网络浏览防护 谁说必须用全家桶?

李文明2017-08-16 10:59应用 标签:上网环境

现在网络中充斥着各种不良信息,甚至一些正规网站也夹杂着各种低俗内容。但在“互联网+”的大背景下,人们的生活又越来越离不开网络,甚至孩子的学习很大程度都需要依靠网络进行。如何让孩子免受不良信息影响,为孩子打造绿色安全的上网环境是每个家长头疼的问题。今天我要给大家介绍用系统的组策略功能即可实现的,对电脑访问网络的控制,通过设置可以让电脑仅能访问许可的网站。

添加筛选器操作

按下Win+R键,打开“运行”,输入“gpedit.msc”打开组策略,定位到“计算机配置→Windows设置→安全设置→IP安全策略在本地计算机”。在右侧空白处点击右键,选择弹出菜单中的“管理IP筛选器列表和筛选器操作”,打开“管理IP筛选器列表和筛选器操作”窗口。切换到“管理筛选器操作”选项卡,点击“添加”按钮,弹出向导,点击“下一步”,在名称处输入“禁止连接”,点击“下一步”,点选“阻止”,点击“下一步→完成”。继续点击“添加”按钮,点击“下一步”,在名称处输入“允许连接”,点击“下一步”,点选“许可”,点击“下一步→完成”(图1)。

201705lsxw1

添加阻止筛选器

在“管理IP筛选器列表和筛选器操作”窗口,切换到“管理IP筛选器列表”选项卡。点击“添加”按钮,在名称处输入“阻止所有网络连接”,去掉“使用‘添加向导’”的勾选,点击“添加”按钮。打开“IP筛选器属性”窗口,将源地址改为“我的IP地址”,保持“目标地址”为“任何IP地址”(图2),其余为默认设置,点击“确定”返回,再点击“确定”关闭IP筛选器列表窗口。

201705lsxw2

添加允许筛选器

此步骤设置的是允许电脑访问的网站,此处以电脑爱好者网站(www.cfan.com.cn)为例,通过Ping命令得知其IP地址为:101.201.80.41。

在“管理IP筛选器列表”选项卡点击“添加”按钮,弹出“IP筛选器列表”窗口,在“名称”处输入“允许访问电脑爱好者网站”,去掉“使用‘添加向导’”的勾选,点击“添加”按钮。打开“IP筛选器属性”窗口,将源地址改为“我的IP地址”,“目标地址”处选择“一个特定的IP地址或子网”(此为Windows 7及以上系统,Windows XP系统则为“一个特定的IP地址”),在输入框中输入IP地址“101.201.80.41”(图3),其余默认,点击“确定”返粗中有细,再点击“确定”关闭IP筛选器列表窗口。

201705lsxw3

重复此步骤可以将其他需要访问的IP地址添加到列表中。最后别忘了将DNS服务器地址添加到列表,否则无法通过域名访问网站。如果不知道自己的DNS服务器地址,可以通过“IPCONFIG /ALL”命令查看,或者使用“114.114.114.114”(图4)。

201705lsxw4

创建IP安全策略

在组策略窗口右侧空白处点击右键,选择“创建IP安全策略”,弹出向导,点击“下一步”,输入名称“绿色上网”,点击“下一步”,勾选“激活默认响应规则”,点击两次“下一步”,弹出警告,点击“是”,勾选“编辑属性”,点击“确定”。

在弹出的“绿色上网属性”窗口,去掉“使用‘添加向导’”的勾选,点击“添加”按钮,在“新规则属性”窗口选择“IP筛选器列表”选项卡,点选“阻止所有网络连接”,切换到“筛选器操作”选项卡,点选“禁止连接”,点击“确定”。继续点击“添加”,在“IP筛选器列表”选项卡选择“允许访问电脑爱好者网站”,在“筛选器操作”选项卡选择“允许连接”,点击“确定”。重复上述步骤将其余允许访问的地址及DNS服务器设置为允许访问(图5)。点击“确定”关闭属性窗口。

201705lsxw5

启用策略

当组策略“IP安全策略,在本地计算机”右侧出现“绿色上网”策略,在其上点击右键,弹出菜单选择“分配”(Windows XP系统选择“指派”),“策略已指派”变为“是”(图6),策略设置完成。此时电脑只能访问许可的网站。

201705lsxw6

在空白处点击右键,选择“所有任务→导出策略”,可以将设置好的策略导出为文件,以后可以通过“导入策略”进行还原,也可复制到其他电脑进行快速部署。为了防止策略被修改,可以通过注册表禁用组策略。打开注册表,定位到[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}],将“Restrict_Run”值改为“1”。若无此项根据路径创建DWORD值即可(图7)。

201705lsxw7

除了打造绿色上网环境,此功能还可以用来防止办公电脑外联。比如要限制单位电脑只能访问IP为“192.168”开头的网站(内网),可以将第3步添加允许筛选器的时候“目标地址”改为“一个特定的IP地址或子网”(此处为Windows 7及以上系统,Windows XP系统则为“一个特定的IP子网”),然后在输入框中输入“192.168.0.0/16”(图8,Windows XP系统在“IP地址”栏输入“192.168.0.0”,在“子网掩码”栏输入“255.255.0.0”)。

201705lsxw8

若策略失效或无法正常启动,请确保PolicyAgent服务(显示名称:IPsec Policy Agent)正常启动就可以啦。