我们目前有 SonicWall 防火墙,它可以很好地阻止 Facebook 和 Bebo 等社交网络网站。我们遇到的问题是,有时我们需要暂时禁用防火墙阻止列表,以便我们可以更新我们公司的 Facebook 页面。每当我们这样做时,都会看到大量用户在工作时间登录他们的 Facebook 页面。因此,我们需要一种在防火墙关闭时阻止访问的方法。
为了便于讨论,我们把用户分为两组——“管理用户”和“标准用户”。 “标准用户”无权访问 Facebook,但“管理用户”可以访问。也许可以对非管理用户进行类似主机文件重定向的操作。这可能可以通过组策略来强制执行,该策略将调用 bat 文件来复制主机文件,具体取决于用户是否是管理用户。我很想听听大家对在 Windows/AD 环境中最佳做法的建议。
是的,我知道我们在这里做的是尝试使用 IT 解决人力资源问题。但这是管理层想要的方式,而且我们有很多半自治的分支机构,我们与这些分支机构的日常联系并不多,因此,采用自动化方式执行这一任务将是最可取的方法。
答案1
购买一个 3G USB 加密狗 - 将其放在保险箱中,当用户需要更新被阻止的内容时将其交给用户,当用户用完后再将其拿走。
是的,贫民窟,但是很简单。
答案2
所以你的公司维护着一个最新的 Facebook 页面,但却阻止你的用户访问它?真奇怪。如果你的 AUP 阻止访问非工作内容(尽管考虑到你有在停机期间,您可以收集流量日志,例如 FB 页面 (FB page) 网站。向管理层提供停机期间违反 AUP 的用户列表。人力资源/管理层的简短、个人谈话大有裨益。
为大量用户维护主机文件是一件痛苦的事情。如果您为客户提供 DNS,您可以轻松地将任何内容黑洞化。代理仍然是一个问题,但我认为您的 AUP 已经解决了代理的使用问题。
答案3
听起来像是一个糟糕的临时措施。防火墙旨在阻止某些机器,并让某些其他机器通过。只需为您的管理员提供静态 IP,并允许从这些 IP 进行访问,您的问题就解决了。Sonicwall 有一个 CFS 排除列表,就是为此目的而设。
当然,你的经理们可能也会使用 Facebook,只要他们有自由访问权,但这就是生活。你最好允许每个人使用并监控他们的使用情况。如果这成为一个问题,就解雇他们。屏蔽政策并不是很好的解决方案,而且往往会让人感到痛苦。
答案4
我的建议是研究一个可以根据用户\组阻止访问的集中内容控制系统。
编辑
另外,为什么防火墙关闭后您的用户仍可以访问互联网?防火墙不为您的内部 IP 地址提供 NAT 吗?防火墙与路由器不“一致”吗?
我的拓扑结构如下:
内部网络--->防火墙--->路由器--->互联网
所以如果我的防火墙关闭了,互联网就无法访问。