在线行为管理是很多企事业单位都需要的功能。一方面可以规范网上行为,提高工作效率,方便管理;另一方面可以节省有限的带宽资源。
但是如果需要在线行为管理的功能,不一定需要购买专业的行为管理设备。如果要求不是特别高,防火墙可以承担。这里以华为USG6330防火墙为例简单介绍一下在线行为管理功能的配置。
客户诉求:禁止部分电脑上网,但允许Fox***il收发邮件。公司邮箱用的是腾讯企业邮箱;QQ,微信,钉钉也可以。
注意,本文中的默认是已经配置了防火墙,使得所有的计算机都可以访问互联网(两个链接),只是对安全策略进行了调整,以满足客户的要求。本文不涉及其他配置,您需要了解配置防火墙以访问互联网的过程。可以看看作者之前的文章,不便之处请见谅。
绑定MAC地址
要说客户的这个防火墙真的是物尽其用,连DHCP服务器都在上面。由于DHCP的特性,计算机获得的IP地址会有所不同。所以在配置禁止上网的策略之前,一定要先绑定MAC地址,否则会有“错杀”的风险。
1.打开“DHCP服务器”,点击“监控”,先找出要绑定的IP的MAC地址。
2.同样在DHCP服务器中,打开服务,单击接口名称,然后修改DHCP配置。
3.按照IP地址/MAC的书写格式,逐行填写IP地址需要绑定的MAC地址,然后点击确定。值得注意的是,如果你多次编辑这个列表,你可能会报错。如果明确没有重复地址,你就举报有重复地址不能添加。这时候你需要删除DHCP服务,重新配置,可能是防火***的BUG导致的;
创建一个禁止上网的新IP地址列表。
这个新创建的IP地址列表将被应用到安全策略,以禁止它在互联网上冲浪。
创建新的安全策略以满足客户的行为管理要求。
1.创建禁止互联网访问的新安全策略。源安全区域是trust,代表intranet安全区,选择untrust,作者已经为ADSL宽带设置了单独的安全区,所以这里是PppoeUntrust;选择http和https服务,选择“禁止”以禁止互联网访问。完成后,把这个策略放在最上面,这样它就可以生效了。
2.就在封禁后两分钟,我还在验证效果,有时间做其他配置的时候,就被客户***了:有些专业网站要查资料才能用,一旦封禁,根本没法用。我们做了很久,习惯了背锅。安抚好我们客户的情绪后,让他们向老板申请。在我们获得批准后,我们将立即开放相关网站。过了一会儿,老板通过邮件批准了申请,于是我们又有活干了。这是小菜一碟,这只是一个策略。
首先新建一个网址类别,输入老板批准的网址,还包括允许使用的QQ、微信、钉钉、fox***il的网址。
创建一个新策略,允许nointernet列表中的IP地址访问上面URL分类表中的URL。别忘了,这个要放在最上面,排在最前面才有效。
3.第三个策略是让这些被禁止上网的电脑使用fox***il、QQ、微信、钉钉。
在应用一栏,点击后面的“多选”,然后根据需要选择需要打开的应用。
注意,配置完成后,这个策略必须再次置顶。
经过以上步骤,已经满足了客户的要求:部分电脑已经被禁止上网,但部分被批准的网站允许访问。Fox***il收发邮件正常,必备的三大通讯工具QQ、微信、钉钉都正常工作。
——作者是网络工程师,擅长计算机网络领域,从业多年。希望和大家分享一下我的经验。如果觉得有用,可以关注,喜欢,转发。如果有相同或不同的看法,请评论。最近开了一个“圈子”。欢迎有兴趣的朋友加入圈子,一起学习讨论。
本文来自转身以后投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/478055.html