主页 / server / 问题 / 50443
Accepted
Jack M.
Asked: 2009-08-06 08:06:35 +0800 CST

通过 IP 地址屏蔽 Facebook 和 Myspace

  • 772

我在让Cisco ASA设备阻止某些社交网站时遇到了一些麻烦,这些网站已成为我们办公室的时间汇点。这个问题实际上分为两部分:

  1. 是否有可靠的方法来检索这些站点的所有 IP 地址?
    • Facebook 的 DNS 服务器似乎以随机 IP 地址响应。Adig后跟 a为 .nslookup产生两个不同的 IP 地址www.facebook.com
  2. 让我通过自适应安全设备管理器 (ASDM) 将主机名添加到 Cisco ASA 是否有技巧。
    • 我找到了 URL 过滤器,但这需要第三方软件,我怀疑我是否会获得资金来阻止这些网站。

我们正在寻找一个临时解决方案,直到我可以启动并运行Squid,这可能需要六个月的时间(我们需要一个网络管理员,不好)。

firewall domain-name-system cisco

8 个回答

  1. Best Answer

    您使用谁作为您的 DNS 提供商?如果您可以切换到像 OpenDNS(它是免费的)这样的人,他们会自动(并且非常可配置)阻止社交网站、网络邮件、成人内容等。

    编辑:您也不必对您的 ISP 进行任何更改。

    • 21

  2. 在您的 Cisco asa 上,您可以执行以下操作:

    regex facebook1 "facebook\.com"

class-map type inspect http match-any block-url-class
  match request uri regex facebook1


policy-map type inspect http block-url-policy
  parameters
class block-url-class
  drop-connection log
policy-map global_policy
  class inspection_default
  inspect http block-url-policy

service-policy global_policy global

    我强烈建议您阅读思科网站上的全部详细信息

    • 9
    1. 收集用户网络活动的日志。
    2. 走到用户的办公桌前。
    3. 向他们展示日志,并告诉他们如果他们不停止在公司时间捣乱,他们就会被解雇。
    4. 记录事件。

    如果你坚持下去,你甚至可能会被提升为管理层。;)

    • 8

  4. 我的一个客户有这个确切的问题。以下是我们解决解决方案的方法:

    1. 安装了一个带有内置Squid代理的IPCop框,还安装了 URLFilter 插件。现在所有流量都流经 IPCop 框。

    2. 将每个人的 IP 地址硬编码到他们的电话分机中,这是因为它可以更容易地识别罪犯。我们还更改了所有 DNS 服务器设置以指向OpenDNS。(OpenDNS 可以提供更多过滤选项,但事实证明它们根本不需要。)

    3. 删除(并禁止)使用所有公共IM客户端,如 Yahoo Messenger、MSN、AOL、ICQ 等。相反,我们安装了一个安全的公司专用XMPP服务器,称为SecuredIM,以便记录所有 IM 流量,并将保证仅是公司对公司的通信。

    4. SecuredIM 还具有每隔 XX 分钟截取一次桌面屏幕截图的独特功能。如果一名员工涉嫌偷懒(根据 IPCop 日志),一张图片价值 1,000 字。选择的屏幕截图可以存档并通过电子邮件发送以供以后审查(或纪律处分)。

    5. 我们通过 IPCop 框上的 URLFilter 阻止了 Facebook、Myspace、Hulu和其他两三个主要滥用行为。

    6. 人工审核(必要时屏蔽更多网站)大约一周。

    7. 在午餐时间(12:00 pm-1:00 pm)开放“免费/畅通”冲浪。

    到本周末,公司彻底转型。生产力急剧提高,没有人抱怨。

    与任何公司一样,总会有 1-2 的反叛者认为这是一场“游戏”。

    nytimes.com被阻止时,他们去了另一个新闻网站。当它被阻止时,他们又选择了另一个。其他人则停止了冲浪并开始了SolitaireMinesweeper等爱好,但 SecuredIM 的截图捕捉到了这一点(IPCop 显然不能)。

    在两周内(以及几次雇主/雇员讨论,包括对顽固的个人的纪律处分),一切都顺利进行,并且已经顺利运行了近两年。

    网址:

    http://www.ipcop.com

    http://www.securedim.com

    http://www.opendns.org

    边注:

    作为一个有趣的支线故事。大约一年后,建筑物中的电气问题导致 IPCop 盒上的电源出现故障,需要 2-3 天才能安装新的 IPCop 盒。

    我们发现员工在不到 48 小时内就恢复了他们原来的旧冲浪习惯和生产力下降。

    这简直是​​一场社会实验。:-)

    • 5

  5. DNS 解决方案对我来说似乎是最好的答案,但请注意,他们当然很可能仍然能够通过 IP 地址访问这些站点(您可能从问题的层面知道,但其他人在 Google 上找到了这个可能不是)。

    其次,查看 Evan 对离散限制用户在 Windows 计算机上运行某些程序关于阻止用户运行某些程序的回应。我认为您正在尝试解决 IT 的管理问题。真的,他们可能应该雇用足够负责以遵守任何明确规定的规则的人,他们可能应该担心他们是否能按时完成任务,而不是他们在停机期间访问哪些网站。阻止这些东西可能只会在整个公司传播不满情绪。当然,你必须做任何你必须做的事情,而且这可能甚至不取决于你——但我认为,如果还没有采取这种步骤,我认为在采取这种步骤之前应该始终考虑这一点。

    • 4

  6. 我采取了不同的方法来解决这个问题。

    我没有让 ASA 解密流量,而是在我的本地 DNS 服务器上为“facebook.com”创建了一个正向查找区域,并将所有 DNS 条目留空。如果您愿意,您可以随时将站点指向一个内部网页,告诉用户他们正在尝试访问公司政策禁止的站点。

    我希望这有帮助。

    • 2

  7. 如果您没有时间或人员来构建自己的解决方案,您可以考虑使用交钥匙产品。

    我们使用 eSoft 的 Threatwall,它在控制访问(通过 IP 或 URL)方面做得很好。使用所有常见类型网站的复选框非常容易配置,此外还可以添加自己的网站并拥有白名单。他们有不同的软件包可用(例如,我们也过滤垃圾邮件)。

    不隶属于 eSoft,除了作为客户,Dave

    • 0

  8. 也许您可以将主机名定向到 localhost,而不是阻止 IP 地址,也就是说,编辑您的主机文件,使其看起来像:

    www.facebook.com     127.0.0.1

    这将停止查找 Facebook 等的真实 IP 地址。

    • -2

相关问题