iT邦幫忙

0

有辦法限制ie只能訪問特定的網段或網站嗎?

2bears 2009-04-27 10:05:1719054 瀏覽
  • 分享至 

  • xImage

請問一下,使用xp內建的 gpo 或防火牆....(不使用外面的軟體)
有沒有辦法做到 當使用者開啟ie時,只能連到我允許的網段(例如 10.0.1.0/255.255.255.0) 或特定的主機
我的目的是在不關閉dns的前提、也不關掉ie程式,我只希望使用能用ie連到我公司開放的特定網段或特定主機 ?

謝謝您的幫忙

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
34
bestken
iT邦新手 1 級 ‧ 2009-04-27 13:17:23
最佳解答

1.使用硬體設備 Firewall...等,但要花錢!

2.裝proxy Server,需要一點技術,不會就找廠商花錢!

3.偷吃步一,騙騙一般USER
(1)在內部建立一個DNS,只會解析內部網站(如10.0.1.0/255.25.255.0 )
(2)透過DHCP將所有USER的DNS指到這一台
(3)一般USER因為解析不到外部網站,所以IE開了無用。

破解:
(1)打IP囉
(2)自己更改DNS到其他(如中華168.95.1.1),這個可以透過防火牆GPO來鎖

4.偷吃步二,騙騙一般USER
(1)透過GPO將IE設定一個假的proxy(如 1.1.1.1 8080),設定排除內部網站
(2)當開啟IE時,就只能連接內部網站(設定排除範圍的)
(3)再加一道鎖,透過防火牆GPO將DNS port全鎖!

缺點:如果是NB拿到公司外,也沒法上網(proxy被鎖定)
破解:
(1)打IP囉
(2)自己裝Firefox or 其他瀏覽器

26
外獅佬
iT邦大師 1 級 ‧ 2009-04-27 10:30:15

可以考慮使用防火牆設備,或者Linux的IP Tables這類的軟體加以限制。

24
bizpro
iT邦大師 1 級 ‧ 2009-04-27 11:28:57

你是否考慮使用Web Proxy? 如squid-cache.org?

曾有印象sarg跑較吃力,而後有lightsquid,也可作同樣的統計用,看看lightsquid是不是真的比sarg更好用?

20
cheng
iT邦好手 1 級 ‧ 2009-04-28 08:27:03

直接設定XP系統,我想這樣不是解決問題喔
因為小白可能會知道你改了什麼再竄改回來
這時候你還是無法完全阻止使用者行為
建議還是透過網管設備直接設定使用者可讀取之網段
這可以防止USER換NB或是修改設定上問題

18
cklin
iT邦新手 2 級 ‧ 2009-04-28 10:44:31

題目很明顯 使用防火牆來管控允許的網段(例如 10.0.1.0/255.255.255.0) 或特定的主機

最簡單的作法:
在Internet Firewall 或 Internet Router(Gateway)
開一條Policy/ACL for Http/Https allow 允許的網段(例如 10.0.1.0/255.255.255.0) 或特定的主機 其餘Drop
內部網段不用檔,因為封包不會繞到 Firewall/Gateway

這屬於正向表列白名單,有在Policy/ACL允許的清單內才可以連的到
不需要動到 DNS / XP / GPO / IE.......

學bestken大大,提供破解方法
不過這一個破解方法一般User可能不太會用,要高段一點的
1.將HTTP封包偽裝成其他開放的通訊協定,如Telnet/DNS/FTP/VPN,再透過在外界(User家裡固定上網主機)架設類似IP-Tunnel/Proxy的主機,還原成 HTTP 封包上網。
這方法真的有點難,小弟之前待的4000人的小公司只有1個人這樣玩,結果還是被逮到...砍頭... :)

borwen iT邦研究生 1 級 ‧ 2009-05-12 16:55:48 檢舉

真的砍喔?
哪家公司這麼猛?

nevermind iT邦新手 3 級 ‧ 2009-05-16 22:49:54 檢舉

因該說被砍的那位仁兄真是有IT的精神..花時間用這個勒~XD

18
twnem
iT邦好手 1 級 ‧ 2009-04-28 21:51:37

可以使用硬體防火牆的方式來加以控管
好處:
1.這樣 USER 就無法去竄改相關設定值
2.方便管理
缺點:
1.需要規劃內部資訊系統硬體的相關設備
2.費用不怎麼便宜,但也要看你們公司是屬於哪種的產業
不同的產業它所花的費用當然不一樣
在這一方面需加以思考,也要審慎的評估

16
蟹老闆
iT邦大師 1 級 ‧ 2009-04-30 04:35:19

如果你的dsn伺服器也安裝了路由及遠端存取服務的話是可行的。
做法:
打開路由及遠端存取mmc-->nat/基本防火牆(擇選對外或對內的網卡皆可)-->點二下該網卡-->輸出篩選器-->新增-->輸入要開放的網站ip-->丟棄所有封包-->確定-->套用-->確定。
要注意的是如果該網頁內含其他ip的連結(如圖片)記得也要一併輸入,否則以it幫幫忙來說會等到超時。

cklin iT邦新手 2 級 ‧ 2009-04-30 16:52:36 檢舉

夢大

請問一下 dsn 伺服器是什麼功能機器啊?
用Google大神找了半天,真的是有很多 dsn server但大多是打錯DNS的....
不好意思 孤陋寡聞~

那如果也是Domain Name Service 的一種,那 bestken 大大的破解方法是否也適用?

18
逮丸逮丸
iT邦大師 1 級 ‧ 2009-05-15 14:33:59

樓上各家的解答都太用力了些,動用到太多其他的資源了。
微軟自己就提供了 SteadyState 就解決了此問題。

有圖有真相,如下圖所示:

在 User Settings 裡,針對該使用者,
在Feature Restrictions,勾選 Prevent Internet access (except Web sites below)
然後在下面的 Web Addressess Allowed 指定可瀏覽的網域。

當然,前提是該帳號的權限,應該是不可以自行執行或安裝自己帶來的程式,
不然從隨身碟中執行安裝 Firefox 的檔就破功了…
當然,也不能有權限去執行 SteadyState…

基本上 SteadyState 是個還不錯的管理電腦的工具。

我要發表回答

立即登入回答