上网行为管理之应用控制实验

实验背景

在日常工作中,上班时间经常发现有人看视频,影响工作效率,需要禁止员工访问视频网站,由于越来越多的网站已经开始采用 HTTPS来搭建网站,针对这种现状,实现HTTPS网站的封堵拦截。

实验设备

Win-XP二台

三层交换机一台

山石网科防火墙一台

增加一个网络net:cloud0

实验拓扑

实验步骤

Win-XP

Win-XP1 指定主机 IP:192.168.10.1/24

网关:192.168.10.254,DNS:114.114.114.114

Win-XP2 指定主机 IP:192.168.20.1/24

网关:192.168.20.254,DNS:114.114.114.114

L3-Switch

复制代码
Switch(config)#int g0/0
Switch(config-if)#no switchport
Switch(config-if)#no shutdown
Switch(config-if)#ip add 192.168.10.254 255.255.255.0
Switch(config-if)#exit

Switch(config)#int g0/1
Switch(config-if)#no switchport
Switch(config-if)#no shutdown
Switch(config-if)#ip add 10.1.1.1 255.255.255.252
Switch(config-if)#exit

Switch(config)#int g0/2
Switch(config-if)#no switchport
Switch(config-if)#no shutdown
Switch(config-if)#ip add 192.168.20.254 255.255.255.0
Switch(config-if)#exit

Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2

防火墙

复制代码
login: hillstone        用户名和密码都为hillstone
password:

SG-6000# conf
SG-6000(config)#interface e0/0
SG-6000(config-if-eth0/0)# manage http
SG-6000(config-if-eth0/0)#showinterface       查看e0/0自动获得的IP地址,为管理IP

接下来,在物理主机上,通过浏览器访问管理IP

登录图形化管理界面

配置e0/1接口:绑定安全区域为trust 三层安全区域(路由模式)、IP地址等

配置 e0/0接口:修改绑定安全区域为untrust 三层安全区域(路由模式)、IP 等

为路由模式,配置路由,包括回程路由和缺省路由(通过 e0/0 接口 dhcp已经获得)

为路由模式,配置源NAT策略(即动态NAT),实现内网上公网需求

为路由模式,配置安全策略即包过滤策略(默认拒绝区域间访问),配置策略

让内网网段可以访问公网

接下来测试内网主机可以上公网

禁止访问

禁止 Win-XP2 主机使用视频 APP 在线看电影

移动到前面

禁止 Win-XP2 主机所在网段通过网站在线看电影

选择休闲娱乐

选择URL过滤模板

如果需要支持对 HTTPS 网站做过滤,则需开启 ssl 代理

选择SSL模板

实验结果

接下来测试内网 Win-XP2 主机是否可访问视频网站或视频APP

相关推荐
van叶~2 分钟前
Linux探秘坊-------15.线程概念与控制
linux·运维·服务器
2301_780789664 小时前
UDP和TCP的主要区别是什么
服务器·网络协议·web安全·网络安全·udp
_丿丨丨_5 小时前
XSS(跨站脚本攻击)
前端·网络·xss
一只栖枝6 小时前
HCIA-Security 认证精讲!网络安全理论与实战全掌握
网络·web安全·网络安全·智能路由器·hcia·it·hcia-security
FileLink跨网文件交换6 小时前
文件摆渡系统十大软件|文件摆渡系统如何构建网络安全呢?
网络
一个龙的传说7 小时前
linux 常用命令
linux·服务器·zookeeper
斯是 陋室9 小时前
在CentOS7.9服务器上安装.NET 8.0 SDK
运维·服务器·开发语言·c++·c#·云计算·.net
晨欣9 小时前
大型语言模型(LLM)在网络安全中最具商业价值的应用场景(Grok3 回答 DeepSearch模式)
网络·web安全·语言模型
有书Show10 小时前
个人IP的塑造方向有哪些?
网络·网络协议·tcp/ip
HHRL-yx10 小时前
C++网络编程 5.TCP套接字(socket)通信进阶-基于多线程的TCP多客户端通信
网络·c++·tcp/ip