首先,根据需求分析,我们需要将企业内部网络划分为不同的部门,并针对每个部门设定相应的上网行为权限。例如,市场部可以访问所有网络应用,而其他部门只能浏览网页。
接下来,我们需要对市场部和其它部门的ip地址段进行划分,并创建相应的地址组。在对象管理中,选择地址管理,点击添加地址,输入IP地址段,保存后即可创建市场部的IP地址段。同样的方法,为其他部门创建IP地址段。
创建完IP地址段后,我们需要将这些地址段添加到地址组中。在地址管理中,点击添加地址组,输入组名,选择已创建的IP地址段,保存即可。
为了实现不同的上网行为权限,我们需要设置服务类型。在对象管理中,选择服务类型,点击添加,输入服务名称(如HTTPS),设置端口号,保存即可。
接下来,我们需要设置访问控制规则。在安全管理中,选择访问控制,点击添加策略规则。首先设置市场部规则,选择允许访问,选择已创建的市场部地址组和HTTPS服务,保存规则。
对于其他部门,我们同样需要设置访问控制规则。在访问控制中,添加策略规则,选择允许访问,选择已创建的其他部门地址组,添加HTTP、HTTPS和DNS服务,保存规则。
由于访问控制规则默认为“允许”,我们需要添加一个禁止访问一切的规则来保证其他部门只能访问网页。在访问控制中,添加策略规则,选择禁止访问,选择已创建的其他部门地址组,添加所有服务,保存规则。
设置完成后,点击右上角的“保存配置”,访问控制设置即可生效。局域网中所有电脑将根据所属部门拥有对应的上网权限。
需要注意的是,如果设置了允许访问网页的规则但仍然无法访问,可能存在以下几个问题:受控电脑的IP地址必须在对应的受控组中;检查规则设置是否正确,确定设置的源、目的地址正确;确认添加允许HTTPS服务;确认添加允许DNS服务。
通过以上设置方法,企业可以轻松实现不同部门之间的网络权限管理,有效提高办公效率和网络安全。
企业办公网络环境中,需要对内部办公电脑进行网络权限差异化设置,从而提升办公效率和网络安全。访问控制功能通过对源/目的IP地址、端口及访问时间进行控制,实现上网权限的差异化设置,满足企业用户的需求。
本文介绍TL-ER7520G访问控制功能的设置方法。
需求分析
某企业使用TL-ER7520G,需要实现市场部上网不受限制,其它部门只能浏览网页。根据需求,制定以下配置表:
| 部门 |
允许的上网行为 |
| 市场部 |
所有网络应用 |
| 其它部门 |
浏览网页 |
注意:上述参数仅供参考,具体以实际应用为准。
设置方法
1.设置市场部和其它部门的地址组
添加地址
点击“对象管理>地址管理>地址”,点击
,添加市场部的IP地址段,如下图:
同样的方法,添加其它部门的IP地址段,添加后列表如下:
添加地址组
点击“对象管理>地址管理>地址管理”,点击
,添加市场部的地址组,如下图:
同样的方法,添加其它部门的地址组,添加后地址组列表如下:
2.新增服务类型
点击“对象管理>服务类型”,点击
,添加HTTPS服务,如下图:
3.设置访问控制
设置市场部规则
点击“安全管理>访问控制”,点击
,添加策略规则:允许市场部访问所有网络应用,如下图所示:
设置其它部门规则
其它部门的员工,只允许浏览网页,即需要开放HTTP、HTTPS、以及DNS服务,添加规则如下:
设置阻塞规则
由于访问控制规则默认为“允许”,所以需要再添加禁止访问一切的规则才可以实现需求,规则如下:
添加完成后,规则列表如下:
设置完成,点击右上角“保存配置”。
至此,访问控制设置完成,局域网中所有电脑将拥有所属的部门对应的上网权限。
设置允许访问网页的规则,为什么依旧无法访问?
需要排查以下方面:受控电脑的IP地址必须在对应的受控组中,规则才能起作用;按照以上步骤检查规则设置是否正确,确定设置的源、目的地址正确(限制内网主机、生效接口域选择LAN);确认添加允许HTTPS服务,否则涉及HTTPS的网页将无法访问;确认添加允许DNS服务,否则涉及域名的网页将无法访问。
