上网行为管理之应用控制实验

实验背景

在日常工作中,上班时间经常发现有人看视频,影响工作效率,需要禁止员工访问视频网站,由于越来越多的网站已经开始采用 HTTPS来搭建网站,针对这种现状,实现HTTPS网站的封堵拦截。

实验设备

Win-XP二台

三层交换机一台

山石网科防火墙一台

增加一个网络net:cloud0

实验拓扑

实验步骤

Win-XP

Win-XP1 指定主机 IP:192.168.10.1/24

网关:192.168.10.254,DNS:114.114.114.114

Win-XP2 指定主机 IP:192.168.20.1/24

网关:192.168.20.254,DNS:114.114.114.114

L3-Switch

复制代码
Switch(config)#int g0/0
Switch(config-if)#no switchport
Switch(config-if)#no shutdown
Switch(config-if)#ip add 192.168.10.254 255.255.255.0
Switch(config-if)#exit

Switch(config)#int g0/1
Switch(config-if)#no switchport
Switch(config-if)#no shutdown
Switch(config-if)#ip add 10.1.1.1 255.255.255.252
Switch(config-if)#exit

Switch(config)#int g0/2
Switch(config-if)#no switchport
Switch(config-if)#no shutdown
Switch(config-if)#ip add 192.168.20.254 255.255.255.0
Switch(config-if)#exit

Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2

防火墙

复制代码
login: hillstone        用户名和密码都为hillstone
password:

SG-6000# conf
SG-6000(config)#interface e0/0
SG-6000(config-if-eth0/0)# manage http
SG-6000(config-if-eth0/0)#showinterface       查看e0/0自动获得的IP地址,为管理IP

接下来,在物理主机上,通过浏览器访问管理IP

登录图形化管理界面

配置e0/1接口:绑定安全区域为trust 三层安全区域(路由模式)、IP地址等

配置 e0/0接口:修改绑定安全区域为untrust 三层安全区域(路由模式)、IP 等

为路由模式,配置路由,包括回程路由和缺省路由(通过 e0/0 接口 dhcp已经获得)

为路由模式,配置源NAT策略(即动态NAT),实现内网上公网需求

为路由模式,配置安全策略即包过滤策略(默认拒绝区域间访问),配置策略

让内网网段可以访问公网

接下来测试内网主机可以上公网

禁止访问

禁止 Win-XP2 主机使用视频 APP 在线看电影

移动到前面

禁止 Win-XP2 主机所在网段通过网站在线看电影

选择休闲娱乐

选择URL过滤模板

如果需要支持对 HTTPS 网站做过滤,则需开启 ssl 代理

选择SSL模板

实验结果

接下来测试内网 Win-XP2 主机是否可访问视频网站或视频APP

相关推荐
D-海漠7 分钟前
Modbus_TCP_V4 客户端
网络
程序员弘羽13 分钟前
Linux进程管理:从基础到实战
linux·运维·服务器
虚!!!看代码44 分钟前
【Sentinel学习】
网络·sentinel
liulilittle1 小时前
VGW 虚拟网关用户手册 (PPP PRIVATE NETWORK 基础设施)
开发语言·网络·c++·网关·智能路由器·路由器·通信
网硕互联的小客服1 小时前
服务器如何配置防火墙规则以阻止恶意流量和DDoS攻击?
服务器·网络·ddos
AIbase20241 小时前
国内MCP服务平台推荐!aibase.cn上线MCP服务器集合平台
运维·服务器·人工智能
Qiq9221 小时前
怎么分析内网ipv6和ipv4流量占比?
网络
数通Dinner1 小时前
P/A初始化协商
网络
网安小白的进阶之路1 小时前
A模块 系统与网络安全 第三门课 网络通信原理-3
网络·windows·安全·web安全·系统安全