請教各位前輩
公司要求只能使用內部郵件系統,小弟之前是用FQDN+IP來阻擋gmail連線,現在變成要阻擋所有外部郵件系統,FQDN+IP應該會設不完,有沒有更好的方法來實現它?阻擋port?
已邀請的邦友 {{ invite_list.length }}/5
發出公告 : 凡是被發現使用公司不允許的網站,一律扣薪降職,扣除獎金(如果有的話),列入汰除人員。遠比防火牆管東管西好用多了。
首先,不知道你的防火牆支不支援直接針對APP進行封鎖之類的設定。
如果可以,那就是先去找到各種可能可以用的郵件軟體來封鎖吧。
如果不行,那就只能封鎖IMAP、POP3、SMTP等等的port了,但不知道會不會有不使用這些port來進行傳輸的郵件軟體,如果有,那也只能再一一的針對這些特殊port進行封鎖了。
看你主管的想法,感覺上示零信任政策,不過想要完全禁止員工使用外部信箱,可能真的不太容易,畢竟也能連上自己手機熱點,真的想要幹壞事,方法絕對是比你我想像的多很多的。
菜雞
現在手機網路很發達、幾乎人人都是手機上網吃到飽。
就算user手機沒設定外部郵件APP,也能夠透過很多種方式將敏感資訊洩漏出去。
實行「物控」的同時,也必須進行「人控」,就如同上面Abbott大大所說,發佈相關公告讓user知曉並且頒佈罰則,這樣才能夠最有效的進行「零信任政策」,但是「人控」也是最難的部份,這部份只能讓你主管去頭疼了。
IMAP、POP3、SMTP等等的port 不是固定的,尤其是加上 SSL 之後更是五花八門,看過有用 8888 也有用 16888 也有 58888 這種PORT 的,請問 FW 要怎麼攔阻這麼多的 PORT 呢
窮嘶發發發
Hi 窮大。
如果發文者公司的防火牆是不支援針對APP進行封鎖的,想要達成這個目的,也只能被動的去封鎖port了。
發文者公司如果是上述狀況,想要汰換成可以針對APP進行封鎖的防火牆,也會需要一筆經費,但我並非發文者公司內部成員,我無法得知他是否能夠爭取的到這筆經費,那就只能以最不理想的狀況來提供我的想法了。
iThome鐵人賽
看影片追技術