使用IP地址来禁止内部用户上网

最新推荐文章于 2023-11-12 11:21:56 发布
最新推荐文章于 2023-11-12 11:21:56 发布
阅读量3.1k 收藏
点赞数
分类专栏: windows系统 文章标签: 网络 yahoo 防火墙 internet server 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/psyl/article/details/328169
版权
 

在ISA Server 2004中,禁止客户上网是很简单的事情,你可以通过禁止IP和禁止用户两方面来进行设置。这篇文章中讨论的是使用IP地址来禁止某些客户上网,适合于IP地址固定的环境。
至于如何使用身份验证来禁止用户上网,会在本站的另外一篇文章“How to :使用身份验证来禁止内部用户上网”中进行介绍。


在访问规则的设置上,又可以分为隐性禁止和显式禁止两种。隐性禁止就是不明确允许客户访问外部网络,适合于严格定义策略的环境,如在策略中只允许某些客户上网,那么其他客户就自然不能上网了。显式禁止则是明确禁止某些客户访问外部网络,适合于在宽松定义策略的环境中禁止某些客户不能上网。
如果使用IP地址来禁止,表现就为是否明确这个IP上网或者是否明确禁止这个IP上网。


就策略的选用上来说,我个人倾向于后面的那种,可能是因为我比较懒的原因:)。不过相信在大多数网络环境中都是采用的宽松定义的策略,我下面就以明确禁止客户上网来给大家讲讲如何进行设置。

一、通过IP来禁止

首先谈禁止IP的部分,这个适合于固定IP配置的用户。

操作步骤如下:

1、对需要禁止上网的客户新建一个地址集或者计算机集;


2、对这些禁止的客户需要访问的目的地址新建一个地址范围或域名集;当然对于完全禁止这个客户上网,那么这一步可以省略,使用ISA自带的外部网络就可以了。

3、在防火墙策略中新建一个访问规则;


在这篇文章中,我们以客户机IP为192.168.0.41为例,先设置策略禁止它访问外部网络,然后设置策略禁止它访问YAHOO网站,不过可以访问其他网站。

首先在防火墙策略右边的工具箱里面点开“网络对象”,然后右击“计算机集”,然后选择“新建计算机集”;



然后在“新建计算机集”对话框上点击“添加”,然后选择“计算机”;



在“添加计算机”对话框,输入该计算机名字和IP地址,点击“OK”;



建好的计算机集如下图所示,点击“OK”;



然后右键点击防火墙策略,选择新建“访问规则”,在新建访问规则向导页输入规则的名字;



规则动作为阻止,然后在源网络中选择刚才建立的Denyed Clients。



目的网络选择外部;



按照提示进行,最后建立好的防火墙策略应该如下图所示,点击“应用”保存修改和更新防火墙设置;


注意看,第2条策略就是“无限制的Internet访问”,这条策略允许所有的内部客户访问外部网络;

 



然后,在这个客户上进行测试,如下图,这个客户已经不能访问网络了。




现在我们试试只是让这个客户不能访问YAHOO的网站,而能够访问其他网站。


首先,得为禁止这个客户访问的目的地址建立一个集,我这儿图省事,使用的是域名集,如果使用其他的,还需要找IP地址。同样在“网络对象”中,右击“域名集”,选择“新建域名集”;



在域名集中我添加了YAHOO的网站;



然后在刚才建好的Denyed
Clients这条策略上双击,修改它的目的网络属性,从“外部”改为“*.yahoo.com”;



修改后的策略如下图所示,点击“应用”;



现在再到客户机上,访问ISA中文站,是可以访问的;



但是yahoo就不能访问了



 

 


抱歉:这篇文章配图中,为规则及一些对象所起的名字有英文语法错误,不影响文章本身的内容。我英文差,请见谅:(。
psyl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何通过IP-guard禁止外来计算机访问内网计算机的共享资料
IP-Guard专栏
06-05 709
如果内网所有计算机都安装了客户端,那么可以通过网络监控模块实现; 在IP-guard V3控制台对"整个网络"设置两条网络控制策略,实现没有安装客户端的计算机不能访问客户端网络共享的需求; 在视图中策略从下到上分别是: 禁止、双向通讯、端口为tcp:135-139,tcp:445、全部网络地址。 允许、双向通讯、端口为tcp:135-139,tcp:445、全部网络地址、对方是客户端。 ...
外网 IP 自动转发到指定的邮箱。支持Gmail的邮箱。
04-17
本软件禁止安装在他人的计算机上。否则后果自负。 支持Gmai和sohu,163的SMTP服务器。只有在外网连接并且打开IE时才发送。并且实时检测保存在INI 文件中的加密IP地址。不同时自动发送。支持多个邮箱。支持SSL认证的邮箱。注意自动发送使能才激活自动发送。可以同时发送多个附件。特别适合动态跟踪变化的IP地址。如,拨号上网的ADSL. 本软件同时可以用作邮件发送客户端,支持多个附件。DELPHI2007+INDY开发,内部内嵌 OPSSL 认证动态库。 设置热键CTRL+ALT+D.
软件路由(Anyrouter)网络监控
05-25
名称:Anyrouter,版本2.32;公司名称:厦门天锐科技有限公司;主页:www.tipray.com<br/>【AnyRouter标准版】是一个集路由器、DNS服务器、NAT、上网日志记录、上网限制于一身的代理服务器软件,用于实现局域网内的所有计算机共享一个 Internet 连接(连接方式包括MODEM、xDSL、宽带等)。安装使用非常简单,仅需在服务器安装即可。是实现局域网共享Internet连接的最佳选择! <br/>具有路由器的寻径功能,让局域网里的多台计算机进行共享上网,还能对外来访问进行隔离,起防火墙作用,自动保护内部网络不受到外部的攻击; <br/><br/>DNS域名查询转发功能; <br/><br/>可以端口映射实现反向代理功能,让外部访问受NAT保护的内部网络所提供的一些服务; <br/><br/>支持基于MAC地址的限制,提供限制可访问的URL的安全功能,提供限制聊天/游戏工具的功能; <br/><br/>提供MAC地址绑定的功能,禁止局域网的计算机随意修改MAC地址或者IP地址; <br/><br/>提供上网行为监控的功能,提供流量监视和限制的功能。 <br/><br/>提供禁止聊天(比如QQ、MSN等)、游戏的功能。 <br/><br/>内嵌ARP绑定功能,防止ARP攻击<br/>【AnyRouter•专业版】是一款功能强大的计算机监视、控制与管理系统软件。用于监视计算机开机后的使用情况,防止滥用计算机,杜绝信息外泄。 <br/>实时或指定时间间隔抓取客户机屏幕,并将屏幕内容保存到服务器; <br/><br/>实时统计、保存客户机应用程序使用情况; <br/><br/>实时记录客户机程序窗口切换情况,并在窗口切换时保存客户机屏幕内容; <br/><br/>实时监视客户机打印机的使用情况; <br/><br/>限制客户机应用程序的使用禁止使用各类聊天工具(QQ、MSN、Yahoo Messenger等),禁止使用游戏软件,禁止使用BT软件等; <br/><br/>限制客户机外设的使用禁止USB、光驱、软驱等的使用) <br/><br/>实时监视客户机的聊天内容(包括QQ、MSN、Skype等十几种聊天工具) <br/><br/>实时记录客户机Windows用户的登录情况 <br/><br/>记录客户机软件/硬件清单 <br/><br/>实时获取客户机当前运行的所有进程,提供远程任务管理器的功能<br/>
大势至网络准入控制系统 v8.0.rar
07-15
大势至局域网准入控制系统是一款专门隔离局域网电脑的软件。软件不仅可以防止外来电脑接入公司局域网,而且还可以隔离局域网电脑访问其他电脑或服务器共享文件,禁止局域网电脑之间相互通讯,同时还可以禁止局域网使用无线路由器、防止局域网arp攻击、禁止局域网代理上网禁止修改ip地址禁止修改mac地址,全面保护局域网网络安全。大势至局域网准入控制系统使用方便,速度快,质量高,对于用户来说是一款很不错的软件,小编这里推荐大家使用这款软件! 大势至局域网准入控制系统功能 1、禁止外部电脑(如笔记本)或移动设备(如平板电脑或手机)接入单位局域网访问因特网 2、禁止外部电脑访问局域网内部电脑资源或服务器共享文件、禁止外部电脑和单位内部电脑通讯 3、禁止单位内部电脑修改IP地址或MAC地址,防止IP地址盗用、防止IP冲突攻击、防止越权上网或逃避网络监控 4、禁止单位局域网电脑私自、主动访问外部电脑或移动设备,也即外部电脑不能访问内部电脑,内部电脑也不能主动访问外来电脑,实现双向隔离 5、实时探测局域网内部电脑或外来电脑的在线与不在线情况 6、突破一切防火墙隔离内部电脑或外部电脑上网或访问内部局域网的行为 7、检测局域网内处于混杂模式的网卡,防止局域网电脑运行黑客软件、嗅探软件、抓包软件等 8、防御局域网ARP攻击、抵御ARP欺骗、防止ARP病毒攻击、防止ARP劫持攻击等。 大势至局域网准入控制系统截图
网络安全使用管理制度.docx
06-09
网络安全使用管理制度 目的 为维护正常工作次序,规范个人用户上网行为,提升工作效率,更好的利用公司 网络资源,并保证网络安全,特制定本制度。 2、适用范围 本管理规定适用于公司全体员工。 定义 规范计算机使用网络使用的管理制度。 4、职责 4.1网络管理员负责公司网络建设、维护,以及对网络用户的行为监控。 4.2各部负责人对本部门内开通网络访问权限的所有员工上网行为负有监督管理责任。 5、信息安全与防护措施 员工参加讨论及、交流时,严禁在信息系统上发布不健康的内容;凡是涉密的内容未经许可不得在信息系统上发布。 公司各办公室、各部门在内部网上传的电子公文、数据报表、各类电子文档,应严格设置安全保密权限,各类人员要按保密级别上传,不能以公告、调查、请示、报告方式上传。 全体员工在使用信息系统的过程中,禁止上传带有病毒的文件,以避免资料中毒、损坏或丢失。对所有外来的磁盘、电子邮件等均需进行病毒检测后方可使用。 系统使用过程中如现的异常情况,例如:密码被盗等,应及时与信息系统管理员联系,减少损失。 公司所有人员不得将公司及各系统数据库、网络文档、公司光盘内容提供给第三方,否则将按照有关规定追究其责任,特殊需要须经公司领导批准。 公司统一开设企业邮箱,员工入职时按办理开通手续。与工作相关的信息、文件传递必须使用企业邮箱办理。 员工不得随意泄露邮箱密码,更不得未经许可擅自查看他人邮箱。 网络安全使用管理制度全文共3页,当前为第1页。员工离职时,不得清空企业邮箱,行政人事部及通知相关管理人员停止离职人的企邮使用并做全靠检查。 网络安全使用管理制度全文共3页,当前为第1页。 公司行政管理部门有权对网上输入输出信息进行监控、修改和删除,或要求用户修改和删除。 6、办公电子设备的使用管理 使用人应按正常操作程序使用电脑,下班时应关闭电脑设备电源,由于操作错误造成电脑故障的,维修费用由当事人承担。 台式电脑由专职或兼职信息管理员统一管理,严禁私自搬移,由于操作错误造成电脑故障的,维修费用由当事人承担。 公司一切网线、网络设备设有专人负责维修处理,其他人未经许可一律不得私自拆卸、自行维修,否则一切后果由当事人承担全部责任。 禁止在计算机网络中进任何干扰网络用户,破坏网络服务和网络设备等行为。 不得随意增加、删改计算机主要设备的驱动程序,不得随意增加、删除计算机主要设备的驱动程序,不得自行修改计算机IP地址。 7、处罚规定 网络管理员每月末对本月严重滥用网络行为、违反公司上网制度的员工统计、保留上网记录,分析其网络活动内容,提供给部门负责人,也作为相应处罚的依据。 网络管理员对违反上网规定的行为提供相关证据,公司依据情节轻重及给公司造成的损失或影响,对当事人进行相应的失职问责,情节严重的有权解除劳动合同。 因违反上网行为规定对公司网络资源造成破坏,影响公司网络正常运行的,除赔偿公司产生的经济损失外,有权给予经济处罚 有下列行为之一的,将视其情节轻重,对相关责任人分别给予警告、通报批评、嫌犯罪的,依法移交司法机关处理: 利用公司计算机网络从事危害国家安全及法律法规明令禁止的一切活动。 禁止利用计算机玩游戏、聊天、看电影、视频;禁止浏览进入反动、色情 邪教等非法网站、浏览非法信息以及电子信息收发有关上述内容的邮件;不得通过互联网或光盘下载安装传播病毒以及黑客程序。 严禁任何人员利用公司网络及电子邮件传播反动、黄色、不健康及有损企业形象的信息。 使用QQ、MSN等聊天工具做与工作无关的事情。 网络安全使用管理制度全文共3页,当前为第2页。对有关的系统软件和应用软件进行非法复制、传播、或用于其它商业用途的,造成严重影响的。 网络安全使用管理制度全文共3页,当前为第2页。 过量下载或上传,使用迅雷、网际快车、BT、电驴等占用网络资源的软件进行下载。 对于公司内部的一些共享资源使用,任何人禁止随意访问未经授权的网络资源,禁止随意进入他人的主机及其共享文件夹。用户应当对其共享资源进行加密。 使用任何手段窃听或盗取公司网络上数据、数据流等电子信息。 冒用他人名义从事网络活动。将公司网络平台上公布的信息任意散布至公司之外。 其它未规范及员工手册已规范的,参照员工手册执行。 行政人事部 2014年2月17日 网络安全使用管理制度全文共3页,当前为第3页。 网络安全使用管理制度全文共3页,当前为第3页。 word 网络安全使用管理制度 3 word
防火墙(firewall)
热门推荐
商务合作|种草文章|产品测评
06-14 2万+
防火墙网络安全的第一道门户, 可以实现内部网(信任网络)和外部不可信任网络之间,或者内部网不同网络安全区域之间的隔离与访问控制,保证网络系统及网络服务的可用性。狭义的防火墙是指安装了防火墙的软件或路由器系统,而广义的防火墙还包括整个网络的安全策略和安全行为。......
通过防火墙禁止访问指定网站(个人电脑,Windows系统)
最新发布
AbaloneVH的博客
11-12 6578
背景:近年沉迷B站视频不能自拔,使用了诸多手段禁用,都很容易破戒。为了彻底杜绝B站的使用,决定手动进行设置。
华为防火墙,如何配置禁止一网段IP上网
玩人工智能的辣条哥的博客
03-29 8451
环境: 华为USG6311E VRP ® Software, Version 5.170 (USG6300E V600R007C00SPC200) V200R007C00SPC091 问题描述: 华为防火墙,如何配置禁止一网段IP上网 解决方案: 1.新建要禁止的对象,假设为名称为1禁内容为192.168.1.2、、、192.168.1.250 2.策略-新建安全策略,最后动作选禁止,确定就完成配置 3.如后期新上线ip为192.168.1.33是在禁止对象里面的,他开始是不能上网,要将它从对象内容删除
02. 禁止修改 IP 上网 ❀ 飞塔 (Fortinet5.4) 防火墙
m0_37281670的博客
02-24 830
         【简介】我们已经知道了可以在策略里指定某些IP允许上网,也可以指定某些IP禁止上网,但是如果某个员工知道了某个IP是可以上网的,把他自己的电脑改成这个IP,那...
防火墙限制IP访问
疏笃
08-23 1466
配置好后重启一下防火墙使生效。启动防火墙限制IP访问。
网络准入控制系统 v6.0
11-10
防止IP地址盗用、防止IP冲突攻击、防止越权上网或逃避网络监控4、禁止单位局域网电脑私自、主动访问外部电脑或移动设备,也即外部电脑不能访问内部电脑,内部电脑也不能主动访问外来电脑,实现双向隔离5、实时探测...
思科防火墙ASA5520配置
aswang的专栏
11-03 1338
思科防火墙ASA5520配置: 目的:1、内网可以上网  2、内网可以访问DMZ区域的服务器  3、外网可以通过公网IP访问DMZ区域的服务器   要求:1、内网的网段192.168.10.0  2、DMZ的网段192.168.5.0  3、外网IP地址:200.200.200.82 200.200.200.83 网关255.255.255.248(这个地址一般是运营商提供...
【控制篇 / 策略】(5.4) ❀ 01. 禁止指定的 IP 上网 ❀ FortiGate 防火墙
防火墙技术专栏
03-29 8830
在一个员工比较多的环境里,互联网访问需要做某些限制,最常用的限制就是哪些人员可以上互联网,哪些人员不能上互联网,我们可以通过电脑的IP地址,在防火墙上设置策略,允许或禁止某些IP地址上网。...
如何禁止计算机被网络访问,局域网内如何禁止别人访问自己的电脑
weixin_35552177的博客
06-21 4759
在一个局域网或者广域网中,如果不想让某一台电脑或者几台特定的电脑访问自己的电脑,那么怎么设置呢,下面小编教大家一起设置。局域网内禁止别人访问自己的电脑的方法1桌面上找到我的电脑,右键点击,在出现的快捷菜单中点击【组策略】。2在组策略中依次找到【Windows设置】、【安全设置】、【IP安全策略】3在IP安全策略的右边窗口中右键点击空白处,在出现的快捷菜单中选择【创建IP安全策略】。在IP安全策略向...
【控制篇 / 绑定】(5.4) ❀ 01. 通过 MAC 地址绑定 IP 的方式限制上网 ❀ FortiGate 防火墙
防火墙技术专栏
04-01 6668
我们已经知道了可以在策略里指定某些IP允许上网,也可以指定某些IP禁止上网,但是如果某个员工知道了某个IP是可以上网的,把他自己的电脑改成这个IP,那不是也能上网了?为了防止修改IP地址后可以上网,我们需要将IP地址与网卡的MAC地址绑定在一起,这样即使修改了IP地址,但MAC地址不符,也是不能上网的。...
限定特定的IP访问服务器
weixin_34308389的博客
09-08 1519
需求:windows and Linux系统仅限指定的IP或网段登陆解决方法和思路:1. Windows设置的方法有多种:方法一:通过本机自带的防火墙设置限制IP访问,修改下面三个规则属性:点击属性,查看对应设置:设定可以访问的地址段或IP,即可方法二:通过IP安全策略控制:打开本地安全策略:开始-运行-输入secpol.msc或者开始-程序-管理工具-本地安全策略弹出来的...
Telnet tftp cvs 等IP限制在CentOS 7 Systemd的使用
拖拖拉拉的册子
03-01 694
单片机还是需要telnet和tftp的,以前telnet用xinet限制IP访问。CentOS开始使用systemd作为telnet启动,规矩和以前不一样了。记录一下 原理: Service units acquired two new options IPAddressAllow= and IPAddressDeny=, taking a list......
华三防火墙使用固定IP地址方式上网
07-28
华三防火墙使用固定IP地址方式上网的配置步骤如下: 1. 在对象设置中,新建一个特定内网地址对象,将其设为名称为16,IP地址为192.168.200.16,该对象用于表示内网主机。 2. 在策略设置中,新建一个NAT策略,命名...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值