上网拦截

最近更新时间:2024-10-16 14:08:51

我的收藏
管理员可根据需求,限制终端访问指定站点,并采集终端访问黑、白名单站点信息。上网拦截场景(例如:上班时间不允许访问与工作无关的网站),支持设备网络强管控场景(禁止设备访问任何网络,在保证设备基本正常网络通信的情况下,仅允许访问指定网址或资源,确保设备的安全性)。
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择终端管控策略 > 终端管控
2. 在终端管控页面,选择上网拦截与网络隔离,单击新建策略
3. 在新建上网拦截与网络隔离策略页面,配置相关参数。
3.1 输入策略名称,并输入策略描述等参数。

3.2 单击添加适用范围 ,您可以通过添加或排除用户、组织架构、自定义用户组和终端,来进行精细化的管控范围设置。



4. 根据实际需求,勾选上网拦截,并选择拦截方式:不拦截、Host 地址控制进程控制Host 地址和进程控制,并配置相关参数,单击保存

Host 地址控制

1. 在新建上网拦截与网络隔离策略页面,勾选上网拦截,拦截方式选择 Host 地址控制
2. 选择控制类型并设置所需的 Host,支持自定义和使用内置 Host。
说明:
黑名单:下发策略的终端,不能访问配置的黑名单站点,其他站点访问无受影响。
白名单:下发策略的终端,只能访问配置的白名单站点,其他站点无法访问。
本文以设置黑名单为示例。

单击添加自定义,输入 Host 信息,单击确定保存。
URL 填写说明
支持填写域名或 ip,例如:www.abc.com 或112.0.0.1。
不需要填写 http:// 或 https://,填写时直接填写域名,例如:www.abc.com(www.abc.com 仅为示例域名)。
添加 www.abc.com 黑名单,只会拦截前缀为 www.abc.com 的网站,子域名 oa.abc.com 的不会拦截。
如果需要拦截所有子域名,可以添加 *.abc.com 添加为黑名单,则 abc.com 所有的子域名均会被拦截,目前仅支持 * 在域名的开头。

使用内置的网址大全,单击

开启内置网址大全 ,单击编辑。



示例:购物,勾选购物网站信息,单击确定

3. 选择不限时段指定时段,并设置上报拦截报警日志,单击保存。
说明:
请参见 查看日志和报表 以获取上报拦截报警日志的相关详情。

4. 示例:8点~18点访问购物类网站失败。


进程控制

1. 在新建上网拦截与网络隔离策略页面,勾选上网拦截,拦截方式选择进程控制
2. 选择控制类型,单击添加,配置进程列表信息,单击确定。
说明:
黑名单:不允许以下进程可访问网络(不包含 IOA 客户端必要的进程)。
白名单:仅允许以下进程可访问网络(默认包含 IOA 客户端必要的进程)。
白名单和黑名单只有一种类型同时生效,本文以设置黑名单为示例。

3. 选择不限时段指定时段,并设置上报拦截报警日志,单击保存。
说明:
请参见 查看日志和报表 以获取上报拦截报警日志的相关详情。

4. 示例:8点~18点访问 QQ 进程失败。


Host 地址和进程控制

1. 在新建上网拦截与网络隔离策略页面,勾选上网拦截,拦截方式选择 Host 地址和进程控制
2. 选择控制类型并设置所需的 Host,支持自定义和使用内置 Host。
说明:
黑名单:下发策略的终端,不能访问配置的黑名单站点,其他站点访问无受影响。
白名单:下发策略的终端,只能访问配置的白名单站点,其他站点无法访问。
本文以设置黑名单为示例。

3. 单击添加自定义,输入 Host 信息后添加,添加完成单击确定保存。
说明:
Host 地址黑白名单与进程控制黑白名单独立,即可在开启 Host 白名单的同时,开启进程黑名单。
进程控制规则优先级,总体高于 Host 黑白名单优先级。例如abc.com 为白名单,但禁止 word 进程访问网络的场景。即黑名单中有 word 进程,word 进程不允许访问任何域名,包括白名单内的abc.com域名。

使用内置的网址大全,单击

开启内置网址大全 ,单击编辑。



示例:购物,勾选购物网站信息,单击确定



4. 进程管控规则:单击添加,输入进程信息,单击确定



5. 选择不限时段指定时段,并设置上报拦截报警日志,单击保存。
说明:
请参见 查看日志和报表 以获取上报拦截报警日志的相关详情。

6. 示例:8:00-18:00,访问规则内的 HOST 地址与进程信息,访问不成功。





查看日志和报表

1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择日志审计 > 终端管控日志
2. 在终端管控日志页面,选择上网拦截与网络隔离,查看上报的日志。

3. 网络拦截报表页面,查看拦截地址信息。