网络需求和分析:
由于该企业办公性质的特殊要求,在局域网内所有的互联网服务除了163邮箱和163企业邮箱以外,其他网址和应用均不能让电脑或手机访问。
这个需求点在于仅允许部分应用或网址可以访问互联网,其他应用均不能访问外部的网络,从设置的角度来讲原理是一样的,只是在于案例中允许的事163邮箱相关的应用。
用到的设备:
- 磊科NBR100企业路由器一台
- 调试电脑一部
调试设置仅允许163邮箱可以访问的步骤
1、完成企业路由器设置
对于支持上网行为管理的路由器来讲,大多都会有上网行为管理的功能,如果你是用的企业路由器没有上网行为管理功能或者是老旧的型号、厂商策略库已经很久没更新了,这种建议更换一个当下主流的企业路由器。
本次使用的是磊科NBR100企业路由器,有关这个路由器的设置安装可以参考:磊科NBR系列企业路由器初次设置教程
2、记录163邮箱使用到的域名
要分别记录下163邮箱和163企业邮箱主域名下用到的外部二级域名,除了主域名外关联的二级域名也是可以打开邮箱的关键。
如下,通过在电脑浏览器上按键盘F12键或鼠标右键调出「审查元素」的功能,在网页元素的head标签、body标签内寻找用到的主域名和二级域名,如下图中以第一行的内容为例,仅需要抄录复制mimg.127.net即可,尽可能的多找出来关联的二级域名后面会用到。
如下为部分网址,后面会用到:
nosdn.127.net
126.net
netstatic.net
reg.163.com
mail.163.com
126.com
mail.126.com
yeah.net
mail.yeah.net
email.163.com
netease.com
3、添加关联域名网址
登录到磊科NBR100企业路由器后台,记得将管理模式切换为「专家模式」,参考《 如何在磊科NBR系列企业路由器显示更多专业功能?》。
按照路径「 首页/分组管理/域名组」-新建规则,把之前准备好的关联二级域名逐个添加进来,提交保存,下面4.2章节会用到。
默认域名组可以添加20条网址,如果不够用的可以在新建一个域名组。
4、设置路由器访问规则
4.1、一键管控
一键管控的目的是管控各种应用,比如聊天软件、视频软件、下载软件等都进行封锁管控,需要强调的是「封杀邮箱」服务一定不要管控,不要开启。
4.2、开启「DNS过滤」功能
除了上面一些常见的应用封杀后,有些网址还可以正常访问,这里就是重点了,这里会用到上面第3步添加的网址组。
这里至少要添加2组规则,第一条是放行163邮箱和163企业邮箱的域名组、第二条是禁止所有域名网址,规则顺序放行的在上面、禁止的在下面保持规则的优先级。
最后规则列表:
如上,本案例中设置了3条规则,因为163用到的域名DNS安全网小编添加的多了一些,目的也是减少因遗漏的部分域名导致打不开或打开慢的情况。
后面,如果还有打开慢的地方,可以通过F12调出浏览器的「审查元素」功能,查询被阻拦的域名网址,在放行的域名组里面添加上即可。
原创文章,作者:DNS安全网,谢绝转载
