问题描述:
用MER8300进行客户访问Internet的管理,对于高级别用户可以完全访问internet,对于普通用户只能访问指定的网站,指定的网站在”配置自定义网址分类”中进行了设置。
对上网行为管理策略进行了配置:
1 全局控制开启了上网行为管理
2 上网行为管理策略-普通用户组应用控制中对大部分应用进行阻断,只放行即时通讯、网络协议和其他业务,网址控制中仅允许访问指定网站。
问题:普通用户除了能够访问指定的网站,还能访问很多其他的网站。如果关闭应用中的即时通讯、其他业务,即便指定网站中有网站的URL,但是用户也不能正常通讯。
- 2025-04-09提问
- 举报
-
(0)
最佳答案
只支持http的
参考;
1. 安全域配置检查
确认内外网接口均已加入安全域(如Local/Trust/Untrust)
通过CLI检查域间策略:display zonepair security 和 display securitypolicy ip
若接口未加入安全域会导致策略失效,需用命令行添加接口到安全域
2. 策略优先级验证
检查策略顺序:默认存在anyany域间策略,需确保阻断策略的优先级高于默认策略
通过CLI检查策略顺序:display securitypolicy ip
3. DNS解析验证
在应用控制中放行DNS协议(UDP 53端口)
确认"网络协议"分类中包含HTTP/HTTPS协议
4. 网址分类完整性检查
验证自定义分类包含所有目标网站的关键字(支持通配符*)
检查是否误启用网站白名单功能造成冲突
5. 特征库更新
在特征库管理中执行在线更新,确保使用最新网址分类库(R0821版本后支持自动更新)
6. 协议级验证
在应用控制中保持"网络协议"分类完全放行
确认即时通讯分类未包含网页访问相关子协议
若完成上述检查仍存在问题,建议通过CLI执行debugging urlfilter all抓取实时流量日志,观察策略匹配情况。
- 2025-04-09回答
- 评论(0)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论