我在使Cisco ASA设备阻止某些社交网站时遇到了麻烦,这些社交网站已成为我们办公室的时间消耗。这个问题实际上分为两个部分:
dig接着一个nslookup产量两个不同的IP地址www.facebook.com。我们正在寻找一个临时解决方案,直到我可以启动Squid并开始运行为止,这可能要花六个月的时间(我们需要一位网络管理员,不好)。
Answers:
您将谁用作DNS提供商?如果您可以切换到像OpenDNS这样的人 (免费),他们将提供对社交网站,网络邮件,成人内容等的自动(非常可配置)阻止。
编辑:您不必使用ISP进行任何更改。
在您的Cisco asa上,您可以执行以下操作:
regex facebook1 "facebook\.com"
class-map type inspect http match-any block-url-class
match request uri regex facebook1
policy-map type inspect http block-url-policy
parameters
class block-url-class
drop-connection log
policy-map global_policy
class inspection_default
inspect http block-url-policy
service-policy global_policy global
我的一个客户有这个确切的问题。解决问题的方法如下:
简单的事实就是将每个人的IP地址硬编码到他们的电话分机上,因为这很容易识别违法者。我们还更改了所有DNS服务器设置,使其指向OpenDNS。(OpenDNS可以使用其他过滤选项,但事实证明这些过滤器毕竟不是必需的。)
删除(并禁止)使用所有公共IM客户端(例如Yahoo Messenger,MSN,AOL,ICQ等)。相反,我们安装了名为SecuredIM的仅公司安全的XMPP服务器,以便记录所有IM流量并将确保仅是公司间通信。
SecuredIM还具有独特的功能,每隔XX分钟拍摄一次桌面截图。如果怀疑一名员工犯规(基于IPCop日志),则一张图片价值1,000字。选择的屏幕快照可以存档并通过电子邮件发送以供以后查看(或纪律处分)。
我们通过IPCop框上的URLFilter 阻止了Facebook,Myspace,Hulu和其他两个或三个主要滥用行为。
人工审核(如有必要,还会阻止更多站点)大约一周。
在午餐时间(下午12:00-下午1:00)开放“自由/畅通”的冲浪。
到本周末,公司已全面转型。生产率显着提高,没有人抱怨。
与任何公司一样,那里总是有1-2位叛军认为这是“游戏”。
当nytimes.com被阻止时,他们去了另一个新闻站点。当那被阻止时,他们又选了另一个。其他人则停止了冲浪并开始了嗜好,如纸牌和扫雷,但SecuredIM屏幕截图发现了这一点(IPCop显然不是)。
在两周内(以及几次雇主/雇员讨论,包括对顽固个人的纪律处分),一切进展顺利,并且已经运转了近两年。
网址:
边注:
作为一个有趣的故事。大约一年后,建筑物中的电气问题导致IPCop盒的电源中断,并且需要2-3天才能安装新的IPCop盒。
我们发现,员工花了不到48个小时才恢复原来的/原始的冲浪习惯,并使生产力下降。
这是相当社会的实验。:-)
DNS解决方案听起来对我来说是最好的答案,但是请注意,他们当然很可能仍然可以通过IP地址访问网站(您可能从问题的层面上知道,但是其他人在Google上也找到了此解决方案)可能不是)。
其次,看一下Evan的回应,即阻止用户在Windows计算机上运行某些程序,从而阻止用户运行某些程序。我认为您正在尝试解决IT管理问题。确实,他们可能应该雇用足够负责的人来遵守明确制定的任何规则,并且他们可能应该担心他们能否按时做好任务,而不是在停机期间访问哪些网站。阻止这些东西可能只会在整个公司内传播怨恨。当然,您要做的是必须做的事情,这甚至可能取决于您,但是我认为,如果还没有这样做,应该在采取此类步骤之前始终考虑这一点。
如果您没有时间或人员来构建自己的解决方案,则可以考虑使用交钥匙产品。
我们使用eSoft的Threatwall,在控制访问(通过IP或URL)方面做得很好。使用所有常见网站类型的复选框进行配置非常容易,并且可以添加自己的网站并具有白名单。他们有不同的软件包可用(例如,我们还过滤垃圾邮件)。
不隶属于eSoft,除了作为客户之外,Dave