网络控制策略可以有效控制客户端机器与其他非法计算机之间的通讯,同时阻断一些恶意端口或下载端口,防止病毒入侵,保护内网安全。
网络控制策略是针对计算机的,在用户模式下无效。策略属性包括:
策略属性名称 |
说明 |
通讯方向 |
有双向,出站和入站三种(是指物理上的通讯方向)。出站和入站是相对于客户端机器来说的,也就是客户端机器主动连接其他计算机,即为出站。 |
端口范围 |
与流量控制策略中的端口范围含义相同。 |
网络地址范围 |
与流量控制策略中的网络地址范围含义相同。 |
对方是客户端 |
判断通讯对方机器是不是客户端计算机,只有勾选了该项,下面的属性才有效。如果不勾选,则表示不判断对方是否客户端。 |
属于相同分组 |
对于属于相同分组的客户端机器之间的通讯做控制,这里的相同分组是指当前设置策略的客户端机器所在的分组,不包含子组,也不包含上一层的分组; |
属于指定分组 |
对于指定分组的计算机之间的通讯做控制,分组的指定在下面“所属分组”中设置,只有勾选了该项,“所属分组”才有效; |
所属分组 |
指定通讯对方计算机所属的分组,只有指定了分组,才能选择“包含子组”; |
包含子组 |
选择是否包含指定分组中的子组; |
应用程序 |
指定网络访问的应用程序。 |
策略示例1
为了保护内网安全,企业需要禁止一些恶意端口或下载端口,可以通过网络控制策略来实现。
策略:选择模式为“禁止”,设置需要阻断的地址范围,设置需要禁止的端口,如:80端口,21端口等。如果设置了80端口,则客户端机器无法访问网页,如果设置了21端口,则客户端机器无法使用FTP下载。
策略示例2
在整个企业中,有些部门的计算机可能是非常重要的,是不允许部门之外的计算机访问的,通过网络控制策略也能很好的解决这个问题。
对整个部门设置策略:
① 先设置一条策略,禁止 网络地址范围:局域网
② 再设置一条策略,允许 对方是客户端+属于相同分组
这样该部门内的计算机只能和本部门的计算机通讯,设置策略之前,管理员需要将所有该部门的计算机放在同一个分组。如果该部门还有其他没有安装客户端的计算机,请把IP地址范围添加到允许的策略中。
策略示例3
在实际运用中,网络控制策略也可以和接入检测策略结合起来使用,防止外来的计算机和内部的计算机通讯。
对于网内安装了客户端的计算机,可以设置网络控制策略,只允许与企业内的计算机通讯,这样外来的计算机就无法访问设置了该策略的客户端机器。
对于网内没有安装客户端的计算机,管理员可以在接入检测中,设置这部分机器为“保护”,并启动接入控制功能,这样外来的计算机将被视为“非法”的计算机,不能与这部分“保护”的计算机通讯。