白名单解决外网限制

引言：单位用户在电子政务外网无法打开某社保网站，在上网行为管理中设置禁用过滤网站功能后，访问得以实现。取消了过滤功能后，如何保障网络安全问题呢？通过设置黑白名单，笔者解决了这一问题。

故障现象

我地区大多数机关单位都接入电子政务外网（以下简称政务外网），政务外网一直都正常运行。前两天接到有用户反映，说某社保网站打不开，或是偶尔能打开一下，然后就显示当前网页无法打开，无法进行访问。

原以为是该单位的电脑终端中病毒了，换了一台计算机还是打不开该个网站，而没有接入政务外网的计算机可以打开，后来发现，所有接入政务外网的计算机均无法打开该网站。

故障解决

既然问题出在政务外网上，赶快联系政务外网运维人员，检查防火墙和VPN网关的配置，没有发现设备方面的限制。运营商检测政务外网的统一出口，也没有发现有任何限制。无奈之际，只好对设备一个一个地进行检测，终于发现问题出在上网行为设备上。

图1 添加白名单

图2 设置安全策略

登录到上网行为管理后，依次单击窗口左侧的“用户与策略管理→上网策略”菜单，右侧弹出了三个上网策略。勾选“过滤恶意网站”复选框后，单击窗口上方的“禁用”按钮后，操作成功后即可禁用当前策略。这时，在政务外网的计算机可以访问该网站了，故障得以解决。

白名单解决安全问题

但新的问题又出现了，由于上面的操作是禁用“过滤恶意网站”的策略，那么恶意网站就可以入侵到网络中，这样肯定是有安全隐患的。要做到既能够访问该网站，又对恶意网站进行屏蔽，不妨试试白名单功能。

第一步，新增黑白名单组。在上网行为管理界面下，依次单击窗口左侧的“对象定义→黑白名单组”菜单，右侧弹出“黑白名单组”标签页。单击窗口上方的“新增”按钮，弹出“新增黑白名单组”对话框。接着，在名称下输入“恶意网站排除检测”（可能随意命名），在“URL下”把该网站的网址粘上去，单击“提交”按钮，提示操作成功即可完成第一步的操作（如图1）。

第二步，引用黑白名单组。重新打开窗口左侧的“用户与策略管理→上网策略”菜单，进入“上网策略”选项卡，单击“过滤恶意网站”列表，打开“上网安全策略（过滤恶意网站）”对话框。勾选“启用该策略”后，进入到“策略设置”选项卡，在对话框右侧滚动条拖至最下方，出现“排除网站”列。选中“恶意网站排除检测”后，单击“增加”按钮，使之添加到“已选排除对象”列表框中。单击“提交”按钮即可（如图2）。