我想停止使用社交媒体和其他网站的雇员,我可能会认为我不希望他们访问,但有时我们需要使用它,所以我需要一些灵活的可定制的解决scheme。
我试过路由器,它只能阻塞多达8个站点。 我可以使用DNS过滤解决scheme,例如OpenDNS.com,但我怎么能阻止用户只是手动更改他们的DNS(如谷歌DNS 8.8.8.8和8.8.4.4),以避免我的阻止?
我可以设置代理服务器的机器,并使其成为一个网关,但我仍然面临与代理相同的问题,他们可以删除浏览器中的代理设置,并使用直接连接。
有没有办法阻止除了自定义DNS或代理服务器,我可以在路由器或网关的某处设置的所有连接? 我有一个使用Netopia 3700,但我可能能够买一个新的。
简单的解决scheme是,必须在边界设备上设置一个出口filter,如果您要强制DNS服务器或者出站tcp / 80,tcp / 443连接不是来自您的代理,则阻止出站udp / 53。
有大量的Linux防火墙设备和路由器防火墙替代品可以很容易地做到这一点。 你可以得到的一些设备允许你在盒子上放置鱿鱼/鱿鱼保护,你可以在透明模式下设置它,这意味着用户不需要configuration任何东西。
除了过滤或除了过滤,我build议你考虑设置一些logging所有的stream量。 告诉大家,你正在logging一切,任何严重的虐待行为都将得到处理。 这样,你可以忽略只花费几分钟时间的人,并且处理那些一天到晚都在浪费活动的人,而不要让所有不那么虐待的员工生气。
正如OG Chuck Low在他的评论中所build议的那样, 如果您在Windows域中 (您没有提到客户端的操作系统),您可以使用组策略与DHCP一起设置用户的DNS设置(例如使用OpenDNS) ,并禁止他们改变他们。 除非他们的计算机上有pipe理员访问权限,在这种情况下,他们可以随时更改,至less到下一个组策略刷新间隔(通常一小时一次)。
有关您需要检查和设置哪些组策略的信息,请参阅此MS文章:
networking连接的组策略
通过使用组策略pipe理单元,pipe理员可以一次configuration多台计算机的桌面设置。 某些组策略设置专门应用于networking连接,例如用户访问连接以及更改连接属性的function。 这些设置可以在组策略pipe理单元的pipe理模板中find。
哪里? Group_Policy_object_name /计算机configuration(或用户configuration)/pipe理模板/networking/networking连接
另一个select是获得一个更强大的防火墙/路由器,允许黑名单超过8个网站。 🙂
实际上,让人们避免上网冲浪的最佳方式是公司/人员策略(“冲浪Facebook并被解雇”往往效果不错),因为诸如代理,便携式浏览器,LiveCD之类的东西非常难以停止精明的用户从技术的angular度来看; 特别是如果他们有pipe理员访问他们的系统,或者没有完全locking,以防止引导其他设备。
您正在尝试使用技术来解决政策问题。
请不要 – 它不会工作。 持续的违法者总是会find一种方法来解决你施加的任何技术措施,以防止访问。
同时这些技术措施会给那些不信任你的人造成不便和挫折。
计算机资源的滥用主要是人力资源问题。 不要把它当成一个技术问题。