公司内部有员工区、领导区和公共上网区， 现要求实现1、

公司某公司公司有员工区、领导区和公共上网区， 现要求实现
1、员工区为专网隔离环境，不允许进行公网访问，AC代理领导区与公共上网区网段上网
2、认证需求
(1)领导区某公司公司上网不能修改IP/MAC地址。
(2)员工区、公共上网区则需要输入账号和密码才能上网，确保网络行为能跟踪到，且认证通过后，自动跳转至内网Web应用服务器页面（http://***某公司:8080）。内网账号密码在LDAP服务器上

1、在【用户认证与管理】-【用户认证】-【认证策略】新增认证策略，适用范围写不允许上网用户的IP，认证方式选择不允许认证（禁止上网）

2、给用户做认证策略再把用户录入到一个组里，针对这个组做上网策略拒绝所有应用

您好，
1、需要拒绝上网的行为可以基于IP段设置不允许认证或者是上网权限策略应用控制拒绝所有的操作

方法一：【用户认证与管理】-【用户认证】-【认证策略】新增一个认证策略，认证范围写禁止上网的网段，认证方式写不允许认证（禁止上网）即可，

如图（以一个IP为例）：

方法二：【策略管理】-【上网策略】新增一个上网权限策略，应用控制中把所有应用都选上，生效时间选择不允许上网的时间段，动作选拒绝，策略的适用对象选择禁止上网的网段即可

如图（以一个IP为例）：

方法三：通过防火墙过滤规则配置这个网段的LAN->WAN方向的拒绝规则

2、绑定IP和MAC（涉及到MAC地址， AC内网若是三层环境， 需要先跨三层）
3、 员工区、公共上网区则需要输入账号和密码才能上网设置外部密码认证
具体配置 建议参考此链接：点击这里
谢谢

1、员工网络不能上公网，可以通过设备的防火墙过滤规则实现，拒绝LAN-WAN区域的规则，源选择员工区域的网段，目的是所有
2、领导需要IP/MAC绑定，在认证策略中填写领导网段的IP，然后勾选IP/MAC绑定，如果内网是跨三层环境需要做跨三层MAC识别
3、配置好LDAP服务器参数，在认证策略中选择使用LDAP认证，然后在高级中填写认证后跳转到指定页面即可

学习了，感谢几位:爱你:

感谢分享，楼上写的很详细了。

看回帖，长知识

涨知识 ，感谢 分享

回复有帮助，谢谢！

哇，花花回复得好详细啊。