服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在防火墙closures的情况下阻止社交网站的用户
Intereting Posts
带有故障磁盘的Dell PowerEdge 2900(在Raid 5arrays中)。 我可以使用不同的固件来replace它吗? 如何在Ubuntu Linux上实施和修改基于angular色的访问控制策略? 什么是Windows Server 2003中的$ hf_mig $目录? CPU – 虚拟化技术(英特尔VT)在笔记本电脑 廉价可靠的高可用性解决scheme? FreeNAS / FreeBSD:如何从监狱访问ZFS卷的状态? “EdgeSync租约已过期。 可能表示Edgesync服务没有运行“ 使用Exchange 2003自动转发无法投递的电子邮件报告 Nginx Mod重写 – 将* .png重写为* .php 在FreeBSD 10上使用knife bootstrap的问题 “Skype for Business StatsMan PerfAgent”导致“DLL ZZZ中服务XXX的打开过程失败” 在Ubuntu服务器上我的ufwconfiguration有什么问题? 清理没有xp_cmdshell或维护计划的备份文件 XenServer – 从机箱中卸下刀片服务器 sshfs mount不会从/etc/rc.local启动

在防火墙closures的情况下阻止社交网站的用户

我们目前有一个SonicWall防火墙,在Facebook和Bebo这样的阻塞社交网站方面做得相当不错。 我们遇到的问题是有时我们需要暂时禁用防火墙阻止列表,以便我们可以在Facebook上更新公司的页面。 每当我们这样做的时候,在工作时间里都会看到一大堆用户login到他们的Facebook页面。 所以我们需要一种在防火墙closures时阻止访问的方法。

为了争辩,我们有两个用户组 – “pipe理”和“标准用户”。 “标准用户”将无法访问Facebook,但“pipe理”用户将有权访问。 也许像一个主机文件redirect非pipe理用户。 这可能可以通过组策略实施,该策略将调用bat文件来复制主机文件,具体取决于用户是否pipe理。 我很想听听有关Windows / AD环境下最佳做法的build议。

是的,我知道我们在这里做的是用IT解决人力资源问题。 但这是pipe理层需要的方式,而且我们有很多半自治的分支机构,我们没有太多的日常联系,所以自动执行这个方法是最好的方法。

    购买一个3G USBencryption狗的东西 – 把它放在一个安全的地方,当他们需要更新被阻止的内容时把它给用户,当他们完成的时候拿走它。

    犹太人区是的,但很简单。

    所以你的公司维护一个当前的Facebook页面,但阻止你的用户访问它? 离奇。 如果您的AUP在停机期间阻止访问非工作(尽pipe“非工作”是有争议的,考虑到您一个FB页面)站点,您可以收集stream量日志。 提供pipe理中断期间违反AUP的用户列表。 人力资源/pipe理方面的一个简短的,个人化的讲话是很长的路要走。

    维护许多用户的主机文件是痛苦的。 如果你为你的客户提供DNS,你可以很容易地黑洞任何你想要的。 代理将仍然是一个问题,但我假设你的AUP已经解决了使用它们。

    听起来像一个可怕的陪审团钻机。 防火墙旨在阻止某些机器,并让其他人通过。 只要给你的经理静态IP,并允许从这些IP访问,你的问题就解决了。 Sonicwall有一个CFS排除列表用于这个确切的目的。

    当然,你的经理也可能会使用Facebook,一旦他们可以免费使用,但是这就是生活。 你最好让每个人都监视他们的使用情况。 如果它成为一个问题,解雇他们。 阻碍政策不是一个解决scheme,而且往往让人痛苦。

    我只是在技术层面上解决这个问题。

    也许你应该考虑build立一个专门用于这个目的的设备,而不是使用SonicWallfunction。

    丢弃的默认策略通常build议stream量传出。 至less80,443,8080和8443.然后需要一个代理来访问Internet。

    我build议SQUID和SquidGuard ,它可以过滤网站的访问。 将其configuration为需要validation,甚至可以与AD集成。 特权组将能够绕过过滤。 对于报告,像MySar或SARG的作品。

    解决scheme可以根据您的要求简单,快速或更多地涉及,但是这项技术将解决所有问题。

    我的build议是查看一个集中的内容控制系统,可以阻止基于用户\组的访问。

    编辑

    另外,在防火墙closures的情况下,用户仍然可以访问互联网吗? 防火墙是否为您的内部IP地址提供NAT? 防火墙是否不与路由器“一致”?

    我的拓扑如下所示:

    内部networking—>防火墙—>路由器—> Internet

    所以,如果我的防火墙closures,互联网是不可访问的。

    最后,我们使用GPO推出了阻止Facebook,Bebo,Myspace等的主机文件,并阻止用户修改主机文件。

    根据@ Chopper3的回答,我会build议为不想过滤的用户提供一个访问Internet的替代方法。

    如果一张空卡不是你想要做的,也许你可能有一个特殊的networking端口在防火墙之前连接到互联网。 这样,授权的Facebook更新可以将他们的笔记本电脑带到这个端口在极less数情况下,他们需要更新Facebook的工作目的。

    也许设置旁路防火墙的密码保护代理也可以。 这样,授权的Facebook更新者将不必从他们的办公桌移动; 他们可以改变他们的代理设置。

    您甚至可以根据需要让IT启用/禁用这些选项,因此,即使授权的Facebook用户也无法在没有IT干预的情况下使用它。

    我目前无法访问SonicWall,但是我的回忆是,您可以在阻止scheme中设置用户,当他们得到“此页面被SonicWall阻止”时,您可以给他们一个选项,以input用户名和密码来访问这一页。 因此,您向授权的FB更新者提供了允许他们访问FB的帐户,如果需要,可以在需要更新页面时启用/禁用帐户。

    我在一所私立学校工作,我们通过使用OpenDNS.com 免费解决了这个问题。 转到网站并注册一个帐户。 您需要指定源networkingIP ,然后将防火墙configuration为用户OpenDNS的DNS服务器。 从pipe理界面,您可以阻止像互联网代理和特定的网站,如Facebook的特定types的stream量。

    我们为内部networking创build了一个防火墙规则, 允许这些网站使用我们的ISP DNS服务器。