我有一个 w2k3 网络,有 50 多个用户,DSL 互联网和带 SDM 的 Cisco 1841。一切正常,但我想阻止某些员工的 HTTP 访问,但他们需要访问 POP3/SMTP 电子邮件。我想知道这方面的最佳做法是什么?在我们旧的 Nexland 互联网共享盒中,我们曾经允许/阻止 MAC 地址访问 HTTP/EMAIL 等。
有人想分享此事的专业知识吗?
提前谢谢你,Hemal
答案1
我不是思科专家,但通常配置足够灵活,因此您可以根据需要通过 MAC 或 IP 地址阻止常见的 HTTP 端口(80、443、808x 等)。但这不是一种真正灵活的方法。
我会做的是:
- 在某处设置代理服务器(Squid、Nginx、ISA Server 等)。
- 启用代理身份验证并根据用户身份验证和/或 IP 地址设置一些 ACL。测试以确保其根据所使用的用户名按预期运行。
- 一旦满意,请应用 GPO 将客户端计算机指向代理。测试以确保它确实阻止了用户。
- 在路由器上,阻止来自网络的出站 HTTP 相关端口(代理服务器除外)。
现在,您可以细粒度地控制谁可以访问 HTTP,而且您不必在每次添加用户、计算机等时都摆弄路由器配置。我还建议您始终允许访问提供自动更新的站点(例如 Windows 更新、来自 AV 供应商的更新等)。