因此这也许是不可能的,但我被要求尝试找到一些解决方法。到目前为止,我还没有找到任何可能的解决方法。
我需要限制特定机器或用户帐户的常规 Internet 访问,但允许他们访问我们网络的 Intranet 部分。我没有 Active Directory 控制权,我本地工作场所的任何人也没有(公司控制权在另一个州)。我曾尝试通过 IPsec 并在本地机器上执行此操作,但该系统似乎已从安装在这些机器上的映像中删除,因此无法实现。
到目前为止,我能想到的唯一其他选择是为机器分配一个特定的 IP 地址并删除它们的网关访问权限。这可能有效,但机器需要能够接收通过 ePO 和 LanDesk 推送给它们的更新。
我真的很想在用户层面上做到这一点,因为如果我需要对机器进行技术工作并需要互联网访问,我可以访问它,但“特殊”用户可以登录而无法访问任何东西。
答案1
我找到了该怎么做。为 Internet Explorer 的内容顾问创建了一个特殊的 noaccess.rat 文件。添加了它们需要访问的地址,没有其他内容。问题解决了。
答案2
外部防火墙/路由器可能是最安全的。您可以设置一个围墙花园/强制门户(非常类似于您登录 wifi 热点时获得的那些),它允许访问您的更新服务,但除非输入超级用户密码,否则不允许访问任何其他内容。
答案3
这绝对是在网络上做得更好的事情。
你可以使用廉价的路由器来破解使用类似http://www.dd-wrt.com/
您可以将其连接到您的公司网络和您想要隔离的计算机之间。
您应该能够使用路由器的管理页面允许访问您的 LAN 和某些白名单网络(用于您的更新)但限制所有其他网络。
在网络层面上执行此操作的好处是您可以阻止整个网络,而不仅仅是 DNS 或端口 80/443(web/ssl),因为有些解决方案会这样做。两者都可以被知识渊博的用户轻松绕过,但用户绕过强制门户则困难得多。这并非不可能,但没有什么是不可能做到的!
DD-WRT 论坛应该可以帮助您做到这一点。
可能有商业解决方案可以实现相同的目的。任何第 7 层防火墙在技术上都能够做到这一点 - 因为它们可以检查 tcp/ip 数据包并根据指定的规则实时修改/阻止它们。此功能是否在特定产品中在用户级别公开需要与制造商讨论。
但是,如果由于公司政策不允许你对你的网络执行此操作,那么你可以:
(i) 研究旨在防止儿童在没有专利监督的情况下访问互联网的软件;或者
(ii) 查看软件防火墙是否允许您将某些网络列入白名单/黑名单。您可以将内部网络和要连接的特定网络列入白名单,将其他网络列入黑名单。