上网行为管理之应用控制实验

实验背景

在日常工作中,上班时间经常发现有人看视频,影响工作效率,需要禁止员工访问视频网站,由于越来越多的网站已经开始采用 HTTPS来搭建网站,针对这种现状,实现HTTPS网站的封堵拦截。

实验设备

Win-XP二台

三层交换机一台

山石网科防火墙一台

增加一个网络net:cloud0

实验拓扑

实验步骤

Win-XP

Win-XP1 指定主机 IP:192.168.10.1/24

网关:192.168.10.254,DNS:114.114.114.114

Win-XP2 指定主机 IP:192.168.20.1/24

网关:192.168.20.254,DNS:114.114.114.114

L3-Switch

复制代码
Switch(config)#int g0/0
Switch(config-if)#no switchport
Switch(config-if)#no shutdown
Switch(config-if)#ip add 192.168.10.254 255.255.255.0
Switch(config-if)#exit

Switch(config)#int g0/1
Switch(config-if)#no switchport
Switch(config-if)#no shutdown
Switch(config-if)#ip add 10.1.1.1 255.255.255.252
Switch(config-if)#exit

Switch(config)#int g0/2
Switch(config-if)#no switchport
Switch(config-if)#no shutdown
Switch(config-if)#ip add 192.168.20.254 255.255.255.0
Switch(config-if)#exit

Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2

防火墙

复制代码
login: hillstone        用户名和密码都为hillstone
password:

SG-6000# conf
SG-6000(config)#interface e0/0
SG-6000(config-if-eth0/0)# manage http
SG-6000(config-if-eth0/0)#showinterface       查看e0/0自动获得的IP地址,为管理IP

接下来,在物理主机上,通过浏览器访问管理IP

登录图形化管理界面

配置e0/1接口:绑定安全区域为trust 三层安全区域(路由模式)、IP地址等

配置 e0/0接口:修改绑定安全区域为untrust 三层安全区域(路由模式)、IP 等

为路由模式,配置路由,包括回程路由和缺省路由(通过 e0/0 接口 dhcp已经获得)

为路由模式,配置源NAT策略(即动态NAT),实现内网上公网需求

为路由模式,配置安全策略即包过滤策略(默认拒绝区域间访问),配置策略

让内网网段可以访问公网

接下来测试内网主机可以上公网

禁止访问

禁止 Win-XP2 主机使用视频 APP 在线看电影

移动到前面

禁止 Win-XP2 主机所在网段通过网站在线看电影

选择休闲娱乐

选择URL过滤模板

如果需要支持对 HTTPS 网站做过滤,则需开启 ssl 代理

选择SSL模板

实验结果

接下来测试内网 Win-XP2 主机是否可访问视频网站或视频APP

相关推荐
灵机一物1 分钟前
2026算力推荐进入专业化阶段:超互联品牌如何构建企业AI选型能力矩阵
服务器·人工智能·决策树·云平台
裤兜里有钱6 分钟前
关于Xshell连接虚拟机Linux失败的主要原因
linux·运维·服务器
ward RINL13 分钟前
# GPT-5.6-sol vs GPT-5.5 新题实测:非弹性碰撞物理题和稳定路由算法
网络·gpt·算法
辞旧 lekkk27 分钟前
CMake工程指南(一)
linux·运维·服务器·开发语言·qt·学习·萌新
凤年徐32 分钟前
哪些远程办公软件支持多屏协作?2026年7月远程办公工具横评:UU远程成首选,多屏协作、大文件传输等实用功能拉满
服务器
wang_shu_mo_ran37 分钟前
网络编程(二):UDP数据报在客户端与服务端之间的传输
网络·网络协议·udp
humors22141 分钟前
【转帖】关于防范AI编程工具Claude Code安全后门隐患的风险提示
网络·安全·ai编程
深度智能科技1 小时前
IPv6无网络访问权限怎么解决?【图文讲解】Win10/Win11 IPv6无网络访问权限完整修复实操教程
网络·ipv6·深度c盘清理·ipv6协议开启自动获取ip·ipv6无网络访问权限·上不了网怎么办·防火墙拦截ipv6
AC赳赳老秦1 小时前
Excel 动态仪表盘制作:用 OpenClaw 自动处理数据、生成交互式图表并实时更新仪表盘
大数据·服务器·后端·测试用例·excel·deepseek·openclaw
梦帮科技1 小时前
Rust+Tauri+EVM:构建下一代内存安全级数字版权(DRM)主权音频网络与跨链金融系统的技术实践与全景架构
网络·安全·架构·rust·区块链·音视频·web3.py