我一直很高興地使用 opendns 來阻止我的網路上的 facebook。然後我開始思考繞過這個封鎖的技巧,當然,我已經在 serverfault 上閱讀瞭如何封鎖 Facebook IP 位址。但如果有人使用 Tor 或 Freegate呢?
我能做些什麼?
答案1
你所遇到的並不是一個真正的技術問題,而是一個管理問題,不要試圖讓它成為一個技術問題。您需要製定可接受的使用政策,明確定義使用者可以使用組織提供的資源做什麼,不能做什麼。它還應詳細說明可以採取哪些步驟來執行 AUP(監控使用情況/審核機器等)以及違反 AUP 的製裁措施。
答案2
我認為你需要問為什麼你要試圖阻止 Facebook?我假設這是一個公司網絡而不是家庭網絡。為什麼你應該允許你的員工使用 myspace、twitter 和 amazon、friends-reunited 等而不是 Facebook?這種企業內容過濾(我工作的組織也這樣做)幾乎總是毫無意義的。它試圖阻止它認為粗魯的網站。為什麼?我是個成年人(大多數時候),我可以處理粗魯的言語。我的組織嘗試阻止網路郵件以阻止我們透過電子郵件向家中發送訊息,但它不會阻止我的 ntl 網路郵件,因為設定規則的人沒有想到這一點。它也不會阻止我的個人網路郵件伺服器。
我完全贊成公司監控員工的網路使用情況,並制定管理政策來規定什麼是可接受的網路使用情況,包括工作相關的和個人的。但自動阻止網站很煩人(特別是在誤報的情況下),並且最終實際上並不能阻止任何重大事件。省去麻煩,確保代理病毒掃描內容和下載,並且您的防火牆配置良好,將監管用戶的網路習慣留給他們的經理。
答案3
您越努力阻止它,用戶就越難嘗試存取它。
答案4
好吧,對於初學者來說(除了其他人所說的有關策略和治理的內容之外),您應該阻止網路上超出所需範圍的出口流量(並且我通常不允許客戶端電腦在任何地方建立直接TCP/UDP 連線;沒有當您有內部代理伺服器時,99% 的時間都需要),尤其是到外部 DNS 伺服器的 UDP/TCP 53。
我使用了第 3 層過濾和 OpenDNS,並在客戶(例如您的客戶)中取得了許多成功,這些客戶並沒有將其視為管理問題(事實確實如此)。然而,如果他們想付錢讓我進來並在解釋後進行設置,那就這樣吧。
比放棄出站 DNS 更好的方法是設定一個代理伺服器(Squid 是開源/免費的,而且快取也做得很好;根據您的規模,老化的工作站硬體可能沒問題)。
現在,您可以刪除從客戶端到外部的所有直接 TCP/UDP 連接,並強制每個人都使用代理(透明地,他們甚至不會注意到)。