《分享》如何阻擋網站子目錄

有網友來信提問，如何阻擋某個網站的子目錄路徑，例如 https://sites.google.com/site/playfunblocked/ ？

這問題初看覺得很簡單，實則不然，並不容易做。

首先是因為它是加密的HTTPS網站，所以若要透過Web Filter來進行，就必需匯入XG的憑證做為中繼才能辦到；
若想直接透過Firewall rule的目的地FQDN host來阻擋，又沒有辦法針對子目錄路徑來個別限制，
所以真的有的點麻煩...

實際嘗試後發現，在XG中只有自訂的Web Category可以設定子目錄路徑，
而其它與FQDN相關的URL group或FQDN Host均辦不到，
因此只能透過建立Web Category來使用。



建立此Category後，再建立一條Web Filter來套用。


↑請注意，由於目的地網頁是HTTPS，所以HTTPS一定要選擇block，才能進行阻擋。

設定好Web Filter後，再把此filter套用在防火牆的規則中。



由於目的網頁是加密的HTTPS網頁，所以Decrypt & Scan HTTPS一定要勾選，
不然開啟HTTPS網頁還是不會有過濾效果。



設定完成後，若使用者的瀏覽器有匯入XG憑證，
那麼開啟此子目錄網頁時，將會被XG的Web Filter所阻擋。



而上層網頁， https://sites.google.com/ 則一樣可以正常開啟，不受限制。


↑網址不一樣是因為被Google所導轉，不是順子開錯網頁魚目混珠喔∼

不過沒匯入XG憑證的電腦，因為沒有XG的憑證做為中繼憑證，所以開啟所有HTTPS網頁時，都會出現錯誤！




結論
要阻擋整個網域很簡單，除了透過Web Filter來阻擋外，
還可以要建一條LAN to WAN (FQDN Host) Service HTTP/HTTPS drop|deny的規則來拒絕對外連線。

但要阻擋網域子目錄就比較麻煩，尤其是加密的HTTPS網站，
除了只能透過Web Category來建立物件外，還必需匯入XG的憑證才能辦到喔∼

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!