首頁 > 客戶服務 > FAQ >企業防護資安產品相關問題

如何使用網站管制或管制條例來限制用戶網頁連接

2012/12/27

Q1:請問一下 MH350可否限制內部網路聯外網頁的位置?譬如我只開放yahoo可以上,其他網頁皆不行連?

 

1.我們的MH/SG/UMl 產品有一項" 內容管制"的功能,可以在"網站管制"去設定,請到 -> 管制條例選項 > 內容管制 > 網站 

 

例如:

 

設一條 : ~yahoo 或 ~tw.yahoo.com

第二條 : *


~ 表示開放,* 表示所有禁止

這樣就只開放yahoo可以上 ,其他網頁皆不行連.
若只管制特定網站, 則請直接打入欲管制網站網址( 不要加入 http:// 符號) ,例如 tw.yahoo.com , www.hinet.net ..... 等.

 


2.管制條例--內部至外部設定

來源網路位址 Inside_Any
目的網路位址 Outside_Any
服務名稱 ANY
管制動作,外部網路埠 允許,所有外部網路介面
 

內容管制 開啟

->確定


詳細的使用方式請參考使用手冊的說明,謝謝!

 



Q2:公司目前使用MH-1000系列的防火牆、想要阻擋Facebook,請問該如何設定呢?

 

一樣使用 "內容管制" , MH350/MH1000 產品沒有 FQDN 功能, 所以只能針對 http 網站做封鎖.

 

1.請到,管制條例選項 > 內容管制 > 網站 , 新增以下兩條網址 ( 不要加入 http:// 符號) :

 

app.facebook.com
apps.facebook.com

 

2.管制條例--內部至外部設定

來源網路位址 Inside_Any
目的網路位址 Outside_Any
服務名稱 ANY
管制動作,外部網路埠 允許,所有外部網路介面
流量監控 開啟
流量統計 開啟
內容管制 開啟

->確定

 

針對想管制的對象相對應的管制條例, 啟用 "內容管制"

 

以上完成.
 


使用管制條例範例 (2003-10-28) :


Q3:我是一所高中學校的老師,由於有的老師上課時會發現學生偷玩online game,而且是使用 Port 80 ,如何管制呢?

 

如果 Game 也是用 Port 80 ,就要想其他方式去"阻擋" ,這些方式不外乎 "目的位址" 或 "內容管制" "網站管制"....等.

 

例如:學生會到 game.com 網站玩,那麼 MH350 的設定:

 

到"位址表" ->外部網路 ->新增
名稱:game_com
IP: 200.1.1.100 (假設的 IP)
Mask: 255.255.255.255 (單獨一台網站要 4 個 255 )

設定內至外管制條例:

 

第 1 條:
來源網路位址 Inside_Any
目的網路位址 game_com
服務名稱 HTTP
管制動作,外部網路埠 禁止
........

 

這樣就可以直接禁止用戶去連線此 Game 網站!

 


類似案例 (2003-10-28) :


Q4:是否可以限制某使用者,只能上某網站,其他網站皆都不能上?

 

例如只允許內部電腦 192.168.1.2 只能使用 www.abc.com.tw 其 IP 為 200.1.1.100

 

設定步驟:

 

步驟1 :

設定"位址表"->"內部網路",以建立每一用戶的基本資料:
名稱:emp1 (自己定義名稱)
IP:192.168.1.2
子網路遮罩:255.255.255.255 (單一台電腦要使用 4 個 255)
MAC 位址 :填入使用電腦的網卡卡號
從防火牆取得固定IP位址 ->勾選

 

到"位址表" ->外部網路 ->新增
名稱: abc (自己定義名稱)
IP: 200.1.1.100 (假設的 IP)
Mask: 255.255.255.255 (單獨一台網站要 4 個 255 )

 

步驟2 :設定內至外管制條例:

 

第 1 條:
來源網路位址 emp1
目的網路位址 abc
服務名稱 HTTP
管制動作,外部網路埠 允許,所有外部網路介面

 

第 2 條:
來源網路位址 emp1
目的網路位址 Outside_Any
服務名稱 ANY ( 若允許使用其他服務,只管制網站, 請設為 HTTP )

管制動作,外部網路埠 禁止

 

第 3 條:
來源網路位址 Inside_Any
目的網路位址 Outside_Any
服務名稱 Any
管制動作,外部網路埠 允許,所有外部網路介面

 

管制條例的順序是由第一條依序往下執行的,所以順序不可以任意調換!

 


Q5:因疑似中毒的電腦從管制條例中deny,但用戶自行改IP又繼續使用,是否可將該網卡直接擋掉。

 

可以的,步驟如下:

1.到 "位址表" ->內部網路 (假設該用戶於 LAN 端),新增


名稱:abc (自己取一個)
IP : 0.0.0.0 (表示不限定 IP )
子網路遮罩:0.0.0.0
MAC 位址 :填入該電腦的網卡卡號
從防火牆取得固定IP位址 ->不勾選

 

2.設定內至外管制條例:

 

第 1 條:
來源網路位址 abc
目的網路位址 Outside_Any
服務名稱 Any
管制動作,拒絕

 

管制條例移到第一條的目的是確保此規則有被執行,如果擺在其他位置,請記得管制條例執行順序是由第一條到最後一條.

AboCom. Copyright©2012 www.aboway.com.tw All Rights Reserved.

聯絡我們