服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 通过IP地址阻止Facebook和Myspace
Intereting Posts
ZFSconfiguration保存在哪里? yum更新 – 是.rpmnew文件有史以来重要/重要的行动? 后缀日志每5分钟显示一次相同的错误 Debian 8.0上的mdadm软件RAID1与GPT amd64 – 无法启动磁盘删除 在Windows Server 2008 R2中监视Active Directory(AD)复制 XenServer 6.2 DHCP设置 在傀儡节点上,如何查看资源列表? mysql监视monit Azure虚拟机的反向DNS(PTR) Squid代理不允许Web访问 在代理之前删除可选的结尾斜杠 服务器忙 – 无法执行新的命令 使用IPTABLES将特定IP地址redirect到另一个站点/页面/ IP OpenVPN访问服务器:远程子网无法访​​问客户端的资源 在Linux上禁用所有的apache2磁盘caching

通过IP地址阻止Facebook和Myspace

我在制作思科ASA设备时遇到了一些麻烦,阻止某些社交网站已经成为我们办公室的时间。 这个问题真的有两个部分:

  1. 有一个可靠的方法来检索这些网站的所有IP地址?
    • Facebook的DNS服务器似乎是随机的IP地址。 后面跟着nslookup digwww.facebook.com产生两个不同的IP地址。
  2. 有没有一个技巧让我通过自适应安全设备pipe理器(ASDM)向思科ASA添加主机名。
    • 我find了URLfilter,但是这需要第三方软件,我怀疑我只是为了阻止这些网站而获得资金。

我们正在寻找一个临时的解决scheme,直到我能得到Squid的启动和运行,这可能是六个月(我们需要一个networkingpipe理员,坏)。

您作为DNS提供商使用谁? 如果您可以切换到像OpenDNS (免费)的人,他们提供自动(&非常可configuration)阻止社交网站,networking邮件,成人内容等。

编辑:你不必改变你的ISP任何东西。

在思科asa上,您可以执行以下操作: 

 regex facebook1 "facebook\.com" class-map type inspect http match-any block-url-class match request uri regex facebook1 policy-map type inspect http block-url-policy parameters class block-url-class drop-connection log policy-map global_policy class inspection_default inspect http block-url-policy service-policy global_policy global

我强烈build议你阅读思科网站上的全部细节 。

  1. 收集用户networking活动的日志。
  2. 去用户的办公桌。
  3. 向他们展示日志,并告诉他们是否不停止在公司时间停下来,他们会被解雇。
  4. logging事件。

如果你继续这样做,你甚至可能会被提升为pipe理层。 ;)

我的一个客户有这个确切的问题。 以下是我们如何处理解决scheme:

  1. 安装了带有内置Squid代理的IPCop盒子,并安装了URLFilter附加组件。 所有stream量现在stream经IPCop盒。

  2. 将每个人的IP地址硬编码到他们的电话分机上,简单的事实是,它使得识别犯罪人变得更容易。 我们还将所有的DNS服务器设置改为指向OpenDNS 。 (进一步的筛选选项可能与OpenDNS的,但事实certificate,他们不是必需的。)

  3. 删除(并禁止)使用所有公共IM客户端,如雅虎通,MSN,美国在线,ICQ等等。相反,我们安装了一个名为SecuredIM的安全公司只有XMPP服务器,以便所有的IM通信将被logging,并会保证只是公司间的沟通。

  4. SecuredIM还具有每隔XX分钟拍摄桌面屏幕截图的独特function。 如果一名雇员被怀疑被盗用(根据IPCop日志),一张照片值1000字。 select屏幕截图可以存档并通过电子邮件发送以供日后审查(或处罚措施)。

  5. 我们通过IPCop框中的URLFilter阻止了Facebook,Myspace, Hulu以及其他两三个重大的滥用行为。

  6. 手动审查(和更多的网站被阻止,如果有必要)大约一个星期。

  7. 午餐时间(中午12:00至下午1:00)开放“免费/畅通”冲浪。

到本周末,公司完全转型。 生产力急剧上升,没有人抱怨过。

就像任何一家公司一样,那里总是有1-2名反叛分子认为这是一场“游戏”。

nytimes.com被阻止时,他们去了另一个新闻网站。 当被阻止时,他们又挑选了另外一个。 其他人停止冲浪,并接受了纸牌和扫雷等业余爱好,但是SecuredIM截图发现(IPCop显然不能)。

在两周之内(以及一些雇主/员工的讨论,包括对顽固个人的纪律处分),一切运行顺利,运行平稳近两年。

URLS:

http://www.ipcop.com

http://www.securedim.com

http://www.opendns.org

边注:

作为一个有趣的故事。 大约一年之后,大楼内的电气问题导致IPCop盒子的电源熄灭,并且在新的IPCop盒子到位之前2-3天。

我们发现员工回到原来的冲浪习惯和生产力下降的时间不到48小时。

这是相当的社会实验。 🙂

DNS解决scheme听起来对我来说是最好的答案,但是请注意,他们当然很可能仍然可以通过IP地址访问这些站点(您可能从您的问题的级别知道,但其他人在Google上发现这一点可能不是)。

其次,看看Evan的回应,以独立方式限制用户在Windows计算机上运行某些程序,以阻止用户运行某些程序。 我想你正在试图解决与ITpipe理问题。 实际上,他们可能应该聘请那些负责任的人来遵守任何明确的规定,他们也许应该担心他们按时完成任务,而不是在停机时间访问什么网站。 阻止这些东西可能只是在整个公司传播怨恨。 当然,你必须做任何你必须做的事情,而且这可能不是你所能做到的 – 但是我认为在采取这种步骤之前,应该始终考虑这个问题。

我采取了不同的方法来解决这个问题。

我没有ASA解密stream量,而是在本地DNS服务器上为“facebook.com”创build了一个正向查找区域,并将所有DNS条目留空。 如果您愿意,您可以随时将网站指向内部网页,告诉用户他们正试图访问公司政策禁止的网站。

我希望这有帮助。

如果您没有时间或人员来构build您自己的解决scheme,那么您可能会考虑交钥匙产品。

我们使用eSoft的Threatwall,它可以很好地控制访问(通过IP或URL)。 使用所有常见types的网站的checkbox很容易configuration,以及添加自己的和有白名单的能力。 他们有不同的软件包(例如我们也过滤垃圾邮件)。

除了作为客户,Dave没有隶属于eSoft

也许而不是阻止IP地址,你可以指定主机名到本地主机,也就是编辑你的主机文件,看起来像这样: 

 www.facebook.com 127.0.0.1

这将阻止Facebook的真实IP地址等被查询。