构的CA证书，并将导入的CA证书指定为服务器CA证书，FW根据服务器CA证书验证服务器证书是否可信。

1.选择“对象 > 证书 > CA证书”。

2.单击“上传”，导入CA证书。

3.单击“确定”。

4.选择“对象 > 证书 > SSL解密证书”，选中“服务器CA证书”页签。

5.单击“新建”，选择已经导入设备的CA证书。

6.单击“确定”。

c.配置检测配置文件和SSL加密流量检测策略。

1.选择“策略 > 加密流量检测 > 检测配置文件”。

选择“检测配置文件”，单击“新建”，按

2.单击“确定”。

3.选择“检测策略”，单击“新建”，按如下参数配置。

4.单击“确定”。

4.单击界面右上角的“保存”，在弹出的对话框中单击“确定”。

5.单击界面右上角的“提交”，在弹出的对话框中单击“确定”。

结果验证  

1.企业用户使用个人账户登录，将提示该服务无法使用，如果使用以huawei.com为结尾的账号将登录成功。         

2.管理员通过查看URL日志（“监控 > 日志 > URL日志”），可以看到命中URL过滤配置文件中规则的类型为“谷歌账户控制”的日志信息。