我正在管理子网中配置管理主机。我安装了 Chromium,以便我们的技术人员能够浏览我们的内部 Web 管理界面以执行管理任务,但我想阻止他们浏览互联网。我无法阻止主机本身访问互联网,因为它们有其他需要与云服务等通信的进程,所以我计划仅通过目标子网(ACL 样式)限制 Chromium 可执行文件。
我尝试使用 Windows 防火墙来实现这一点:
New-NetFirewallRule -Direction Outbound -DisplayName 'Block Chromium from Internet' `
-Group 'Jumpbox Security' -Enabled True -Profile Any `
-Program 'C:\Program Files\Chromium\Application\chrome.exe' -Protocol TCP -Action Block `
-RemoteAddress 0.0.0.0/0
New-NetFirewallRule -Direction Outbound -DisplayName 'Allow Chromium to Internal Networks' `
-Group 'Jumpbox Security' -Enabled True -Profile Any `
-Program 'C:\Program Files\Chromium\Application\chrome.exe' -Protocol TCP -Action Allow `
-RemoteAddress 10.0.0.0/8 -OverrideBlockRules Allow
我在出站和入站规则集上都尝试过这个,但它根本没有限制 Chromium,大概是因为第一条规则被另一条规则匹配项无效。在我开始繁琐的规则审核并应用额外的、更复杂的配置之前,有人知道一种更简洁的方法来实现最终结果吗?
答案1
听起来你需要一个白名单。首先阻止所有访问,然后记录你需要用户访问的内容并仅允许这些内容。