李文明

現(xiàn)在網(wǎng)絡(luò)中充斥著各種不良信息，甚至一些正規(guī)網(wǎng)站也夾雜著各種低俗內(nèi)容，但在“互聯(lián)網(wǎng)+”的大背景下，人們的生活又越來越離不開網(wǎng)絡(luò)，甚至孩子的學(xué)習(xí)很大程度都需要依靠網(wǎng)絡(luò)進(jìn)行。如何讓孩子免受不良信息影響，為孩子打造綠色安全的上網(wǎng)環(huán)境是每個家長頭疼的問題。今天筆者要給大家介紹用系統(tǒng)的組策略功能即可實現(xiàn)的對電腦訪問網(wǎng)絡(luò)的控制，通過設(shè)置可以讓電腦僅能訪問許可的網(wǎng)站。

添加篩選器操作

按下Win+R鍵，打開“運行”，輸入“gpedit.msc”打開組策略，定位到“計算機配置→Windows設(shè)置→安全設(shè)置→IP安全策略在本地計算機”。在右側(cè)空白處點擊右鍵，選擇彈出菜單中的“管理IP篩選器列表和篩選器操作”，打開“管理IP篩選器列表和篩選器操作”窗口。切換到“管理篩選器操作”選項卡，點擊“添加”按鈕，彈出向?qū)Вc擊“下一步”，在名稱處輸入“禁止連接”，點擊“下一步”，點選“阻止”，點擊“下一步→完成”。繼續(xù)點擊“添加”按鈕，點擊“下一步”，在名稱處輸入“允許連接”，點擊“下一步”，點選“許可”，點擊“下一步→完成”（圖1）。

添加阻止篩選器

在“管理IP篩選器列表和篩選器操作”窗口，切換到“管理IP篩選器列表”選項卡。點擊“添加”按鈕，在名稱處輸入“阻止所有網(wǎng)絡(luò)連接”，去掉“使用‘添加向?qū)А钡墓催x，點擊“添加”按鈕。打開“IP篩選器屬性”窗口，將源地址改為“我的IP地址”，保持“目標(biāo)地址”為“任何IP地址”（圖2），其余為默認(rèn)設(shè)置，點擊“確定”返回，再點擊“確定”關(guān)閉IP篩選器列表窗口。

添加允許篩選器

此步驟設(shè)置的是允許電腦訪問的網(wǎng)站，此處以電腦愛好者網(wǎng)站（www.cfan.com.cn）為例，通過Ping命令得知其IP地址為101.201.80.41。

在“管理IP篩選器列表”選項卡點擊“添加”按鈕，彈出“IP篩選器列表”窗口，在“名稱”處輸入“允許訪問電腦愛好者網(wǎng)站”，去掉“使用‘添加向?qū)А钡墓催x，點擊“添加”按鈕。打開“IP篩選器屬性”窗口，將源地址改為“我的IP地址”，“目標(biāo)地址”處選擇“一個特定的IP地址或子網(wǎng)”（此為Windows 7及以上系統(tǒng)，Windows XP系統(tǒng)則為“一個特定的IP地址”），在輸入框中輸入IP地址“101.201.80.41”（圖3），其余默認(rèn)，點擊“確定”返回，再點擊“確定”關(guān)閉IP篩選器列表窗口。

重復(fù)此步驟可以將其他需要訪問的IP地址添加到列表中。最后別忘了將DNS服務(wù)器地址添加到列表，否則無法通過域名訪問網(wǎng)站。如果不知道自己的DNS服務(wù)器地址，可以通過“IPCONFIG/ALL”命令查看，或者使用“114.114.114.114”（圖4）。

創(chuàng)建IP安全策略

在組策略窗口右側(cè)空白處點擊右鍵，選擇“創(chuàng)建IP安全策略”，彈出向?qū)?，點擊“下一步”，輸入名稱“綠色上網(wǎng)”，點擊“下一步”，勾選“激活默認(rèn)響應(yīng)規(guī)則”，點擊兩次“下一步”，彈出警告，點擊“是”，勾選“編輯屬性”，點擊“確定”。

在彈出的“綠色上網(wǎng)屬性”窗口，去掉“使用‘添加向?qū)А钡墓催x，點擊“添加”按鈕，在“新規(guī)則屬性”窗口選擇“IP篩選器列表”選項卡，點選“阻止所有網(wǎng)絡(luò)連接”，切換到“篩選器操作”選項卡，點選“禁止連接”，點擊“確定”。繼續(xù)點擊“添加”，在“IP篩選器列表”選項卡選擇“允許訪問電腦愛好者網(wǎng)站”，在“篩選器操作”選項卡選擇“允許連接”，點擊“確定”。重復(fù)上述步驟將其余允許訪問的地址及DNS服務(wù)器設(shè)置為允許訪問（圖5）。點擊“確定”關(guān)閉屬性窗口。

啟用策略

當(dāng)組策略“IP安全策略，在本地計算機”右側(cè)出現(xiàn)“綠色上網(wǎng)”策略，在其上點擊右鍵，彈出菜單選擇“分配”（Windows XP系統(tǒng)選擇“指派”），“策略已指派”變?yōu)椤笆恰保▓D6），策略設(shè)置完成。此時電腦只能訪問許可的網(wǎng)站。

在空白處點擊右鍵，選擇“所有任務(wù)→導(dǎo)出策略”，可以將設(shè)置好的策略導(dǎo)出為文件，以后可以通過“導(dǎo)入策略”進(jìn)行還原，也可復(fù)制到其他電腦進(jìn)行快速部署。為了防止策略被修改，可以通過注冊表禁用組策略。打開注冊表，定位到[HKEY_CURRENT_USER＼Software＼Policies＼Microsoft＼MMC＼{8FCOB734-AOEl-11D1-A7D3-0000F87571E3}]，將“Restrict Run”值改為“1”。若無此項，根據(jù)路徑創(chuàng)建DWORD值即可（圖7）。

除了打造綠色上網(wǎng)環(huán)境，此功能還可以用來防止辦公電腦外聯(lián)。如要限制單位電腦只能訪問IP為“192.168”開頭的網(wǎng)站（內(nèi)網(wǎng)），可以將第3步添加允許篩選器的時候“目標(biāo)地址”改為“一個特定的lP地址或子網(wǎng)”（此處為Windows 7及以上系統(tǒng)，Windows XP系統(tǒng)則為“一個特定的IP子網(wǎng)”），然后在輸入框中輸入“192.168.0.0/16”（圖8）（Windows XP系統(tǒng)在“IP地址”欄輸入“192.168.0.0”，在“子網(wǎng)掩碼”欄輸入“255.255.0.0”）。

若策略失效或無法正常啟動，請確保PolicyAgent服務(wù)（顯示名稱：IPsec Policy Agent）正常啟動就可以啦。