例如,某企业使用企业路由器,希望实现以下权限配置:市场部上网不受限制,研发部仅能收发邮件,而其他部门仅可浏览网页。为了达到这一目标,制定了以下的配置步骤。
首先,需要在路由器中添加市场部、研发部和其他部门的用户组。这样,后续的控制规则就可以针对这些用户组进行访问控制。具体的用户组添加方法,可以参考相关的帮助文档。
接下来,针对不同部门设定具体的访问规则。市场部可以访问所有网络应用,因此,我们登录到路由器的管理界面,点击防火墙 >> 访问策略,为市场部添加允许访问所有应用的策略规则。
对于研发部,由于仅需要收发邮件功能,我们需要开放SMTP(端口25)、POP3(端口110)和DNS(端口53)。为此,我们添加了相应的访问规则,允许研发部访问这些端口。
至于其他部门,员工仅需要能够浏览网页,因此只需开放HTTP(端口80)即可。DNS规则已在研发部的规则中添加,因此无需重复设置。
在添加了上述规则之后,还需要一个默认规则来确保所有未指定的访问都被禁止。由于访问策略规则默认为“允许”,所以我们需要添加一个禁止所有访问的规则,以确保只有指定的部门能够按照设定的权限进行网络访问。
完成以上设置后,企业内部网络的每台电脑都将根据其所在部门拥有对应的上网权限。
在实践中,可能会遇到一些问题。例如,设置了访问控制后,如果使用Foxmail客户端仍然无法正常收发邮件,可能是因为还需要开放额外的端口,如SMTPS端口465和IMAPS端口993等。另外,如果设置了允许访问网页的规则但仍然无法访问,需要检查受控电脑的IP地址是否在对应的受控组中,以及规则设置是否正确,包括源、目的和数据流向。
企业路由器在设置访问控制时,需要考虑各种使用场景和需求,确保配置正确,满足企业用户的需求,同时也保障网络的安全性和稳定性。通过合理的规划和实施,网络权限差异化设置将成为提高企业运营效率的重要工具。
企业办公网络环境中,需要对内部办公电脑进行网络权限差异化设置,从而提升办公效率和网络安全。通过对源/目的IP地址、端口及访问时间进行控制,实现上网权限的差异化设置,满足企业用户的需求。
某企业使用企业路由器,需要实现市场部上网不受限制,研发部只可以收发邮件,其它部门只可以浏览网页。根据需求,制定以下配置表:
注意:上述参数仅供参考,具体以实际应用为准。
添加市场部、研发部和其他部门的用户组,后续的控制规则中针对这些组进行访问控制。
添加用户组的具体设置方法,请点击参考:
1、设置市场部规则
登录路由器的管理界面,点击 防火墙 >> 访问策略,添加策略规则:允许市场部访问所有网络应用,如下图所示:
2、设置研发部规则
只允许研发部收发邮件(即需要开放SMTP:25,POP3:110,DNS:53)端口,添加规则如下:
收取邮件规则添加:添加允许POP3(110端口)的访问规则:
发送邮件规则添加:添加允许SMTP(25端口)的访问规则:
添加DNS规则:添加允许DNS(53端口)的访问规则:
注意:DNS服务是所有部门都需要使用的,故源地址及目的地址范围选择ANY;
3、添加其它部门规则
其它部门的员工,只允许浏览网页,即只需要开放http(80端口)即可,添加规则如下:
注意:DNS规则已经在2中添加,则无需再次添加。
4、默认规则添加
由于访问策略规则默认为“允许”,所以需要再添加禁止一切访问的规则才可以实现需求,规则如下:
添加完成后,总规则如下:
至此,访问策略规则设置完成,局域网中所有的电脑将拥有所属的部门对应的上网权限。
企业路由器设置过程中,访问控制功能的相关问题及解答如下:
问:设置访问控制后,为何使用Foxmail客户端还是不能正常收发邮件?
答:实际应用中,通过不同客户端软件收发邮件,可能还需要再增加部分端口,如Foxmail客户端收发邮件,还需要再添加SMTPS端口465、IMAPS端口993等端口,具体以实际应用为准。
问:设置允许访问网页的规则,为什么依旧无法访问?
答:需要排查以下方面:受控电脑的IP地址必须在对应的受控组中,规则才能起作用;检查规则设置是否正确(按照以上步骤),确定设置的源、目的以及数据流向正确(限制内网主机,接口域选择LAN);确认添加允许DNS服务,否则,涉及域名的网页、邮件服务可能会无法访问。
下载文档(PDF版)
