最近 老闆要管制 上網.
老闆的要求是 每臺電腦能上的網站要經過老闆的同意.設成白名單.這樣的網站才能連上.
沒設的都不能連.請問這樣要買什麼樣的設備?
我看一般的 IP分享器 都是設 黑名單 . 設上的就不能連.其他的都可以.
現在 老闆要的剛好是相反.有設的才能連上.其他的都不行.
有推薦的產品嗎?
謝謝!
不怕麻煩的話.架個SQUID再弄個SARG...老闆爽度應該提高更多...
可以請問 這是什麼機器嗎?
Sorry! 我不是科班的的mis 只是一直有玩電腦而已.
搞台電腦裝Linux上iptables就做的到了吧!
我也不是科班的耶..我學印刷的..XD
你要找的東西.關鍵字應該在防火牆.URL管制.代理伺服器.
squid 是一種代理伺服器(proxy server);sarg是log分析工具.
squid基本上架構在LINUX上.他也有出WIN版.軟體.你得自己架.
如果你要做到透明代理.那.你防火牆就得找能REDIRECT PORT的..不然SNAT DNAT都會讓ACL規則失效
或許你先google一下..查看看.資料很多
如果你偏向硬體搞定.就先查查價格.看老闆肯不肯出吧.肯出的話.市面上很多.防火牆+URL過濾功能.
如果你老闆想開放的網站很少...只開放十來個..
你用防火牆去擋IP當然也可以啦...但...你們公司只會用到十來個網站嗎?...
設定完你得擔心的是有人突破你的規則..用public proxy或VPN...多看看相關資料囉...
太多人會打洞了.怕就找L7相關設備吧.....
老闆應該只是要結果,白的、黑的應該都能接受吧。
大家都先設在黑名單裡,老闆同意的,才能上網,老闆應該比較喜歡這種感覺哦。
黑、白的名單道理都是一樣的, 只是運用的方式不同而已..
如 sunallen 說的一樣, 把所有人都設到黑名單中, 要同意上網的刪掉, 那是不是跟白名單的用途是一樣的...
一般的防火牆大都有其中一樣, 只是是黑是白的不同而已~
這可能要看你的機器台數,以及允許的名單有多少哩,小弟有一個不用錢的方法,但是狀況最好是pc台數少,允許可以連接網站少的方法,
將dns 去掉,直接在 hosts 填入 允許ip以及對應網站,然後再將windows權限鎖住
不過這樣要一個一個去查 ip 多少,會有點累,所以要少台數,少允許名單,好處是只要可以上網就不用在買別的設備的錢,
約 30臺 到40臺之間.
你說的方法 我不懂.
使用者 權限最高到 power user
1.將 用戶端 tcp/ip 的dns伺服器全刪掉 =>使用者會無法上網 因為解析不到 dns 對應ip
使用者 無法增加dns,無法更改 windows 內資料夾
2.更改C:\WINDOWS\system32\drivers\etc 下的hosts 用筆記本打開
3.填入白名單
列如要上yahoo
www.yahoo.com.tw 68.180.206.184
這樣只能上雅虎首頁
弄台Proxy吧~
例如ISA SERVER,
把可以上的網站加入就好,
只不過,要一直去維護更新網址。
Proxy Server 有這個功能?
我以前玩過 linux 的 proxy server 不記得有這功能.
另外 這樣 不是在 IE 上要設 proxy ,如果 員工 直接在IE 設 不經過 proxy server 不就沒用了.
我公司用的ISA SERVER就有這個功能,
而實際上我們也是這樣子在管的XD
這當然要調整網路架構囉,
讓所有員工都必需經由PROXY才能上網,
如果您還是放在一旁,那當然不會有作用啊。
這個方法...就把Proxy設定成我家、公共的Proxy或是乾脆不用Proxy都會讓管制無效。
transparent proxy....讓你不用一台一台設...但你firewall要能redirect...
當然..proxy 3128 prot...記得封一封..亂七八糟埠.封一封.....
drop all好了....XD
怎麼搞的,老闆管的真多,防火牆應該就可以設定了吧,現在防火牆功能都做的很好,Fortinet產品就有此功能
不是老闆管太多.是員工不聽話.上班時間 都在上網 種菜 養魚 非死不可. 然後每天都要加班.
這要怪老闆嗎! 有公告也沒有.開除又不忍心.只好封閉網路 不讓上班時間上網.
可是有幾臺電腦 必須上 勞保局或經濟部等網站.所以才想要有這樣的控制.
所以希望 各位先進介紹可以買的機器.
Fortinet 那有賣?
kolom提到:
開除又不忍心
所以忍心花錢? ..... 這麼好的老闆現在不多了 .....
用防火牆就行了吧!
假設沒管制的IP是192.168.0.199,192.168.0.168這兩個,防火牆的規則用中文解釋就會像下面所說的那樣設定:
Rule 1.0 先讓PORT 80的封包都可以通過
Rule 2.0 讓來源/目的[勞保局IP]的封包可以進出
Rule 2.1 讓來源/目的[經濟部IP]的封包可以進出
Rule 3.0 讓[192.168.0.199]的封包可以進出
Rule 3.1 讓[192.168.0.168]的封包可以進出
Rule 4.0 全部丟掉
規則是由上往下符合就做,這樣就解釋成不是PORT 80的全部都丟掉,不是進出勞保局、國稅局的全部都丟掉,不是我說的那些IP的封包全部都丟掉,是還蠻絕對的設定。
上面是我粗步的想像,可能有錯
Rule 1.0 不是PORT 80的丟棄
Rule 2.0 讓來源/目的[勞保局IP]的封包可以進出
Rule 2.1 讓來源/目的[經濟部IP]的封包可以進出
Rule 3.0 讓[192.168.0.199]的封包可以進出
Rule 3.1 讓[192.168.0.168]的封包可以進出
Rule 4.0 全部丟掉
應該是這樣吧~
以你們公司的規模和你所的需求,建議您可以考慮sharetech的產品,
它們家的產品應該可以滿足你的需求。
上面提過的,國產的像是sharetech(眾至) 、nusoft(新軟)、abocom(友旺)應該都可以做到,這是花錢的方案,簡單說就是先設定好固定IP,然後針對每一個IP去設定可以開啟的網站,其他的就預設阻擋就好。只是不曉得你有多少client,多了不但是考驗你自己設定的耐心,對機器的效能也會產生影響。
至於用Squid +SARG來作,我是比較不建議,因為還要先去瞭解Linux底下的NAT觀念、iptables指令等等,有時間、有精力、又有興趣的話,可以玩玩,但是在商業環境中,還是建議你用硬體的方式,請廠商協助處理。
甚至整理出放行規則的表格,交給工程師,請他們幫忙設定,你自己只要大概記得觀念就好,這樣子對你而言,會是比較省事的作法(當然,要花錢就是了..)
ISA Server 可以轉url,很不錯(管制網址全部轉到一個宣告頁面,多好啊!!)
很多防火牆連這功能都沒有,滿討厭的
我想建議一個解決方案,免費的
1.確認用戶端沒有Administrator權限
2.白名單,建立在hosts裡面
3.把這個檔案發給用戶
4.間單說,管制DNS就對了
只管制DNS,我自己架設DNS幫忙解,會發生什麼事情?
我改host文件,或直接輸入ip又何解?
把『限制上網』的電腦,DNS指定為127.0.0.1
這樣,他只能上hosts裡面的網站
除非用戶懂得用IP來連結
我有做過類似的,記得是用dhcp+防火牆去讓某個區域出不去就行了。
全封的話把dnz區指錯就出不去了…
部分限制的話…可以搭其他的軟體去做…
如果公司的人不多,或許可以考慮用 Norton™ Online Family 這套來試看看,免費簡單又不錯用.
可以問問看這個...... Websense
你可以考慮買UTM之類的設備,這樣好管理的多了~ 軟體的話你可以參考IP-GUARD,只有簡體中文,大陸網站上有很多"免費試用版"