互联网可以说是一把名副其实的双刃剑。一方面其可以提高工作效率、给企业提供充分的资源;另一方面如果管理不严，也会带来很多的隐患。如员工在上班时间玩游戏、炒股等等。为此现在很多企业希望对员工的网络行为进行限制。如禁止上班时间玩“偷菜”游戏等等。但是由于工作的需要，也不能够完全禁止用户访问网络。如下图所示，用户可以访问阿里巴巴等商业网站，但是QQ、新浪等网站则不允许访问。作为网络安全管理人员，该如何来实现这种区别待遇呢?笔者在这篇文章中，以Forefront产品为例，谈谈这方面的技巧与经验。相信对各位有需要的读者，会有不少的帮助。

　　一、在URL筛选管理器中过滤不需要的URL

　　在Forefront安全网关中提供了一种叫做“URL筛选器”的组件。简单的说，使用这个URL筛选器可以根据网站在URL筛选数据库中的分类来创建允许或者禁止访问网站的访问规则。如上图所示，假设现在企业内网有一个用户，想访问QQ网站下载一个QQ应用程序。此时请求先会发送到Forefront安全网关。然后安全网关中的URL筛选器会跟自己后台的URL筛选数据库进行对比，以判断整个URL是允许用户访问的，还是禁止用户访问。如果允许用户访问的话，则会将这个请求转发到相关的服务器上。相反，禁止访问的话，则这个请求就不会被转发出去。从而实现有差别的访问。

　　当用户请求访问某个网站，而这个网络已经被加入到了Forefront安全网关的黑名单，则用户会收到一个拒绝的通知。这个通知中的相关信息，如拒绝请求的类别，可以帮助用户分析这个请求为什么会被拒绝。当然这个请求信息管理员还可以进行自定义，让用户能够一目了然的知道被拒绝的原因。当然如果用户觉得这个被拒绝的毫无道理， 也可以向管理员提出异议。此时管理员可以查看已经定义的URL策略是否有问题，还是用户提出了过分的要求等等。