查看: 240|回复: 23

求助 关于WAC3.7.4.2 R1 访问控制列表

[复制链接]

参加活动: 0

组织活动: 0

3

主题

17

帖子

50

积分

注册会员

Rank: 2

积分
50
发表于 2019-11-26 15:00:00 | 显示全部楼层 |阅读模式

我想把www.baidu.com ;www.sina.com.cn ;http://www.jcci-dalian.org/login.php 这三个域名设置指定IP组为白名单 其余所有外网都不可访问。请问怎么实现?
之前我把这三个域名加入到一个URL分类库里,建立一条允许的访问控制策略然后又下面追加一条拒绝所有“应用”的访问控制策略。结果全被拒绝了。求助!! 谢谢


回复

使用道具 举报

参加活动: 0

组织活动: 0

124

主题

281

帖子

968

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
968
发表于 2019-11-26 15:07:13 | 显示全部楼层
您好:要求的效果是 该角色只允许访问这三个域名是吗?  尝试试一下 访问控制策略-【全局排除地址】,添加这三个域名  ,然后在角色中调用的策略为只允许DNS的策略(默认有这样一条策略)
回复 支持 反对

使用道具 举报

参加活动: 0

组织活动: 0

3

主题

17

帖子

50

积分

注册会员

Rank: 2

积分
50
 楼主| 发表于 2019-11-26 15:36:56 | 显示全部楼层
如果这样的话 是不是所用用户只可以访问这个三个域名 可以做到指定ip组访问这三个么 例:192.168.1.1-3这三个ip可以这么访问 192.168.2.1-3还可以有其他的白名单需求
回复 支持 反对

使用道具 举报

参加活动: 0

组织活动: 0

124

主题

281

帖子

968

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
968
发表于 2019-11-26 15:57:16 | 显示全部楼层
13591103600 发表于 2019-11-26 15:36
如果这样的话 是不是所用用户只可以访问这个三个域名 可以做到指定ip组访问这三个么 例:192.168.1.1-3这三 ...

【全局排除地址】的优先级高于控制策略的优先级
1)A网段选择的策略为只允许DNS (只允许域名解析)说明其他网站不能使用
2)B网段选择策略为空(也就不做策略),默认允许所有,表示其他都可以访问
3) 通过网段匹配角色,角色匹配策略,来达到不同的效果
回复 支持 反对

使用道具 举报

参加活动: 0

组织活动: 0

3

主题

17

帖子

50

积分

注册会员

Rank: 2

积分
50
 楼主| 发表于 2019-11-26 17:12:01 | 显示全部楼层
抱歉 好像我没有表达清楚 我的需求是我目前有想建留个访问控制策略 每个策略有需要有白名单 其他网站拒绝 这六个策略分布在3个vlan中 这3个vlan我划分了6个IP组 也就是每个ip组对应一个访问控制策略 这个可以实现吗
回复 支持 反对

使用道具 举报

参加活动: 0

组织活动: 0

124

主题

281

帖子

968

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
968
发表于 2019-11-26 17:23:52 | 显示全部楼层
13591103600 发表于 2019-11-26 17:12
抱歉 好像我没有表达清楚 我的需求是我目前有想建留个访问控制策略 每个策略有需要有白名单 其他网站拒绝  ...

您好:  IP段->角色  角色->策略  策略的白名单选择在第一条,针对域名的话,建议加上一条允许dns  不针对应用做规则,而是针对服务做规则,也就是 第一条允许访问该域名 第二条 允许访问dns  最后一条才是拒绝所有
回复 支持 反对

使用道具 举报

参加活动: 0

组织活动: 0

3

主题

17

帖子

50

积分

注册会员

Rank: 2

积分
50
 楼主| 发表于 2019-11-26 17:38:09 | 显示全部楼层
“不针对应用做规则,而是针对服务做规则” 我想针对应用做规则 不针对服务 可以吗
回复 支持 反对

使用道具 举报

参加活动: 0

组织活动: 0

124

主题

281

帖子

968

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
968
发表于 2019-11-26 19:58:38 | 显示全部楼层
13591103600 发表于 2019-11-26 17:38
“不针对应用做规则,而是针对服务做规则” 我想针对应用做规则 不针对服务 可以吗 ...

针对应用做规则也可以,需要保证应用识别序列号是有效的,还有策略是正确的,规则优先级是从上到下,针对域名的话,DNS也需要放开,不然域名无法解析
回复 支持 反对

使用道具 举报

参加活动: 0

组织活动: 0

3

主题

17

帖子

50

积分

注册会员

Rank: 2

积分
50
 楼主| 发表于 2019-11-27 08:32:49 | 显示全部楼层
那我是针对应用和域名建立访问控制策略的 6条策略自然而下都是白名单->允许DNS->全部针对应用拒绝 是这样吗?然后六条策略全部匹配角色里?
回复 支持 反对

使用道具 举报

参加活动: 0

组织活动: 0

3

主题

17

帖子

50

积分

注册会员

Rank: 2

积分
50
 楼主| 发表于 2019-11-27 08:37:12 | 显示全部楼层
我刚才这么设定 我截了个图 这么设定后 WiFi所有用户全部无法使用

111

111
回复 支持 反对

使用道具 举报

高级模式
B Color Image Link Quote Code Smilies |上传

本版积分规则

快速回复 返回顶部 返回列表