很多企事业单位需要对电脑的外网访问采用严格的控制策略,比如只允许工作网站、只允许使用163邮箱等。本文中,我将以WSG上网行为管理为例,来演示如何实现网站白名单功能。
具体的配置逻辑是:先在“应用过滤”中禁止所有的网络应用,然后再把要放行的内容加到“例外设置”里面。因为“例外设置”的优先级是最高的,这样就达到了管控的效果,被管控的终端只能访问指定的内容。具体的配置步骤如下:
1. 应用过滤屏蔽所有网络应用
首先在应用过滤中,屏蔽所有的网络应用。
2. 把允许访问的内容添加到例外设置
DNS是基础应用,在本文中,我们把”钉钉、DNS、钉钉文件传输“都加到“例外的应用”里面。
3. 如何放行指定的网站(网站白名单)?
有些网页做的比较复杂,一个网页会引用到多个网站的内容。如果要放行某网页,可能需要放行多个地址。比较常见的是A网页引用了B网站的内容。这种情况下。你单加A网站是不够的,需要把A和B网站都加到白名单里面才可以。
以163邮件为例,单加*.mail.163.com,就会出现这样的情况:
要解决该办法,需要把该网页引用的其他站点都加到白名单里面。有两个办法,都可以查到该网页引用的其他站点。
3.1 通过浏览器的F12来查看
如图,浏览器按F12(推荐用火狐),点击”网络”(Network),然后刷新页面,可以看到连接的站点信息(这些网站都要加白名单)
3.2 还可以通过WSG的实时封堵来查看
点击右上角的实时流量图,找到这个IP地址,点击带宽的数字进去。可以看到“实时连接”和“实时封堵”,实时封堵会显示被禁止的内容、协议、以及违反的策略和封堵原因。
把被禁止的网站加到白名单里面,然后重复此过程,直到页面显示正常。以163邮箱为例,最终的白名单配置是这样的:
请参考:如何实现网站白名单的视频教程
