如何禁止局域网上网、组策略禁止上网、禁止电脑上网软件的选择
作者:风雷 日期:2014/6/11
在一些企事业单位局域网中,有时候出于网络安全、规范员工上网行为,防止员工利用互联网做私事、上网娱乐等行为的考虑,而禁止局域网电脑访问外网,也就是禁止访问因特网,但是又不能完全从物理层面上切断网络连接,毕竟局域网内部也经常需要传输文件、文件共享以及其他内部连接行为,因此这就需要控制局域网电脑的网络使用。
那么,如何实现禁止局域网上网、禁止电脑上网但又不能影响局域网内部上网呢?笔者以为,可以通过以下两种方式来实现:
方法一、可以通过组策略禁止电脑上网、限制局域网电脑访问外网。
1、打开“AD用户和计算机”,在wanxing.cn域上新建一个OU,命名为:Client(组织单元里有用户thin-01)
2、右击Client,打开Client属性,点击“组策略”,展开“组策略”属性,点击“新建”按钮,新建一组策略对象,重命名为“禁止上网”。
(1) 选择“禁止上网”这一策略对象,点击“编辑”按钮,打开“组策略编辑器”,然后在左侧的控制台树中依次展开:用户配置→Windows设置→Internet Explorer维护→连接。
(2) 在右侧的详细窗格里双击“代理设置”策略项,然后在弹出对话框上勾选“启用代理服务器设置”复选框,然后将代理服务器设置为“127.0.0.1”,如下图所示,应用了这条组策略,IE浏览器就无法访问Internet。
(3)在“运行”输入:cmd,打开命令提示符,然后输入:gpupdate /force (手动更新组策略,使策略立即生效)
(4)输入:gpresult (查看组策略应用结果)
3、回到域客户端XPDC,打开IE浏览器,验证策略应用结果如下图所示:
应用组策略之前,正常打开网页。
应用组策略之后,无法正常浏览网页,策略生效。
方法二、通过控制上网软件、网络管理软件来禁止局域网上网、禁止电脑上网。
虽然通过组策略限制电脑上网是可以实现完全禁止电脑上网的功能,但是由于这种技术是基于操作系统相关设置来实现的,因此也很容易被一些懂技术的员工绕过,通过反向设置而达到重新恢复上网的目的。因此,这种通过组策略禁止局域网上网、控制电脑上网的方式存在一定的漏洞,不利于实现严密的网络管理。这种情况下,可以通过专门的网络管理软件、局域网限制上网软件来实现。
目前,市面上的局域网控制软件很多,例如有一款“聚生网管”(下载地址:http://www.grabsun.com/soft.html),只需要在公司局域网一台电脑安装就可以管理公司所有电脑的上网行为,你可以制定一个禁止电脑上网的策略,然后你将策略指派给那个电脑,就可以阻止那个电脑上网。同时,在禁止电脑上网的同时也不会影响局域网电脑之间的内网通讯,从而可以实现内外网的分别管理。如下图所示:
图:设置禁止电脑上网
同时,在禁止电脑上网的同时还可以给电脑发送消息,实现了人性化的提醒,可以更好地引导和约束员工的上网行为。
此外,通过网管软件来禁止电脑上网更为严密,由于不在被控制的电脑上进行设置,因此无论被控制电脑如何设置都无法有效逃避监控,实现了更为有效的管理。同时,通过“聚生网管”你可以随时禁止或许可局域网任意电脑访问外网的行为,从而也实现了更为灵活的网络管理。
同时,很多企事业单位实际上并不是完全禁止电脑上网,而只是让电脑访问一些特定的网站,例如企业邮箱网站、公司外网服务器等,这种情况下就不能完全禁止电脑上外网了。这就可以通过“聚生网管”的“白名单”来实现,如下图所示:
图:只让局域网电脑访问某些网站的功能
同时,白名单这里也可以添加外网服务器的IP地址,这样实现了访问外网服务器的功能。
此外,通过网管软件你还可以禁止局域网P2P下载、限制炒股、禁止看视频、限制玩网络游戏、控制局域网电脑网速带宽和流量等,从而可以实现更为精准的网络管理。
总之,通过组策略和网管软件都可以实现对局域网电脑上网的控制,只不过相对于组策略来说,网管软件禁止电脑上网、控制局域网上网行为相对更为简单、快捷和有效。
