組策略打造綠色上網環境

李文明

現在網絡中充斥著各種不良信息，甚至一些正規網站也夾雜著各種低俗內容，但在“互聯網+”的大背景下，人們的生活又越來越離不開網絡，甚至孩子的學習很大程度都需要依靠網絡進行。如何讓孩子免受不良信息影響，為孩子打造綠色安全的上網環境是每個家長頭疼的問題。今天筆者要給大家介紹用系統的組策略功能即可實現的對電腦訪問網絡的控制，通過設置可以讓電腦僅能訪問許可的網站。

添加篩選器操作

按下Win+R鍵，打開“運行”，輸入“gpedit.msc”打開組策略，定位到“計算機配置→Windows設置→安全設置→IP安全策略在本地計算機”。在右側空白處點擊右鍵，選擇彈出菜單中的“管理IP篩選器列表和篩選器操作”，打開“管理IP篩選器列表和篩選器操作”窗口。切換到“管理篩選器操作”選項卡，點擊“添加”按鈕，彈出向導，點擊“下一步”，在名稱處輸入“禁止連接”，點擊“下一步”，點選“阻止”，點擊“下一步→完成”。繼續點擊“添加”按鈕，點擊“下一步”，在名稱處輸入“允許連接”，點擊“下一步”，點選“許可”，點擊“下一步→完成”（圖1）。

添加阻止篩選器

在“管理IP篩選器列表和篩選器操作”窗口，切換到“管理IP篩選器列表”選項卡。點擊“添加”按鈕，在名稱處輸入“阻止所有網絡連接”，去掉“使用‘添加向導”的勾選，點擊“添加”按鈕。打開“IP篩選器屬性”窗口，將源地址改為“我的IP地址”，保持“目標地址”為“任何IP地址”（圖2），其余為默認設置，點擊“確定”返回，再點擊“確定”關閉IP篩選器列表窗口。

添加允許篩選器

此步驟設置的是允許電腦訪問的網站，此處以電腦愛好者網站（www.cfan.com.cn）為例，通過Ping命令得知其IP地址為101.201.80.41。

在“管理IP篩選器列表”選項卡點擊“添加”按鈕，彈出“IP篩選器列表”窗口，在“名稱”處輸入“允許訪問電腦愛好者網站”，去掉“使用‘添加向導”的勾選，點擊“添加”按鈕。打開“IP篩選器屬性”窗口，將源地址改為“我的IP地址”，“目標地址”處選擇“一個特定的IP地址或子網”（此為Windows 7及以上系統，Windows XP系統則為“一個特定的IP地址”），在輸入框中輸入IP地址“101.201.80.41”（圖3），其余默認，點擊“確定”返回，再點擊“確定”關閉IP篩選器列表窗口。

重復此步驟可以將其他需要訪問的IP地址添加到列表中。最后別忘了將DNS服務器地址添加到列表，否則無法通過域名訪問網站。如果不知道自己的DNS服務器地址，可以通過“IPCONFIG/ALL”命令查看，或者使用“114.114.114.114”（圖4）。

創建IP安全策略

在組策略窗口右側空白處點擊右鍵，選擇“創建IP安全策略”，彈出向導，點擊“下一步”，輸入名稱“綠色上網”，點擊“下一步”，勾選“激活默認響應規則”，點擊兩次“下一步”，彈出警告，點擊“是”，勾選“編輯屬性”，點擊“確定”。

在彈出的“綠色上網屬性”窗口，去掉“使用‘添加向導”的勾選，點擊“添加”按鈕，在“新規則屬性”窗口選擇“IP篩選器列表”選項卡，點選“阻止所有網絡連接”，切換到“篩選器操作”選項卡，點選“禁止連接”，點擊“確定”。繼續點擊“添加”，在“IP篩選器列表”選項卡選擇“允許訪問電腦愛好者網站”，在“篩選器操作”選項卡選擇“允許連接”，點擊“確定”。重復上述步驟將其余允許訪問的地址及DNS服務器設置為允許訪問（圖5）。點擊“確定”關閉屬性窗口。

啟用策略

當組策略“IP安全策略，在本地計算機”右側出現“綠色上網”策略，在其上點擊右鍵，彈出菜單選擇“分配”（Windows XP系統選擇“指派”），“策略已指派”變為“是”（圖6），策略設置完成。此時電腦只能訪問許可的網站。

在空白處點擊右鍵，選擇“所有任務→導出策略”，可以將設置好的策略導出為文件，以后可以通過“導入策略”進行還原，也可復制到其他電腦進行快速部署。為了防止策略被修改，可以通過注冊表禁用組策略。打開注冊表，定位到[HKEY_CURRENT_USER＼Software＼Policies＼Microsoft＼MMC＼{8FCOB734-AOEl-11D1-A7D3-0000F87571E3}]，將“Restrict Run”值改為“1”。若無此項，根據路徑創建DWORD值即可（圖7）。

除了打造綠色上網環境，此功能還可以用來防止辦公電腦外聯。如要限制單位電腦只能訪問IP為“192.168”開頭的網站（內網），可以將第3步添加允許篩選器的時候“目標地址”改為“一個特定的lP地址或子網”（此處為Windows 7及以上系統，Windows XP系統則為“一個特定的IP子網”），然后在輸入框中輸入“192.168.0.0/16”（圖8）（Windows XP系統在“IP地址”欄輸入“192.168.0.0”，在“子網掩碼”欄輸入“255.255.0.0”）。

若策略失效或無法正常啟動，請確保PolicyAgent服務（顯示名稱：IPsec Policy Agent）正常啟動就可以啦。