很多企事業單位需要對電腦的外網訪問采用嚴格的控制策略,比如只允許工作網站、只允許使用163郵箱等。本文中,我將以WSG上網行為管理為例,來演示如何實現網站白名單功能。
具體的配置邏輯是:先在“應用過濾”中禁止所有的網絡應用,然后再把要放行的內容加到“例外設置”里面。因為“例外設置”的優先級是最高的,這樣就達到了管控的效果,被管控的終端只能訪問指定的內容。具體的配置步驟如下:
1. 應用過濾屏蔽所有網絡應用
首先在應用過濾中,屏蔽所有的網絡應用。
2. 把允許訪問的內容添加到例外設置
DNS是基礎應用,在本文中,我們把”釘釘、DNS、釘釘文件傳輸“都加到“例外的應用”里面。
3. 如何放行指定的網站(網站白名單)?
有些網頁做的比較復雜,一個網頁會引用到多個網站的內容。如果要放行某網頁,可能需要放行多個地址。比較常見的是A網頁引用了B網站的內容。這種情況下。你單加A網站是不夠的,需要把A和B網站都加到白名單里面才可以。
以163郵件為例,單加*.mail.163.com,就會出現這樣的情況:
要解決該辦法,需要把該網頁引用的其他站點都加到白名單里面。有兩個辦法,都可以查到該網頁引用的其他站點。
3.1 通過瀏覽器的F12來查看
如圖,瀏覽器按F12(推薦用火狐),點擊”網絡”(Network),然后刷新頁面,可以看到連接的站點信息(這些網站都要加白名單)
3.2 還可以通過WSG的實時封堵來查看
點擊右上角的實時流量圖,找到這個IP地址,點擊帶寬的數字進去。可以看到“實時連接”和“實時封堵”,實時封堵會顯示被禁止的內容、協議、以及違反的策略和封堵原因。
把被禁止的網站加到白名單里面,然后重復此過程,直到頁面顯示正常。以163郵箱為例,最終的白名單配置是這樣的:
請參考:如何實現網站白名單的視頻教程
