防火墻限制訪問特定網站案例
阿新 • • 發佈:2018-07-12
告訴 接下來 配置 tcp 一點 解決 p地址 互聯 控制
近日遇到一個客戶有個需求,限制內部用戶只能訪問互聯網某些特定網站,其他都不行。想來沒什麽難度,域間策略放行了DNS地址和網站地址,測試,OK沒問題。
過了幾日,客戶說,網站打不開了,沒人動過設備,這就奇怪了,去現場登錄設備查看,配置確實沒有改動,PING了一下網站地址,是通的,把域間策略關閉,設置成全部放行,就通了,可以正常訪問網站了。看來還是域間策略出問題了,再次測試一下網站IP,發現變了。這就比較麻煩了,網站的IP會變。
IP會變,但是域名不會變,所以通過域名來做控制可以避免這個問題,在寫域名的時候要註意,例如要放行百度,可以寫成 baidu.com,不要加www,不然百度的其他應用就打不開了。
好,這樣就解決了域名IP變化的問題。但是過了幾天,可以要加一個新網站,繼續按之前的操作,發現網頁打不開,還是繼續打開域間策略,就可以訪問了。看來還是在域間策略的目的地址這一塊。
這裏就有一個關鍵點了,現在的很多網站都不再是單純的自己制作全部內容了,會從別的地方調用一些東西,所以說你打開一個網頁,實際是這個網頁又會去告訴你從哪些IP那裏再下載些什麽東西。
了解上面的情況,那接下來就是找到還需要放行哪些IP,這裏要註意一點,真的是對互聯網用戶提供服務器的網站,網頁內容十分豐富,會調用的外部IP可能會很多,所以去找這些IP,很麻煩,這裏還是針對一些內部OA,辦公一類的網站,內容簡單,用戶專一。
先打開域間策略可以訪問,然後在防火墻內根據源IP查找會話列表,此時的會話列表肯定有很多,要根據TCP會話的時間,查找和域名IP同時一起發起的連接的IP地址,再逐個測試排查。雖然麻煩點,最後還是能測試出來具體哪個IP。
上述其實是笨辦法,如果由專門的應用控制設備,可以識別出應用,網站就會簡單多了。防火墻限制訪問特定網站案例