所以这可能是不可能的,但我已经被要求尝试find一些关于它的东西。 到目前为止,我find的东西都是可能的。
我需要限制特定的机器或用户帐户从常规的Internet访问,但让他们有权访问我们的networking的Intranet部分。 我没有Active Directory控制,也没有任何人在我的本地工作场所(公司控制在不同的状态)。 我已经尝试过通过IPsec并按照本地计算机执行此操作,但是系统似乎已从安装在这些计算机上的映像中删除,因此已被删除。
到目前为止,我唯一能想到的另一个select是为机器指定一个特定的IP地址并删除它们的网关访问权限。 这可能会起作用,但机器需要能够接收通过ePO和LanDesk推送给他们的更新。
我真的很想在用户层面上做到这一点,因为如果我需要在机器上做技术工作,需要访问互联网,我可以到达它,但是一个“特殊”用户可以login,无法进入任何东西。
我发现我将如何去做。 为Internet Explorer的内容顾问创build了一个特殊的noaccess.rat文件。 添加了他们需要访问的地址,而没有其他的东西。 问题解决了。
外部防火墙/路由器可能是最安全的。 你可以设置一个有围墙的花园/俘虏门户(非常类似于login到WiFi热点时所获得的门户),允许访问更新服务,除非input超级用户密码才能访问。
这绝对是在networking上更好的做法。
你可以使用一个便宜的路由器黑客使用像http://www.dd-wrt.com/
您可以将您的公司networking与要分离的计算机连接起来。
您应该能够使用路由器的pipe理页面来允许访问您的LAN和某些列入白名单的networking(用于更新),但限制其他所有networking。
在networking层面做这件事的好处是你可以阻止整个networking,而不仅仅是DNS或端口80/443(web / ssl),因为这个问题的一些解决scheme。 这两种情况都可以通过知情的用户很容易地避开,但用户绕过强制门户要困难得多。 不是不可能的,但没有什么是!
DD-WRT论坛应该能够帮助你做到这一点。
可能有商业解决scheme,实现相同的。 任何第7层风格的防火墙在技术上都有能力做到这一点,因为他们可以根据指定的规则实时检查tcp / ip数据包并修改/阻止它们。 无论是function性暴露在用户层面的特定产品都是与厂商讨论的东西。
但是,如果您不允许您因为公司政策而对您的networking执行此操作,那么您可以:
(i)研究旨在防止儿童在没有专利监督的情况下访问互联网的软件; 要么
(ii)看一下软件防火墙是否会启用白名单/黑名单某些networking。 您可以将您的内部networking和您希望连接的特定networking列入白名单,并将其他所有内容列入黑名单。