什么都分享
以及,记录自己的故事
正在载入当前位置天气信息……

企业防火墙基本配置思路(只有部分人能上网)

案例:

公司内电脑可以访问局域网,但无法访问互联网、可以上QQ等即时通讯软件。需要访问互联网的使用者需要申请权限。

思路:

防火墙可以做策略设定,根据IP地址、IP段、使用者名称、AD等都可以。这里使用IP地址控制,因为网内使用的是固定IP。即不能访问互联网又要可以上QQ,那就考虑从协议入手,可以禁止内网用户无法使用互联网协议HTTP/http,却不会影响到QQ。

做法:

①在防火墙策略中,新增规则:允许部分人上网,也就是白名单。做法如下:

源安全域trust 至 目的安全域untrust

源地址为可上网名单(以IP地址列出) 至 目的地址 Any

服务为 Any(此处意为所有服务都包括)

行为判定为 允许

优先级最高。

②在防火墙策略中,新增规则:不允许除了白名单之外的所有用户上网。做法如下:

源安全域trust 至 目的安全域untrust

源地址为可上网名单(以IP地址列出) 至 目的地址 Any

服务为 HTTP、http、HTTP-EXT

行为判定为 拒绝

优先级第二,仅次于白名单。

结论

只要想新增上网权限的人,把他们使用的IP地址加入到这个白名单中就OK了。

打赏
本文遵守创作共享 BY-NC-ND 4.0协议,转载前请先联系作者。绯末博客 » 企业防火墙基本配置思路(只有部分人能上网)
分享到: 更多 (0)

评论 抢沙发

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏