iT邦幫忙

0

封鎖MSN後,開放特定帳號通過的方法?

msn

最近奉上級指示,用防火牆把MSN鎖起來,但是現在上級又希望可以開放特定帳號上MSN,在沒有架AD和浮動IP的環境下,有什麼方法,或是什麼硬體和軟體可以達成這個功能呢?謝謝~

看更多先前的討論...收起先前的討論...
每家公司對 MSN 的做法都不同
我最喜歡的是有一家的做法如下:

1.軟硬體都不限制(防火牆不擋)
2.人員使用也不限制
3.貼公告,公司安裝側錄程式
4.每月公佈 MSN 話量前三名內容
skite iT邦大師 5 級 ‧ 2008-04-28 18:29:59 檢舉
也是要看公司的性質啦,如果是業務為重的話,那這種做法感覺就不太妥當,公布一堆和客戶的對話內容,似乎不太好咧。
jhwang810 iT邦新手 4 級 ‧ 2008-04-28 18:53:13 檢舉
其實我也是贊成antijava說的那個方法,不限制使用,但是管制

我心裡的完美做法是
1.不限制文字,但是限制傳檔
2.公告安裝監控程式
3.使用量較大的使用者,告知其主管,由主管決定是否合理
(像有些業務人員可能用量較大,主管若覺得合理,就可以不懲處)

其實MSN是一個很好的溝通橋樑,我自己也都有用來跟客戶廠商聯繫,還可以節省電話費,也不用一直打電話找人,只要留個訊息,人回來了自然會回覆
魯大 iT邦高手 1 級 ‧ 2008-04-28 19:50:47 檢舉
一開始就把MSN給鎖起來
讓所有的user習慣沒有msn的上班日子
等到他們有這個需求時
再請他們向主管提出就好啦
這樣就可以減少很多不必要的麻煩啦..
skite iT邦大師 5 級 ‧ 2008-04-28 22:20:40 檢舉
我覺得jhwang810說的管理方法還不錯,不過如果大家都已經習慣了,要突然變成這樣可能會引起不小的反彈吧。
davistai iT邦大師 1 級 ‧ 2008-04-29 10:57:22 檢舉
不限制文字,但是限制傳檔的功能在市面上已有此產品(如http://www.l7-networks.com/L7_2005/products.IL_successfulcase.eng.php...
也同意MSN是一個很好的溝通橋樑,事實上,我們目前是依個別申請,經CTO同意後,將之列入可使用MSN群組管理...因為很多廠商在國外(且他們的工程部也是用MSN,沒有用其他IM工具),又想即時聯絡,又想省國際電話費,MSN是挺便利的啦^^
huichung iT邦新手 2 級 ‧ 2008-04-29 12:17:10 檢舉
其實除了msn外,尚還有其他的方法可以溝通,如線上msn或是和同一個網頁的人聊天都可以.但是可別影響上班工作喔...
jhwang iT邦好手 10 級 ‧ 2008-04-29 15:32:50 檢舉
我把我詢問廠商的結果提供出來:

Symantec IM Manager是接在Core Switch上,Client如果有Proxy,就可以透過IM Manager控管;如果沒Proxy,就要自行手動維護DNS,把連到msn站台的domain指向IM Manager;但是無法防範使用者自己改host table,所以防火牆還要再配合阻擋,是最麻煩的一種Solution,不過可以管理的模式是卻是最細,支援的IM也是最多的。

Cyberoam和FortiGate都是要另外買IPS的Module,價格上Cyberoam貴一些些,不過如果Module全開的話,Cyberoam的效能會比較好,網路上是有說全開的FortiGate會死當。不過這兩台都只能依帳號決定擋或不擋,不像 IM Manager是可以做更彈性的控管。
skite iT邦大師 5 級 ‧ 2008-04-29 15:57:31 檢舉
To davistai
想和國外的人即時連絡又想省電話費,怎麼不考慮用skype呢?
davistai iT邦大師 1 級 ‧ 2008-04-29 16:35:10 檢舉
Hi,skite大,是也有用skype啊^^
只是跟我們比較密切的主要廠商都是用MSN啊.
用skype的反而比較少,呵呵,skype是出國的同事間con-call的時候比較多...
steed iT邦新手 5 級 ‧ 2010-01-23 03:31:14 檢舉
很多DHCP都有依MAC address發特定IP的功能
再搭配policy
不就解決了?
簡單省錢又好用....
44
魯大
iT邦高手 1 級 ‧ 2008-04-28 17:20:14
最佳解答

基本上你至少要先將浮動IP改為固定IP
然後再到防火牆上設定好POLICY
這樣應該是行了..

48
rogerchien
iT邦新手 1 級 ‧ 2008-04-28 15:03:12

比較節省的方式,建議是:
1.將可以上MSN的電腦設成固定IP(如果環境一定要是浮動IP,那不用網下看了)
2.防火牆設定,允許某些固定IP或網段的電腦MSN通過(防火牆條件1)
3.防火牆設定,不允許MSN通過(防火牆條件2)
請參考!

jhwang810 iT邦新手 4 級 ‧ 2008-04-28 17:24:43 檢舉

因為上級會把NB帶回家,不太好要求他們一天到晚改IP,所以DHCP比較適合

36
davistai
iT邦大師 1 級 ‧ 2008-04-28 17:11:52

不知道您的firewall是怎麼所MSN的,在我們的環境是採固定IP方式,所以將IP區分為可以使用MSN使用者IP為一個group, 在firewall上設定policy讓這個group的IP可以使用MSN,其他的IP當然就還是無法使用了MSN...

jhwang810 iT邦新手 4 級 ‧ 2008-04-28 17:36:30 檢舉

我是鎖掉連MSN的IP,而我希望可以在維持DHCP的方式下解決這個問題

davistai iT邦大師 1 級 ‧ 2008-04-29 10:50:30 檢舉

那我們的環境應該非常相近的吧^^目前就是依所述方式處理..

26
海綿寶寶
iT邦超人 1 級 ‧ 2008-04-28 17:23:15

封鎖 MSN , 過濾條件有
IP, Port,..

如果 IP 是浮動, Port 又不能擋
就只能看看防火牆能不能依據使用者的帳號來管理了

jhwang810 iT邦新手 4 級 ‧ 2008-04-28 17:37:36 檢舉

有這種Firewall或Content Filter嗎?如果有,應該就是我要的解答了

skite iT邦大師 5 級 ‧ 2008-04-28 18:48:57 檢舉

一般來說content filter是在UTM上比較常見的功能,firewall似乎很少看到。

28
john651216
iT邦研究生 1 級 ‧ 2008-04-28 17:49:11

好像沒有這種firwall,你只能使用固定IP的方式,至於你們主管的NB就要教他如何設定浮動IP和固定IP的轉換,另外你們主管回家不是使用自己家裡的ADSL應該不會影響到他使用MSN,這一點你要確認一下

28
skite
iT邦大師 5 級 ‧ 2008-04-28 18:28:41

如果主管一定要用浮動IP的話,那就鎖其他人吧。
將非主管的電腦通通設成固定IP,並且阻擋這些IP的msn使用權限,其餘的IP皆開放使用msn,這樣應該也可以。

32
jameswang
iT邦新手 4 級 ‧ 2008-04-28 21:10:47

Fortinet 的防火牆可以by Msn 帳號進行放行或封鎖

laacura iT邦研究生 1 級 ‧ 2008-04-29 00:54:27 檢舉

請問是那一個型號? ^_^

jameswang iT邦新手 4 級 ‧ 2008-04-29 10:37:45 檢舉

全系列都可以 你可能要評估你的流量對應的型號

26
lucas
iT邦新手 4 級 ‧ 2008-04-29 07:45:22

我覺得鎖MAC就好了!
電腦的網卡都有一個MAC號碼
不管是什麼 IP 都可以依據MAC來設定規則~

而每一台 IP分享器或防火牆都有這個功能...
您可以試試!

14
plutosrita
iT邦研究生 1 級 ‧ 2008-04-29 08:15:50

沒遇過這問題,抱歉幫不了忙

26
kupin
iT邦新手 2 級 ‧ 2008-04-29 09:27:09

公司是採用 Symantec IMManager ,因為它是利用 IMProxy 的作法,將所有IM(MSN、YahooMessage ...)導到安裝 IMProxy之主機,再於此一主機定義那些MSN帳號可以通過,我想如不更改為固定IP,只想開放特定帳號上MSN,這一個軟體應可以達成這個功能

18
mikefan
iT邦新手 4 級 ‧ 2008-04-29 09:57:50

建議採購IDP(入侵偵測)這種設備,他可以針對特定網段或IP作封鎖(無論User 端是固定或不固定IP),封鎖方式可以是限定User 在什麼時間可以使用、或是只能做文字溝通、檔案傳送管制、視訊管制等不同分級方式管制,國產品-威播的IDP 設備我覺得作得不錯,我們也是有這種問題,用IDP 管理後,P2P 也是由這設備來管理。

18
richardhsieh
iT邦研究生 4 級 ‧ 2008-04-29 14:16:38

在DHCP裡設定要用MSN的IP 固定分到每一個IP
在防火牆上開放這個IP可以用MSN,這是最間單的作法了

我要發表回答

立即登入回答