WSG上网行为管理自带的网页过滤策略,可以基于我们的网址库屏蔽恶意站点。但是“网页过滤”只针对网页浏览(http、https)的访问方式,如果要禁止非Web方式的访问,比如tcp/udp/icmp(ping)等,需要用防火墙规则来进行限制。具体步骤如下:
1. 新增防火墙规则
区域选择“内网”,方向选择“转发”,内网-转发就是控制内网终端访问外网的行为。“目的”选择“自定义”,协议选择“所有”(所有包括所有的TCP,UDP和ICMP),动作选择“阻止”。如下图:
2. 编辑自定义IP
点击“编辑”,选择“自定义IP”,这里可以输入IP地址、网段或者域名。IP和网段的策略是立即生效的,基于域名的策略需要学习的过程,需要等待2-3分钟才可以生效。如下图:
经过上述步骤,就可以禁止网络层到这些外网IP的访问。建议增加一个“禁止恶意IP”的策略,发现了新的IP都可以直接添加在这条策略里面。
