iT邦幫忙

0

網路上網管理要怎麼做?

kolom 2010-09-02 11:51:5612132 瀏覽

最近 老闆要管制 上網.
老闆的要求是 每臺電腦能上的網站要經過老闆的同意.設成白名單.這樣的網站才能連上.
沒設的都不能連.請問這樣要買什麼樣的設備?
我看一般的 IP分享器 都是設 黑名單 . 設上的就不能連.其他的都可以.
現在 老闆要的剛好是相反.有設的才能連上.其他的都不行.
有推薦的產品嗎?
謝謝!

mis339 iT邦新手 2 級 ‧ 2010-09-22 13:47:39 檢舉
網路上能做到的方法很多,但不外乎
1、技術性高
2、價格高

如果只是要達到你老闆的做法,但本身技術能力又有限,且重點是預算又有限的話,那個人推薦Vigor 2820或是更高等級的設備!因為它的網頁過濾用的是WebSense的技術,可以設定群組,可以設定黑白名單,簡單、易用,重點是……便宜啊!
14
sharbui
iT邦新手 3 級 ‧ 2010-09-02 14:46:39
最佳解答

不怕麻煩的話.架個SQUID再弄個SARG...老闆爽度應該提高更多...

kolom iT邦好手 1 級 ‧ 2010-09-02 17:41:21 檢舉

可以請問 這是什麼機器嗎?
Sorry! 我不是科班的的mis 只是一直有玩電腦而已.

sula3065408 iT邦研究生 1 級 ‧ 2010-09-03 13:50:00 檢舉

搞台電腦裝Linux上iptables就做的到了吧!

sharbui iT邦新手 3 級 ‧ 2010-09-03 17:21:24 檢舉

我也不是科班的耶..我學印刷的..XD
你要找的東西.關鍵字應該在防火牆.URL管制.代理伺服器.
squid 是一種代理伺服器(proxy server);sarg是log分析工具.
squid基本上架構在LINUX上.他也有出WIN版.軟體.你得自己架.
如果你要做到透明代理.那.你防火牆就得找能REDIRECT PORT的..不然SNAT DNAT都會讓ACL規則失效

或許你先google一下..查看看.資料很多

如果你偏向硬體搞定.就先查查價格.看老闆肯不肯出吧.肯出的話.市面上很多.防火牆+URL過濾功能.
如果你老闆想開放的網站很少...只開放十來個..
你用防火牆去擋IP當然也可以啦...但...你們公司只會用到十來個網站嗎?...

設定完你得擔心的是有人突破你的規則..用public proxy或VPN...多看看相關資料囉...

太多人會打洞了.怕就找L7相關設備吧.....

16
sunallen
iT邦好手 1 級 ‧ 2010-09-02 11:59:35

老闆應該只是要結果,白的、黑的應該都能接受吧。

大家都先設在黑名單裡,老闆同意的,才能上網,老闆應該比較喜歡這種感覺哦。毆飛

看更多先前的回應...收起先前的回應...
shunyuan iT邦研究生 1 級 ‧ 2010-09-02 15:04:04 檢舉

這個招有對策:

(1) 用翻牆軟體可以
(2) 或是 SSH tunnel

拍手拍手拍手

shunyuan iT邦研究生 1 級 ‧ 2010-09-02 15:06:04 檢舉

忘了講:

(3) 還可以在 white list 上,設 bridge 也 OK 的啦。
(4) 還可以在 white list 上,run socket server 或是 proxy sever 軟體

kolom iT邦好手 1 級 ‧ 2010-09-02 17:33:04 檢舉

黑名單 好像是所有的 電腦 都不能上.

sula3065408 iT邦研究生 1 級 ‧ 2010-09-03 13:27:08 檢舉

直接用3.5不是更爽快?
話說...翻牆軟體是對付不了防火牆全鎖的設定,全鎖你連回家都有困難。

14
sailsolitary
iT邦研究生 2 級 ‧ 2010-09-02 13:42:05

黑、白的名單道理都是一樣的, 只是運用的方式不同而已..

如 sunallen 說的一樣, 把所有人都設到黑名單中, 要同意上網的刪掉, 那是不是跟白名單的用途是一樣的...

一般的防火牆大都有其中一樣, 只是是黑是白的不同而已~

kolom iT邦好手 1 級 ‧ 2010-09-02 17:39:21 檢舉

這是 針對 電腦能不能上網的問題 我有做過了 ok.
現在是 有某幾臺電腦 有上網需求.
但是 只能讓他上 特定的幾個網站而已.
黑名單的方式 就不行.

12
zomb
iT邦新手 4 級 ‧ 2010-09-02 14:42:47

這可能要看你的機器台數,以及允許的名單有多少哩,小弟有一個不用錢的方法,但是狀況最好是pc台數少,允許可以連接網站少的方法,
將dns 去掉,直接在 hosts 填入 允許ip以及對應網站,然後再將windows權限鎖住

不過這樣要一個一個去查 ip 多少,會有點累,所以要少台數,少允許名單,好處是只要可以上網就不用在買別的設備的錢,

kolom iT邦好手 1 級 ‧ 2010-09-02 17:40:14 檢舉

約 30臺 到40臺之間.
你說的方法 我不懂.

zomb iT邦新手 4 級 ‧ 2010-09-03 17:59:31 檢舉

使用者 權限最高到 power user
1.將 用戶端 tcp/ip 的dns伺服器全刪掉 =>使用者會無法上網 因為解析不到 dns 對應ip
使用者 無法增加dns,無法更改 windows 內資料夾
2.更改C:\WINDOWS\system32\drivers\etc 下的hosts 用筆記本打開
3.填入白名單
列如要上yahoo
www.yahoo.com.tw 68.180.206.184

這樣只能上雅虎首頁

10
rickhsu
iT邦高手 6 級 ‧ 2010-09-02 17:17:24

弄台Proxy吧~
例如ISA SERVER,
把可以上的網站加入就好,
只不過,要一直去維護更新網址。

看更多先前的回應...收起先前的回應...
kolom iT邦好手 1 級 ‧ 2010-09-02 17:43:52 檢舉

Proxy Server 有這個功能?
我以前玩過 linux 的 proxy server 不記得有這功能.
另外 這樣 不是在 IE 上要設 proxy ,如果 員工 直接在IE 設 不經過 proxy server 不就沒用了.

rickhsu iT邦高手 6 級 ‧ 2010-09-03 08:56:30 檢舉

我公司用的ISA SERVER就有這個功能,
而實際上我們也是這樣子在管的XD

rickhsu iT邦高手 6 級 ‧ 2010-09-03 08:58:05 檢舉

這當然要調整網路架構囉,
讓所有員工都必需經由PROXY才能上網,
如果您還是放在一旁,那當然不會有作用啊。

sula3065408 iT邦研究生 1 級 ‧ 2010-09-03 13:49:06 檢舉

這個方法...就把Proxy設定成我家、公共的Proxy或是乾脆不用Proxy都會讓管制無效。

sharbui iT邦新手 3 級 ‧ 2010-09-03 17:29:07 檢舉

allow proxy_server port 80
allow office_user to proxy_server port 80
deny office_user to internet port 80
==================================
transparent proxy....讓你不用一台一台設...但你firewall要能redirect...

當然..proxy 3128 prot...記得封一封..亂七八糟埠.封一封.....
drop all好了....XD

12
wenchan
iT邦新手 5 級 ‧ 2010-09-02 17:19:40

怎麼搞的,老闆管的真多,防火牆應該就可以設定了吧,現在防火牆功能都做的很好,Fortinet產品就有此功能

看更多先前的回應...收起先前的回應...
kolom iT邦好手 1 級 ‧ 2010-09-02 17:50:14 檢舉

不是老闆管太多.是員工不聽話.上班時間 都在上網 種菜 養魚 非死不可. 然後每天都要加班.
這要怪老闆嗎! 有公告也沒有.開除又不忍心.只好封閉網路 不讓上班時間上網.
可是有幾臺電腦 必須上 勞保局或經濟部等網站.所以才想要有這樣的控制.
所以希望 各位先進介紹可以買的機器.
Fortinet 那有賣?

echen688 iT邦研究生 1 級 ‧ 2010-09-02 18:28:33 檢舉

kolom提到:
開除又不忍心

所以忍心花錢? ..... 這麼好的老闆現在不多了 ..... 拍手

sula3065408 iT邦研究生 1 級 ‧ 2010-09-03 13:47:02 檢舉

用防火牆就行了吧!
假設沒管制的IP是192.168.0.199,192.168.0.168這兩個,防火牆的規則用中文解釋就會像下面所說的那樣設定:

Rule 1.0 先讓PORT 80的封包都可以通過
Rule 2.0 讓來源/目的[勞保局IP]的封包可以進出
Rule 2.1 讓來源/目的[經濟部IP]的封包可以進出
Rule 3.0 讓[192.168.0.199]的封包可以進出
Rule 3.1 讓[192.168.0.168]的封包可以進出
Rule 4.0 全部丟掉

規則是由上往下符合就做,這樣就解釋成不是PORT 80的全部都丟掉,不是進出勞保局、國稅局的全部都丟掉,不是我說的那些IP的封包全部都丟掉,是還蠻絕對的設定。

sula3065408 iT邦研究生 1 級 ‧ 2010-09-03 13:54:35 檢舉

上面是我粗步的想像,可能有錯汗

sula3065408 iT邦研究生 1 級 ‧ 2010-09-03 14:03:05 檢舉

Rule 1.0 不是PORT 80的丟棄
Rule 2.0 讓來源/目的[勞保局IP]的封包可以進出
Rule 2.1 讓來源/目的[經濟部IP]的封包可以進出
Rule 3.0 讓[192.168.0.199]的封包可以進出
Rule 3.1 讓[192.168.0.168]的封包可以進出
Rule 4.0 全部丟掉

應該是這樣吧~汗

12
kencsh
iT邦新手 4 級 ‧ 2010-09-03 08:45:44

以你們公司的規模和你所的需求,建議您可以考慮sharetech的產品,
它們家的產品應該可以滿足你的需求。

kolom iT邦好手 1 級 ‧ 2010-09-03 09:15:11 檢舉

謝謝回應.sharetech 那個型號?

12
chang0206
iT邦新手 1 級 ‧ 2010-09-03 08:59:15

上面提過的,國產的像是sharetech(眾至) 、nusoft(新軟)、abocom(友旺)應該都可以做到,這是花錢的方案,簡單說就是先設定好固定IP,然後針對每一個IP去設定可以開啟的網站,其他的就預設阻擋就好。只是不曉得你有多少client,多了不但是考驗你自己設定的耐心,對機器的效能也會產生影響。
至於用Squid +SARG來作,我是比較不建議,因為還要先去瞭解Linux底下的NAT觀念、iptables指令等等,有時間、有精力、又有興趣的話,可以玩玩,但是在商業環境中,還是建議你用硬體的方式,請廠商協助處理。
甚至整理出放行規則的表格,交給工程師,請他們幫忙設定,你自己只要大概記得觀念就好,這樣子對你而言,會是比較省事的作法(當然,要花錢就是了..)

kolom iT邦好手 1 級 ‧ 2010-09-03 09:16:32 檢舉

嗯!你的建議很好. 問題是我要找誰?
sharetech(眾至) 、nusoft(新軟)、abocom(友旺) 有沒有建議的型號.
謝謝!

10
Ken(Bigcandy)
iT邦大師 1 級 ‧ 2010-09-03 13:09:38

ISA Server 可以轉url,很不錯(管制網址全部轉到一個宣告頁面,多好啊!!)
很多防火牆連這功能都沒有,滿討厭的

我想建議一個解決方案,免費的
1.確認用戶端沒有Administrator權限
2.白名單,建立在hosts裡面
3.把這個檔案發給用戶
4.間單說,管制DNS就對了

看更多先前的回應...收起先前的回應...
sula3065408 iT邦研究生 1 級 ‧ 2010-09-03 13:29:13 檢舉

只管制DNS,我自己架設DNS幫忙解,會發生什麼事情?
我改host文件,或直接輸入ip又何解?

把『限制上網』的電腦,DNS指定為127.0.0.1
這樣,他只能上hosts裡面的網站

除非用戶懂得用IP來連結

shunyuan iT邦研究生 1 級 ‧ 2010-09-06 20:07:15 檢舉

bigcandy提到:
把『限制上網』的電腦,DNS指定為127.0.0.1
這樣,他只能上hosts裡面的網站

除非用戶懂得用IP來連結

這應該沒用,自己改 DNS 就好了,有很多工具軟體傻瓜版的。

shunyuan iT邦研究生 1 級 ‧ 2010-09-06 20:07:40 檢舉

bigcandy提到:
把『限制上網』的電腦,DNS指定為127.0.0.1
這樣,他只能上hosts裡面的網站

除非用戶懂得用IP來連結

這應該沒用,自己改 DNS 就好了,有很多工具軟體傻瓜版的。

bigcandy提到:
確認用戶端沒有Administrator權限

確認用戶端沒有Administrator權限
沒有管理權限,不能改變DNS

8
oowo
iT邦高手 1 級 ‧ 2010-09-04 19:12:32

我有做過類似的,記得是用dhcp+防火牆去讓某個區域出不去就行了。
全封的話把dnz區指錯就出不去了…
部分限制的話…可以搭其他的軟體去做…

8
ycl8000
iT邦高手 1 級 ‧ 2010-09-04 21:08:17

如果公司的人不多,或許可以考慮用 Norton™ Online Family 這套來試看看,免費簡單又不錯用.

kolom iT邦好手 1 級 ‧ 2010-09-06 20:14:18 檢舉

如果公司的人不多,或許可以考慮用 Norton™ Online Family 這套來試看看,免費簡單又不錯用

請問在那抓? 安裝在個人電腦上嗎?

8
花輪
iT邦大師 1 級 ‧ 2010-09-04 23:18:41

可以問問看這個...... Websense

kolom iT邦好手 1 級 ‧ 2010-09-06 20:15:51 檢舉

fran633提到:
Websense

謝謝! 這個我可以研究看看.

6
yifengtw168
iT邦新手 3 級 ‧ 2010-09-05 13:41:31

你可以考慮買UTM之類的設備,這樣好管理的多了~ 軟體的話你可以參考IP-GUARD,只有簡體中文,大陸網站上有很多"免費試用版" 拍手

我要發表回答

立即登入回答