阻止社交网站的最佳做法

在我们公司中，我们拥有约100个可访问Internet的工作站，并且从使用Internet访问做私人工作以及浪费社交网站时间的角度来看，每天的情况越来越糟。

敞开心ed，我不喜欢阻止Facebook，YouTube和其他类似网站，但我的同事每天都无法完成任务，而且只要我看着他们的显示器运行Internet Explorer或Mozilla Firefox，就可以聊天诸如此类的事情。另一方面，当我们的互联网访问速度非常低时，我想阻止YouTube。

这是我的问题：

• 其他公司是否封锁社交网站？
• 我是否需要专用的设备，例如硬件防火墙或超贵的路由器？还是可以使用现有的FreeBSD 6.1自制路由器（带有两个LAN卡和配置的NAT充当路由器）来做到这一点？

我试图使用ipfw和routerfirewall 做到这一点，但没有成功。我的代码如下：

ipfw add 25 deny tcp from 192.168.0.0/20 to www.facebook.com
ipfw add 25 deny udp from 192.168.0.0/20 to www.facebook.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny udp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.youtube.
ipfw add 25 deny udp from 192.168.0.0/20 to www.youtube.com

我该怎么做才能解决此问题？

其他公司是否阻止社交网站？

是的，但这并不意味着它是个好主意。《可预测的非理性》一书进行了有趣的讨论，并链接到一些研究，这些研究基本上表明，如果您阻止个人使用，实际上可能会降低您的生产力。如果人们认为自己的工作场所友好而像家，则他们更有可能在40小时以上在家中工作。

如果一个人造成了问题，最好与该人合作，然后使用一种技术解决方案来简单地杀死破坏性物品。技术并不能代替实际工作的经理。

大多数过滤器很容易被绕开，您确实应该尝试避免与同事进行军备竞赛。在某个时候，您将防火墙设置得如此敌对，以至于无法完成实际工作，并且您可能仍未阻止防火墙周围所有可能的方式。

我是否需要专用的设备，例如硬件防火墙，超贵的路由器？或者我可以用两个LAN卡将现有的FreeBSD 6.1自制路由器配置为可以像路由器一样工作。

您可以安装Squid + Squidguard并通过代理强制所有流量。您可以设置ACL来阻止您不喜欢的网站。

我建议您将squid设置为代理，不使用ACL来阻止任何内容，而只看日志。强制所有人通过代理（有通知）。然后设置类似SARG的内容来生成报告。如果某人确实有问题，则要提供一份良好的报告将为员工的上司提供证据，要求他们着手解决问题。

这应该通过您的纪律处分程序，而不是您的防火墙来处理。这是针对非技术问题的技术解决方案。

您知道RIAA和MPAA是如何发布这些疯狂数字的，这是基于一种愚蠢的假设，即如果不可能进行盗版，则会购买每单位盗版内容，这是一种愚蠢的假设？

您通过假设如果在社交媒体上“浪费”时间是不可能的，那么您将花费相同的时间进行生产性工作。但是，除非您是在谈论这些数据录入员，否则我们可能是在谈论工作中具有某些创造力/知识工作者方面的人，这意味着他们的生产力是一件复杂的事情，看起来并不一样就像装配线上的小部件扭曲器一样。他们对社交媒体的使用可能很容易成为他们生产力的关键组成部分，对其进行攻击可能正在攻击使他们能够赚钱的因素。

甚至在我们进入将员工像囚犯一样对待囚犯的士气影响之前。

只是说，老兄。

我们仅在浏览妨碍生产力的情况下才阻止站点，并且我们接受本地管理人员对此问题的看法（即使我们怀疑它们过于夸大）。

我们使用代理服务器阻止网站；通常是SQUID，应该可以在防火墙上正常运行。我们在防火墙上设置了一条规则，阻止除服务器和代理服务器之外的所有主机的出站端口80（有时是443）。然后，我们使用组策略在用户的Internet Explorer中配置代理。

一些经理要求我们提供使用情况统计信息。大多数都不是。

JR

使用OpenDNS。您应该可以使用它来阻止社交网站。否则，您应该考虑使用具有过滤功能的代理服务器。

阻止事务的最好方法是让经理四处走走，在没有完成任务的人附近花费更多的时间。如果人们完成工作，为什么您要关心他们访问哪些网站或花费多少时间？如果没有，请写下来，然后继续前进。

数据包整形可以限制流传输，这为我们的网络带来了很多好处。如今，没有人对社交网站如此关注，因为3个人提取YouTube视频不会干扰MSDN下载。

在确定解决方案之前，请确保找出真正的痛点是什么。

我在一所大学工作，我们使用Websense阻止网站。好（不完美！），但价格昂贵。OpenDNS更便宜，也很不错。

归根结底，我的看法是，对于行为问题，几乎没有技术解决方案。如果您的企业不希望人们访问社交网站，则需要明确表明这违反互联网使用政策，否则它将成为某些人的游戏。在必要时，一定要使用工具来帮助执行该策略，但不要仅仅在没有任何解释或沟通的情况下封锁网站。

我也同意有关工作是否正在进行的评论。如果人们实现了他们的目标，那么您可能会问，让他们在互联网上失去控制权的危害在哪里？

我同意这是一项人力资源/管理政策，IT部门只能采用不够完善的技术来实施。如果有问题，罪犯的表现应该显而易见。

但是，如果出于纪律处分的目的要求提供证明，则Internet使用日志对于组织的案例至关重要。为此，组织必须采用日志记录/报告机制。应将此使用情况告知员工，并在员工手册中明确记录使用政策。

我们还使用WebSense执行使用情况监视。我们的政策严格禁止的类别被直接阻止。通过单击相当于员工说“我理解此过滤器，由于业务原因而继续进行”的按钮，可以允许其他较宽松的监管。您使用的工具将在很大程度上取决于您拥有的策略类型和组织的规模。

我也完全同意，限制社交网站正变得越来越不受欢迎，尤其是对于后代而言。

我们既使用OpenDNS，也使用网络前面的IPCop盒。

这使我们可以限制午餐时间（12:00 pm-1:00 pm）以外的网站，例如MySpace，FaceBook，YouTube等。

这使员工可以在午餐时间检查自己的myspace，facebook等，但可以使他们“专注于”公司时间。

我们会定期查看IPCop日志文件，并确定是否需要阻止更多站点。

如果实施IPCop解决方案，您将很快发现，大约一周后，所有“神奇地”停止运转就停止了。您还会发现，您只需要屏蔽少数几个站点即可大大提高员工的工作效率。

祝好运

PS-过去我们使用的另一种出色的产品是SecuredIM（http://www.securedim.com），它可以监视公司间的聊天，并根据需要定期捕获用户桌面的屏幕快照。（即，每隔10分钟对Joe的桌面进行快照）

大多数人错误地认为Web过滤的目标是专一的-这并不是“仅仅”关于生产率的问题-尽管我已经看到许多现实世界中的例子，当应用温和的控件时生产率会提高，而产量会大幅提高。我为Web过滤供应商SmoothWall工作-因此，尽管我可能有偏见，但我也很有经验！

这些天，Websense甚至在宣传“说是”-我们（SmoothWall）同意。您需要宽容。使用软块（提醒一下，这是“非政策”或时间带是放松情况的2种方法。

无论如何...正如我所说的..不只是生产力-我已经看到了由于社交网络滥用，成人网站滥用以及缺乏证据而导致的人力资源问题。

最后...值得指出的是，并不是每个人的行为都像我们期望的那样-并​​不是每个人都具有“ sysadmin / techie心态”，并且会更加努力，因为您给了他们facerbook。害怕。

别。

简短的回答：是的，那里有公司阻止Web访问（社交网站或其他网站）。

长的回答：
从雇主的角度来看：浪费了在工作上花费的时间，而不是在做任何工作。
从员工的角度来看：我的工作已经完成，在等待更多工作的时候，我会去（访问该网站）-根据您所做的工作类型，工作时间和时间之间可能会有差距您会收到更多要做的工作。

当我们公司决定试用WebSense时，我是拒绝访问Web的一名员工。我从网络感知锁定中学到的几件事：

• 我从开放代理，隧道以及有关规避Web块的信息中学到很多东西
• Web访问被锁定的员工之间发生了很大的动荡-不影响高层人士，因为他们的访问不受限制

最好的工具是具有开放统计信息的Internet使用策略（但您知道，管理人员也会对此表示反对-他们也是人）。

1. 禁止从用户lan到外部的所有连接，没有端口例外！
2. 例如，获取一些代理服务器-Squid并添加类似Squidguard的过滤器
3. 现在有两种方法：将用户配置为使用代理（需要一些时间）或启用透明代理（可能是SSL连接出现问题，但速度更快）。
4. 寻找满意的用户，然后从他的PC上卸载TOR（http://tor.kamagurka.org/index.html.en），删除usb，软盘，cdrom等，因此他不能使用便携式版本（或更好的版本） -在公司中大张旗鼓地解雇他）

我听过杰森·卡拉卡尼斯（Jason Calacanis）在“本周是初创企业”一集中的建议，向员工发送电子邮件，以便他们可以知道浪费了多少时间。

大多数用户可能不知道他们在这些网站上花费了多少时间。使用这种方法，员工可以进行自我警惕，并且还知道，如果这种情况失控，管理层也可能会知道。

拥有该产品的演出的赞助商是WebSpy。

如果您的员工选择浪费时间而不是干工作，那为什么要取消数千种浪费时间的方式中的一种呢？

也许问题出在人们认为他们可以以这种方式对待员工的工作环境中。

您正在尝试向后阻止它。

您不必担心TCP / IP会进入主机。您应该阻止传入流量，即：

ipfw add 25 deny tcp from www.youtube.com to 192.168.1.0/24

或者只是阻止网络流量：

ipfw add 25 deny tcp from www.youtube.com 80 to 192.168.1.0/24

但是，这不会阻止所有操作，因为该地址www.youtube.com将转换为DNS找到的第一个IP地址，并且负载平衡会削弱您的阻止功能。如果您想讨厌，可以阻止整个网络。

如果您使用的是OpenDNS，则始终可以通过这种方式轻松地按域/内容进行阻止

它取决于您所工作的公司的类型，在我的情况下，我在教育领域工作，在这里我们使用的是SmartFilter（价格昂贵）。但是我的意思是，根据工作领域的不同，您可以使用OpenDNS（我在引入SmartFilter之前就使用过）来阻止所有社交网站。

我只会使用DNS服务器来阻止域，但不要忘记设置防火墙，以使用户无法在公司外部使用DNS服务器（例如opendns）

您确定阻止社交网站可以解决问题吗？

您指出的问题是情况越来越严重...

您是说您的员工在这些社交网站上使用的带宽过多吗？还是您的意思是您的员工在某些网站上花费了太多的工作时间？

如果是第一个，那么最好获取流量数字。我想使用公共电话号码的概念，但是，不管它们是否是公共电话，如果问题出在网络流量太大，那么收集数字将使您做出明智的决定。

如果您的流量过大，那么我将收集一个或两个星期的电话号码，然后宣布该网站zzz.com，aaa.com等在特定日期将被禁止。

另一方面，如果问题是员工花了太多的工作时间，则问题不是技术问题，应该用其他方法解决。

如果您仍然希望从技术上进行处理，那么如果您收集了访问量，则可以阻止对您的业务不重要的前10个站点，看看情况是否会有所改善。

就我个人而言，我只雇用反社会人士。

很棒的讨论。我会检查一下。这是传递给IT的绝佳白皮书：阻止还是不阻止。那是问题吗？