組策略打造綠色上網(wǎng)環(huán)境

李文明

現(xiàn)在網(wǎng)絡(luò)中充斥著各種不良信息，甚至一些正規(guī)網(wǎng)站也夾雜著各種低俗內(nèi)容，但在“互聯(lián)網(wǎng)+”的大背景下，人們的生活又越來(lái)越離不開(kāi)網(wǎng)絡(luò)，甚至孩子的學(xué)習(xí)很大程度都需要依靠網(wǎng)絡(luò)進(jìn)行。如何讓孩子免受不良信息影響，為孩子打造綠色安全的上網(wǎng)環(huán)境是每個(gè)家長(zhǎng)頭疼的問(wèn)題。今天筆者要給大家介紹用系統(tǒng)的組策略功能即可實(shí)現(xiàn)的對(duì)電腦訪問(wèn)網(wǎng)絡(luò)的控制，通過(guò)設(shè)置可以讓電腦僅能訪問(wèn)許可的網(wǎng)站。

添加篩選器操作

按下Win+R鍵，打開(kāi)“運(yùn)行”，輸入“gpedit.msc”打開(kāi)組策略，定位到“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→IP安全策略在本地計(jì)算機(jī)”。在右側(cè)空白處點(diǎn)擊右鍵，選擇彈出菜單中的“管理IP篩選器列表和篩選器操作”，打開(kāi)“管理IP篩選器列表和篩選器操作”窗口。切換到“管理篩選器操作”選項(xiàng)卡，點(diǎn)擊“添加”按鈕，彈出向?qū)?，點(diǎn)擊“下一步”，在名稱處輸入“禁止連接”，點(diǎn)擊“下一步”，點(diǎn)選“阻止”，點(diǎn)擊“下一步→完成”。繼續(xù)點(diǎn)擊“添加”按鈕，點(diǎn)擊“下一步”，在名稱處輸入“允許連接”，點(diǎn)擊“下一步”，點(diǎn)選“許可”，點(diǎn)擊“下一步→完成”（圖1）。

添加阻止篩選器

在“管理IP篩選器列表和篩選器操作”窗口，切換到“管理IP篩選器列表”選項(xiàng)卡。點(diǎn)擊“添加”按鈕，在名稱處輸入“阻止所有網(wǎng)絡(luò)連接”，去掉“使用‘添加向?qū)А钡墓催x，點(diǎn)擊“添加”按鈕。打開(kāi)“IP篩選器屬性”窗口，將源地址改為“我的IP地址”，保持“目標(biāo)地址”為“任何IP地址”（圖2），其余為默認(rèn)設(shè)置，點(diǎn)擊“確定”返回，再點(diǎn)擊“確定”關(guān)閉IP篩選器列表窗口。

添加允許篩選器

此步驟設(shè)置的是允許電腦訪問(wèn)的網(wǎng)站，此處以電腦愛(ài)好者網(wǎng)站（www.cfan.com.cn）為例，通過(guò)Ping命令得知其IP地址為101.201.80.41。

在“管理IP篩選器列表”選項(xiàng)卡點(diǎn)擊“添加”按鈕，彈出“IP篩選器列表”窗口，在“名稱”處輸入“允許訪問(wèn)電腦愛(ài)好者網(wǎng)站”，去掉“使用‘添加向?qū)А钡墓催x，點(diǎn)擊“添加”按鈕。打開(kāi)“IP篩選器屬性”窗口，將源地址改為“我的IP地址”，“目標(biāo)地址”處選擇“一個(gè)特定的IP地址或子網(wǎng)”（此為Windows 7及以上系統(tǒng)，Windows XP系統(tǒng)則為“一個(gè)特定的IP地址”），在輸入框中輸入IP地址“101.201.80.41”（圖3），其余默認(rèn)，點(diǎn)擊“確定”返回，再點(diǎn)擊“確定”關(guān)閉IP篩選器列表窗口。

重復(fù)此步驟可以將其他需要訪問(wèn)的IP地址添加到列表中。最后別忘了將DNS服務(wù)器地址添加到列表，否則無(wú)法通過(guò)域名訪問(wèn)網(wǎng)站。如果不知道自己的DNS服務(wù)器地址，可以通過(guò)“IPCONFIG/ALL”命令查看，或者使用“114.114.114.114”（圖4）。

創(chuàng)建IP安全策略

在組策略窗口右側(cè)空白處點(diǎn)擊右鍵，選擇“創(chuàng)建IP安全策略”，彈出向?qū)?，點(diǎn)擊“下一步”，輸入名稱“綠色上網(wǎng)”，點(diǎn)擊“下一步”，勾選“激活默認(rèn)響應(yīng)規(guī)則”，點(diǎn)擊兩次“下一步”，彈出警告，點(diǎn)擊“是”，勾選“編輯屬性”，點(diǎn)擊“確定”。

在彈出的“綠色上網(wǎng)屬性”窗口，去掉“使用‘添加向?qū)А钡墓催x，點(diǎn)擊“添加”按鈕，在“新規(guī)則屬性”窗口選擇“IP篩選器列表”選項(xiàng)卡，點(diǎn)選“阻止所有網(wǎng)絡(luò)連接”，切換到“篩選器操作”選項(xiàng)卡，點(diǎn)選“禁止連接”，點(diǎn)擊“確定”。繼續(xù)點(diǎn)擊“添加”，在“IP篩選器列表”選項(xiàng)卡選擇“允許訪問(wèn)電腦愛(ài)好者網(wǎng)站”，在“篩選器操作”選項(xiàng)卡選擇“允許連接”，點(diǎn)擊“確定”。重復(fù)上述步驟將其余允許訪問(wèn)的地址及DNS服務(wù)器設(shè)置為允許訪問(wèn)（圖5）。點(diǎn)擊“確定”關(guān)閉屬性窗口。

啟用策略

當(dāng)組策略“IP安全策略，在本地計(jì)算機(jī)”右側(cè)出現(xiàn)“綠色上網(wǎng)”策略，在其上點(diǎn)擊右鍵，彈出菜單選擇“分配”（Windows XP系統(tǒng)選擇“指派”），“策略已指派”變?yōu)椤笆恰保▓D6），策略設(shè)置完成。此時(shí)電腦只能訪問(wèn)許可的網(wǎng)站。

在空白處點(diǎn)擊右鍵，選擇“所有任務(wù)→導(dǎo)出策略”，可以將設(shè)置好的策略導(dǎo)出為文件，以后可以通過(guò)“導(dǎo)入策略”進(jìn)行還原，也可復(fù)制到其他電腦進(jìn)行快速部署。為了防止策略被修改，可以通過(guò)注冊(cè)表禁用組策略。打開(kāi)注冊(cè)表，定位到[HKEY_CURRENT_USER＼Software＼Policies＼Microsoft＼MMC＼{8FCOB734-AOEl-11D1-A7D3-0000F87571E3}]，將“Restrict Run”值改為“1”。若無(wú)此項(xiàng)，根據(jù)路徑創(chuàng)建DWORD值即可（圖7）。

除了打造綠色上網(wǎng)環(huán)境，此功能還可以用來(lái)防止辦公電腦外聯(lián)。如要限制單位電腦只能訪問(wèn)IP為“192.168”開(kāi)頭的網(wǎng)站（內(nèi)網(wǎng)），可以將第3步添加允許篩選器的時(shí)候“目標(biāo)地址”改為“一個(gè)特定的lP地址或子網(wǎng)”（此處為Windows 7及以上系統(tǒng)，Windows XP系統(tǒng)則為“一個(gè)特定的IP子網(wǎng)”），然后在輸入框中輸入“192.168.0.0/16”（圖8）（Windows XP系統(tǒng)在“IP地址”欄輸入“192.168.0.0”，在“子網(wǎng)掩碼”欄輸入“255.255.0.0”）。

若策略失效或無(wú)法正常啟動(dòng)，請(qǐng)確保PolicyAgent服務(wù)（顯示名稱：IPsec Policy Agent）正常啟動(dòng)就可以啦。