文档编号:867
浏览:6052 评分:10
最后更新于:2011-03-10
用户需求:
某企业用户想控制一个部门上网只允许访问指定的网站,其余所有服务禁止。
配置步骤:
通过防火墙功能实现。
1、在“防火墙”—“地址组”里添加需要控制上网的部门的IP地址组。
2、在“防火墙”—“服务组”里添加相应服务组,包括“允许访问”组(允许访问的网站,如工行网站www.icbc.com.cn,可写入icbc)与“允许服务”组(web与https)。
3、在“防火墙”—“访问控制策略”里添加控制策略。
配置好后并且启用防火墙访问控制策略。
问题诊断:
用户发现财务部确实是除了网页以外其余上网应用都被禁止了,但是所有网站还是能正常浏览访问。检查发现财务部电脑的DNS地址配置有问题,即电脑上设置的DNS地址均是内网私有DNS服务器地址(200.200.200.251与200.200.200.250)。
到这里问题原因找到了。用户在“服务组”里添加的服务类型是DNS的,也就是说路由器会根据DNS解析来控制财务部电脑访问网站。但是电脑上配置的DNS地址是内网的,电脑发出的DNS解析数据不会发往路由器,路由器也就无法控制财务部电脑访问网站了。
解决办法:
1、 修改财务部电脑的DNS地址为公网DNS地址;
2、 设置服务组时选用URL类型。
注意:如果在路由器的“基本配置”—“DHCP和DNS服务器”里启用了DNS代理,并且电脑上的DNS地址设置的是路由器的LAN口地址,这样也会出现以上的问题,解决办法同上。