iT邦幫忙

0

公司內有用了兩個安全機制封鎖Google的使用,

  1. FortiGate 80E 設定Web Filter的方式

2.卡巴斯基 防火牆裡 設定封鎖Google網路封包的規則

目前狀況是公司內為了更新軟體程式,會暫時關閉卡巴和FortiGate 80E,

如果這時候有使用Google搜尋取得Cookie之後,

就算再把FortiGate 80E 和卡巴的設定開啟,

Google搜尋就會呈現一個可使用的狀態。

可以像前輩們請教為何會出現這樣的問題呢?

看更多先前的討論...收起先前的討論...
如果用application control 把整個google service 或google search封鎖呢?
harrytsai iT邦新手 5 級 ‧ 2019-07-15 11:11:07 檢舉
1.為什麼更新軟體一定要Google
2.擋google我可以用IE 或者其他上網工具,或者一開始就不給User安裝google 瀏覽器就好了
你們的作法相對的很有邏輯問題
Ethan_MIS iT邦新手 5 級 ‧ 2019-07-15 11:22:26 檢舉
問題1.
應該是我問題描述得不好,更新軟體的時候,
會暫時開放FortiGate 80E 和卡巴的設定
更新軟體和Chorm的使用無關。
問題2.
Chorm 是公司內部使用到的上班工具,
所以才會要求我們要擋Google的搜尋,
僅開放特定IP可以前往而已。
封銷GOOGLE???

手機4G吃到飽的人那麼多,開個4G分享,電腦裝個看不出來的USB wifi網卡連手機分享網路,青菜也能繞過你的限制........你做這種封鎖的事,不只沒效益,封銷也會造成網路效能下降,還有你也會得到工作同事的質疑,吃力不討好,不要往這方面想啦.....
Ethan_MIS iT邦新手 5 級 ‧ 2019-07-15 12:49:23 檢舉
感謝 japhenchen 大大的提醒
那些是公司要求我們去做的,而不是我們MIS自己想弄得呀XDD
至於手機的部分,我們進到公司工作區域是嚴禁帶手機的,
聽說有很多公司也是這樣規定手機的部分不是?
還是我們公司特別嚴格?
現在其實也很少在擋了。大多數如果真的有資安安全的情況。也會利用一個中央控管的伺服器來做處理。

認真來說,剩下來的就只剩下帳號控管來決定規則了。
上頭的思考是很死的,但專業的你們要給意見才對。
認真來說,真有心要搞的話。除了手機之外。也可以外開wifi的方式處理。
更狠一點的就是重建帳號來處理.....等等等。

雖然那也的確是需要一定能力的人就可以辦到就是了。
因為這類的事我就曾經在某家公司幹過。
(噓~~~)
我買個專用的4G分享器(台製的)的也不過5000元,不拿進公司,就放在公司外的車上(用行動電源),訊號不好加個網路訊號搌展器........電腦上插USB wifi,真的要這樣諜對諜?

我也是公司的MIS,才知道大家的招數,多了
排除這些不說,你用Web Filter就能擋上網?電腦上插支3G4G分享器很難?VPN很難?懂得用這招的人還真的很多,再強也強不過對岸強國的GFW,我朋友都有辦法繞過GFW了,就單憑我們一廂情願的封鎖就想讓工作效益上升?除非你們公司薪水真的很高,不然想要用這些招數還不造成人員高流動,難吧
froce iT邦大師 6 級 ‧ 2019-07-15 16:02:31 檢舉
我只能說,其他的外部分享軟體如gmail、google doc這些擋我認同啦,google搜尋擋掉...

你確定你們公司不會因此少很多生產力嗎?尤其是IT...XD
angelsu00 iT邦新手 5 級 ‧ 2019-07-18 15:06:01 檢舉
一堆人一直要樓主跟公司對幹規定 是在想什麼?

2 個回答

1
mytiny
iT邦大師 1 級 ‧ 2019-07-15 13:42:56
最佳解答

針對樓主詢問的現象來做一下回答
在下認為,所有的session都有一定的TTL時間
在沒有斷掉session的情況下
原來的連線都存在(走原先的Fortigate規則)
因此即使重新開啟WebFilter也不會產生作用

同時Fortigate本身也有Proxy與Flow模式的運作方式
很可惜,樓主還是沒有截圖跟敘述細節
因此只能說這兩種模式下的運作有所不同
建議樓主可以在開啟webfilter之後
將網路卡停用關閉再重開試試

Fortigate上的因應方式很簡單
可以在開啟webfilter之後
在CLI下達以下指令
diag sys sesssion clear
這樣會把Fortigate內全部session清掉
Client的session會自動重聯就會進入新的資安政策中
樓主可以試試看是否有效

0
123aa123
iT邦新手 5 級 ‧ 2019-07-20 00:10:50

屋! 還好有看到這篇 感謝分享

我要發表回答

立即登入回答