我支持一所拥有 3 个校区的学校,这些学校使用 Watchguard XTM 505。他们正在使用 Aerohive AP 实施 BYOD 无线解决方案,并且将拥有 3 个 SSID(学校、访客、BYOD)。
每个 SSID 都需要具有不同的 WebBlocker 权限,我们该如何在现有设备上做到这一点?是否有最佳实践指南可供遵循?
答案1
我不知道最佳实践指南,但我认为它有点太简单*不需要它 - WebBlocker 的设计使您可以拥有多个策略。
您根本没有解释网络设置以及网络如何进入 Watchguard - 您无法将策略与 SSID 绑定 - 但大概它们都是 Watchguard 可以看到的单独的、不同的网络?
在 Watchguard 策略管理器中,编辑 -> 添加策略,并添加三个新的 HTTP 代理策略。将每个策略设置为“发件人:{无线网络}”、“收件人:任何外部”。根据网络到达 Watchguard 的方式,“发件人:”可以是 VLAN 接口、物理接口、IP 范围等。
在要求输入“代理操作:”的地方,单击加号创建一个新代理,将其命名为“HTTP-Client.{SSID}”,转到 WebBlocker 行并单击加号创建一个新代理,将其命名为“WebBlocker.{SSID}”。配置。
如果稍后想要编辑它们而不深入研究策略,请转到设置 -> 操作 -> WebBlocker。
检查您的规则,确保没有其他更高级别的 HTTP 或 HTTP 代理规则允许在没有 WebBlocker 的情况下访问互联网。
(* 简单来说,它只是一个防火墙策略重复三次,我的意思)。
答案2
假设无线网络与主网络位于不同的子网中,我会为无线网络设置一个别名,例如为网络 10.1.1.1/24 设置别名“无线”。然后设置使用该网络拦截器的 HTTP 代理,并将该别名添加到代理。