在公司局域网网络限制上,很多企业都有这样的网络管理需要:禁止电脑上网但可以发邮件、限制计算机上网允许发送邮件。针对这一需求,大势至公司在“聚生网管”系统(最新版下载地址:http://www.grablan.com/soft.html)中集成了这一功能,用户只需要点点鼠标就可以轻松实现:
首先,你可以使用“聚生网管”的白名单来实现,打开“聚生网管”的“配置策略”,然后新建一个策略,或者直接利用聚生网管集成的默认策略,双击策略即可打开编辑,然后切换到“网络限制”这里,选择“启用WWW访问控制”,然后选择“应用限制规则来访问WWW”,并勾选“激活自定义网址列表控制规则”,然后在后面的下拉框内选择“白名单方式”,然后点击“编辑”,即可在这里添加允许访问的邮件网址或者IP地址。
我们以网易信箱为例,首先需要添加网易的首页:www.163.com ,这样才可以打开网易的首页,然后是添加网易邮箱相关的所有网址,比如email.163.com、mail.163.com等等,值得注意的是,单纯只是加邮箱的网址还无法完全保证邮箱一定可以正常收发邮件,有时候还必须添加一些看似和邮箱访问无关的网址,如reg.youdao.com,这个网址本身是网易的搜索引擎,但是由于网易可能对邮箱登陆账户和其搜索引擎注册账户做了整合,这里必须添加;此外还需要添加126.com、126.net等等网址,原理相同;对于通过Foxmail、Outlook等客户端收发邮件的情况下,还需要添加pop.163.com和smtp.163.com,以此类推,否则可能导致无法正常收发邮件。
图:网管软件设置白名单只让访问163邮箱的功能
值得注意的是:其他邮箱也可能面临着这些问题,比如QQ邮箱的登陆网址里面有一个“ptlogin2.qq.com”,这个网址是登陆QQ邮箱必须的,因此也需要添加进来(注:正式版用户由我公司直接提供相关的邮箱白名单规则,既可以为客户定制,又可以提供支持所有互联网邮件的收发的许可规则,用户直接导入就可以让用户使用互联网所有邮箱但禁止打开其他无关网址了)。
那么我们如何知道某个邮箱的所有登陆相关的网址呢,有两种方法:
方法1:通过聚生网管右侧的实时网址输出日志来识别邮箱网址。
在聚生网管的左侧鼠标点击某个主机(蓝条选中状态),然后在右侧这里会显示“单个用户访问日志(在主机表中单击)”这里就会对应显示主机当前访问的网址和公网IP地址情况。那么这种情况下,你可以把这个电脑上相关其他应用都关闭(防止误判断),然后再登陆邮箱(比如163的邮箱),然后右侧就会出现163的邮箱网址或IP地址,然后你需要将这些IP地址或相关的网址都加入到白名单网址(因为这些网址和IP地址肯定是访问邮箱过程中必要的),才可以保证邮箱正常访问;有时候我们需要每加一个邮箱网址就进行下一步,直到可以正常收发邮件为止。如下图所示:
图:鼠标单击选中某个主机
图:显示163邮箱的相关网址或IP地址
方法2:通过聚生网管系统自带的抓包工具来实现。
当然,你也可以在这个主机上右键点击,然后选择“查看主机详细流量信息”(记住:一定是先开启抓包,然后再在被控制的电脑上登录邮箱),同样也可以捕获这个主机当前访问的IP或网址情况,然后将捕获到的IP或网址也将其加入到白名单中去(为了保证检测的准确性,在进行捕获包的过程中尽量在客户端电脑上关闭无关的网络应用),如下图所示:
图:在主机上右键点击选择“查看主机详细流量信息-已转发”
点击之后,你就可以看到聚生网管正在对这个电脑进行网络抓包,然后持续一段时间(比如到你打开邮箱为止,或者等邮件附件上传完毕为止),你就可以点击“停止”按钮,停止抓包,然后就可以在这里观察那些IP的报文数量较多,通常就是登陆邮箱或上传附件相关的,然后需要将这些IP地址加到白名单(如果是单个IP地址的话,可以加到“网络限制”的白名单;如果是经常发现IP地址变更但还是有一些规律的话,比如ip地址的前两位或前三位一致,则可以考虑在“全局白名单”这里添加IP地址段,以保证邮箱可以完全访问,例如如果经常出现的ip地址为125.58.177.56……125.58.177.231,则可以把125.58.177.1-125.58.177.255,整个都加入到“全局白名单”,如下图所示:
图:聚生网管网络抓包个数
图:聚生网管抓到的IP地址、端口、协议和网址情况(图为163邮箱的IP地址段)
在聚生网管的最新版中,集成了禁止访问WWW但允许发送邮件的功能,这样进一步方便了用户的选择,使得用户不需要添加邮箱网址,而只需要点点鼠标就可以完全禁止电脑上网但允许发送邮件了,如下图所示:
图:启用禁止电脑上网但可以发送邮件的功能
其次,对于局域网电脑可能通过客户端发送邮件的情况,如Outlook和Foxmail的情况,由于这些客户端发送邮件必须要经过25或110端口,因此你必须通过聚生网管的“超级白名单”来放行这些端口。具体方法如下:
点击聚生网管的“全局配置”,如下图所示:
图:聚生网管“全局配置”
然后切换到“优先级设置”,然后勾选“启用网络应用优先级设置(QOS)”,并点击下面的“启用全局白名单设置”,然后就可以在这里添加端口、IP(在一些情况下,如果只是通过网页白名单无法完全放行邮件使用的情况下,就需要在这里添加邮箱登陆的服务器IP地址段了,具体请联系我公司咨询)或网址了,如下图所示:
图:启用聚生网管的“超级白名单”功能
值得注意的是,聚生网管的“超级白名单”功能,其实还可以实现对特殊网络应用的免监控、免过滤功能(也即聚生网管在收到相关报文后直接转发而不进行各种过滤,从而可以大幅度提升报文传送效率),也就是添加到全局白名单的IP地址、端口或网址的访问,将不会再经过聚生网管的P2P下载限制、聊天限制过滤、网址过滤、炒股限制过滤、网络游戏限制过滤、网购限制等等所有在聚生网管控制策略里面的各种网络应用过滤,从而可以为关键网络应用提供优先的、高性能的数据包转发功能,避免了因为部署网络管理软件而对网络关键应用的性能影响,实现了精准的网络控制。
总之,通过聚生网管的网址白名单和超级白名单,可以精确实现局域网各种网络应用的控制,可以很好地配合网络管理员对局域网电脑实施各种层面、维度和针对性的网络管理;同时,通过聚生网管系统集成的网络抓包功能,网管员还可以了解公司局域网网络运行情况,便于网管员分析网络流量、进行报文统计、查看网络应用以及保护网络安全等等方面的网络管理功能。
相关链接:
已有 0/21278 人参与