我想阻止员工使用社交媒体和其他我可能认为我不想让他们访问的网站,但有时我们需要使用它,所以我需要一些灵活的可定制解决方案。
我试过路由器,它最多只能阻止 8 个网站。我可以使用 DNS 过滤解决方案,例如 OpenDNS.com,但我如何才能阻止用户手动更改其 DNS(例如 google dns 8.8.8.8 和 8.8.4.4)以避免被阻止?
我可以使用代理服务器设置机器并将其作为网关,但我仍然面临同样的代理问题,他们只能删除浏览器中的代理设置并使用直接连接。
除了在路由器或网关上设置的自定义 DNS 或代理服务器之外,还有其他方法可以阻止所有连接吗?我有一个二手 Netopia 3700,但我可以买一个新的。
答案1
简单的解决方案是,必须在边界设备上设置一个出口过滤器,如果您想强制使用 DNS 服务器,则该过滤器会阻止传出的 udp/53,或者阻止传出的不是来自代理的 tcp/80、tcp/443 连接。
有大量的 Linux 防火墙设备和路由器防火墙替代品可以轻松实现这一点。您可以获得的一些设备允许您在盒子上放置 squid/squidguard,您可以将其设置为透明模式,这意味着用户无需配置任何内容。
除了过滤之外,我建议你考虑设置某种记录所有流量的方式,而不是过滤。让每个人都清楚,你正在记录一切,任何严重的滥用行为都会得到处理。这样,你就可以忽略那些只花了几分钟的人,处理那些整天浪费时间的人,而不会让那些不那么滥用的人生你的气。
答案2
正如 OG Chuck Low 在他的评论中所说,如果你在 Windows 域中(您没有提到客户端的操作系统)您可以将组策略与 DHCP 结合使用来设置用户的 DNS 设置(例如使用 OpenDNS),并禁止他们更改这些设置。除非他们在其计算机上拥有管理员访问权限,在这种情况下他们可以随时更改它,至少在下一个组策略刷新间隔(通常每小时一次)之前。
请参阅此 MS 文章以获取有关您需要检查和设置哪些组策略的信息:
通过使用组策略管理单元,管理员可以同时配置多台计算机的桌面设置。某些组策略设置专门适用于网络连接,例如用户对连接的访问以及更改连接属性的能力。这些设置可以在组策略管理单元的管理模板中找到。
在哪里?组策略对象名称/计算机配置(或用户配置)/管理模板/网络/网络连接
另一个选择是获得更强大的防火墙/路由器,允许将 8 个以上的站点列入黑名单。:)
实际上,阻止人们浏览不该浏览的网站的最好方法是公司/人员政策(“浏览 Facebook 并被解雇”通常很有效),因为代理、便携式浏览器、LiveCD 等从技术角度来看很难阻止精明的用户;特别是如果他们拥有系统的管理员访问权限,或者没有完全锁定以防止启动其他设备。
答案3
您正在尝试使用技术来解决政策问题。
请不要这样做——这不会起作用。屡教不改的人将总是找到一种方法来解决您为尝试阻止访问而采取的任何技术措施。
同时这些技术措施也会给那些不滥用你信任的人带来不便和挫败感。
滥用计算机资源主要是人力资源问题。不要把它当成技术问题。