实验背景
在日常工作中,上班时间经常发现有人看视频,影响工作效率,需要禁止员工访问视频网站,由于越来越多的网站已经开始采用 HTTPS来搭建网站,针对这种现状,实现HTTPS网站的封堵拦截。
实验设备
Win-XP二台
三层交换机一台
山石网科防火墙一台
增加一个网络net:cloud0
实验拓扑
实验步骤
Win-XP
Win-XP1 指定主机 IP:192.168.10.1/24
网关:192.168.10.254,DNS:114.114.114.114
Win-XP2 指定主机 IP:192.168.20.1/24
网关:192.168.20.254,DNS:114.114.114.114
L3-Switch
Switch(config)#int g0/0
Switch(config-if)#no switchport
Switch(config-if)#no shutdown
Switch(config-if)#ip add 192.168.10.254 255.255.255.0
Switch(config-if)#exit
Switch(config)#int g0/1
Switch(config-if)#no switchport
Switch(config-if)#no shutdown
Switch(config-if)#ip add 10.1.1.1 255.255.255.252
Switch(config-if)#exit
Switch(config)#int g0/2
Switch(config-if)#no switchport
Switch(config-if)#no shutdown
Switch(config-if)#ip add 192.168.20.254 255.255.255.0
Switch(config-if)#exit
Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2
防火墙
login: hillstone 用户名和密码都为hillstone
password:
SG-6000# conf
SG-6000(config)#interface e0/0
SG-6000(config-if-eth0/0)# manage http
SG-6000(config-if-eth0/0)#showinterface 查看e0/0自动获得的IP地址,为管理IP
接下来,在物理主机上,通过浏览器访问管理IP
登录图形化管理界面
配置e0/1接口:绑定安全区域为trust 三层安全区域(路由模式)、IP地址等
配置 e0/0接口:修改绑定安全区域为untrust 三层安全区域(路由模式)、IP 等
为路由模式,配置路由,包括回程路由和缺省路由(通过 e0/0 接口 dhcp已经获得)
为路由模式,配置源NAT策略(即动态NAT),实现内网上公网需求
为路由模式,配置安全策略即包过滤策略(默认拒绝区域间访问),配置策略
让内网网段可以访问公网
接下来测试内网主机可以上公网
禁止访问
禁止 Win-XP2 主机使用视频 APP 在线看电影
移动到前面
禁止 Win-XP2 主机所在网段通过网站在线看电影
选择休闲娱乐
选择URL过滤模板
如果需要支持对 HTTPS 网站做过滤,则需开启 ssl 代理
选择SSL模板
实验结果
接下来测试内网 Win-XP2 主机是否可访问视频网站或视频APP
