05
2021
07

如何用例外设置来实现网站白名单功能?

很多企事业单位需要对电脑的外网访问采用严格的控制策略,比如只允许工作网站、只允许使用163邮箱等。本文中,我将以WSG上网行为管理为例,来演示如何实现网站白名单功能。

具体的配置逻辑是:先在“应用过滤”中禁止所有的网络应用,然后再把要放行的内容加到“例外设置”里面。因为“例外设置”的优先级是最高的,这样就达到了管控的效果,被管控的终端只能访问指定的内容。具体的配置步骤如下:

1. 应用过滤屏蔽所有网络应用

首先在应用过滤中,屏蔽所有的网络应用。

202004101586488114245668.jpg

2. 把允许访问的内容添加到例外设置

DNS是基础应用,在本文中,我们把”钉钉、DNS、钉钉文件传输“都加到“例外的应用”里面。

202004101586488174233491.jpg

202004101586488193140913.jpg

3. 如何放行指定的网站(网站白名单)?

有些网页做的比较复杂,一个网页会引用到多个网站的内容。如果要放行某网页,可能需要放行多个地址。比较常见的是A网页引用了B网站的内容。这种情况下。你单加A网站是不够的,需要把A和B网站都加到白名单里面才可以。

以163邮件为例,单加*.mail.163.com,就会出现这样的情况:

201908291567064353901871.png

要解决该办法,需要把该网页引用的其他站点都加到白名单里面。有两个办法,都可以查到该网页引用的其他站点。


3.1 通过浏览器的F12来查看

如图,浏览器按F12,点击”网络”(Network),然后刷新页面,可以看到连接的站点信息(这些网站都要加白名单)

201908291567064631211239.png

3.2 还可以通过WSG的实时封堵来查看

点击右上角的实时流量图,找到这个IP地址,点击带宽的数字进去。可以看到“实时连接”和“实时封堵”,实时封堵会显示被禁止的内容、协议、以及违反的策略和封堵原因。

201908291567064748332602.png

把被禁止的网站加到白名单里面,然后重复此过程,直到页面显示正常。以163邮箱为例,最终的白名单配置是这样的:

202107051625460504288018.png





« 上一篇 下一篇 »