作为我公司的ITpipe理员,我负责决定在networking上进行过滤,整形和其他监控。 您通常会寻找哪些协议,应用程序和其他networkingstream量? 我们列表中用于基于带宽消耗和合法性进行限制或阻止的首要项目是bit torrent,p2p,iTunes,明目张胆的色情浏览等等。从技术angular度来看,这将使用思科设备(如SCE或IPS)完成。
那么,恕我直言,最好的做法(个人端口/协议)是过滤一切,然后有select地允许的东西。 这将淘汰大量的东西,并迫使你的用户certificate为什么他们需要X,Y或Z.
Web过滤必须通过某种内容filter(比如Websence或类似的filter)来完成,而且这些filter可以被configuration为死亡,以阻止任何你想阻塞的东西。
我个人讨厌内容filter,但是我可以对他们保持乐观,因为这些日子里,我总是高科技的图腾柱,以规避他们。 这从来不是一个受欢迎的步骤,但从安全性和利用angular度来看都是有意义的。
添加stream媒体(YouTube /等),虽然它可能会更难以检测,这取决于您使用的解决scheme。 也有可能某个地方的某个人能够为你提供这些事情的合法商业案例(我相信如果一个人有足够的决心,就可以为任何事情构build一个合法的商业案例),以便能够定义例外应该是一个先决条件。
我只使用启用了SNMP的交换机/路由器,并为所有事情做MRTG图表。 然后,我使用一个Linux机箱作为我的网关,并通过iptables强制所有的端口80stream量到一个Squid代理,并使用SARG报告来查看人们在哪里上网。 您可以阻止BitTorrent端口,这可以由技术精湛的用户击败。 我build立了一个iptables规则来寻找“BitTorrent协议”,并强制通过Squid。
首先是DENY,然后是ALLOW。 只开放对业务至关重要的端口(80/443,邮件等)。 你也可以运行OpenDNS来做很多的内容阻塞。
如果你负责决定要过滤哪些stream量,那么你应该看看你公司的使用模式,并据此做出决定,而不是根据别人在做什么,当然不会按照“一切先行”的愚蠢行事。
为了帮助您,您可以在正常(未过滤)的使用情况下从边界路由器开始收集networkingstream量,并使用它们来分析您的使用情况。
所以这里有一些链接,让你开始: