限制篇(6.0) 01. 只允许使用QQ和微信 - 应用控制 ❀ 飞塔 (Fortinet) 防火墙
【简介】企业管理者经常头痛的是,员工上班浏览无关网站、下载、看视频,工作效率低,而且还占用宝贵的带宽,但是因为工作需要,又要使用QQ和微信,那有没有办法让员工只使用QQ和微信,其它都不能做呢?
定义限制范围
我们可以用IP地址来设定限制范围。
① 以本机为例,首先需要知道限制哪台电脑上网。这里先查看电脑的IP地址。
② 登录防火墙,选择菜单【策略&对象】-【地址】,点击子菜单【新建】-【地址】,我们新建一个地址对象。
③ 输入新的地址对象名称,填写IP地址,这里可以是单个IP地址,也可以是一个网段,或者是一个地址范围。选择这个地址所在的接口。这里我的电脑是通过无线连接的,所以选择的是SSID名称。
配置应用控制
我们可以用应用控制来区分QQ和微信。
① 选择菜单【安全配置文件】-【应用控制】。防火墙有一个默认的配置文件,可以点击右边的加号,新建一个配置文件,低配置型号的设备,只能使用默认配置文件。
② 输入配置文件名称和注释,点击【所有分类】,选择【阻断】。这样所有的应用程序都不能通过防火墙,包括浏览器上网。
③ 第一个目的达到了,现在我们要实现第二个目的,允许QQ通过。点击应用覆盖下的【添加签名】。
④ 右上角可以看到有2414个应用签名,为了快速找到我们需要的签名,我们可以用过滤器来查找。点击【添加过滤器】。
⑤ 可以选择多种过滤器,这里我们选择【名称】。
⑥ 输入QQ后,就会过滤出所有有关于QQ的应用签名,点击【全选】,再点击【使用已选择签名】。
⑦ 用同样的方法,过滤并选择微信的所有签名。
⑧ 所有添加的签名默认都是阻断状态,这里将所有签名都改为【允许】。
⑨ 我们可以看到,所有分类都被阻断了,只有QQ和微信的签名允许通过。
配置策略及测试
当地址对象和应用控制配置文件建好了后,需要设置策略来限制指定IP的访问内容了。
① 新建一条上网策略,允许指定的IP地址(或地址段)走哪条宽带上网。你可能会想,这不是都放行了吗,别急,在安全配置文件下启动【应用控制】,并选择刚建立的只允许使用QQ和微信能过的配件文件。
② 打开浏览器,我们发现无法上网。
③ QQ可以正常便当,发送消息和传送文件都正常,但是。。。。。不能发送和接收图片。
④ 微信也是一样,而且更严重是除了图片以外,消息也经常不能正常发送和接收。
解决办法
虽然我们放行了所有的有关签名,但有可能还有其它是被阻止了。比如传图片就可能还有其它应用。
① 回到应用控制配件文件,点击【添加签名】。
② 这次过滤器选择【分类】,内容选择【Web.Client】。
③ 选择【HTTP.BROWSER】签名,点击【使用已选择签名】。
④ 将新添加的签名,动作设置为【允许】。
⑤ 为了解决微信发送消息问题,我们将分类【未知应用】设置为【监控】。
⑥ 再次验证QQ,可以传图片了。
⑦ 微信传图片和传信息也正常了。
抛砖引玉
虽然这里我直接告诉你了用哪个签名可以通过,但其它软件也遇到这个问题怎么办法呢?我们可以用排除法找到你需要的签名。
① 将软件的签名都通过后,先将所有分类都设置为允许,测试软件是否正常工作。
② 禁用一部分分类,测试软件是否正常工作,如果不正常,说明禁用的分类对软件有影响。
③ 如果软件工作仍正常,再禁用另一部分分类测试。
④ 不断用排除法测试,直到找到对软件有影响的分类。
⑤ 可以查看到分类下的应用签名,将签名都加入到自定义签名中,先全部启用,再通过分批关闭,可以排查到最终是哪个签名影响了软件。以后只要启用这个签名就可以了。
