PCZONE 討論區 - 【求助】如何限制WWW使用！

PCZONE 討論區 (https://www.pczone.com.tw/vbb3/)

- -- 網路技術版 (https://www.pczone.com.tw/vbb3/forum/29/)

- - 【求助】如何限制WWW使用！ (https://www.pczone.com.tw/vbb3/thread/29/104884/)

想盡辦法還是擋不住後可能自己傷神也被員工討厭不如多多宣傳良好的網路使用習慣並揪出流量大的那些用戶吧。

[QUOTE=dominic]這怎麼會不行呢?好的防火牆可以做到開放部份網站的activeX封鎖其他~~
另外好的防火牆可以分析所有的web內容~~加以製訂forbidden word
你需要問得是你要的是哪一套防火牆[/QUOTE]

請教一下先進，那您使用的防火牆是那一套呢？

快速又不傷感情的作法

請主管發布命令凡是上班時間做非公務使用者將遭受懲處
從管理層面下手成效會更快

我相信各位都知道，上有政策，下有對策！
這個公司一定都有規定，要求非公務不準上網，不準亂寄非公務郵件，禁止使用聊天軟體……等，但又如何？
而且其實這些事目前都還沒開始防，只是老闆希望這麼做，所以我們就先測試是否擋得住！我們自己鎖自己，然後再自己破自己！只是希望可以有一套比較完善的解決方案，還望各位可以集思廣益，謝謝。

[QUOTE=mis339]我相信各位都知道，上有政策，下有對策！
這個公司一定都有規定，要求非公務不準上網，不準亂寄非公務郵件，禁止使用聊天軟體……等，但又如何？
而且其實這些事目前都還沒開始防，只是老闆希望這麼做，所以我們就先測試是否擋得住！我們自己鎖自己，然後再自己破自己！只是希望可以有一套比較完善的解決方案，還望各位可以集思廣益，謝謝。[/QUOTE]

NO FREE LUNCH

最有效的方法就是一個一個去檔..

要防止商業機密外傳，最好的辦法就是把資料和網路隔開

像"不可能的任務"那部電影裡
CIA的情報主機，就是和外界隔開的，在獨立的保全室裡
然後湯姆克魯斯要盜取它的資料，只能想辦法進入保全室中用MO拷貝資料 :|||:

在一般的公司裡面
我們當然不可能也沒必要做到如此滴水不漏的地步
直覺想到的，就是分成可上網(連internet)，和不可上網(只能連LAN)兩種電腦

具體的來說
可上網(連WAN)的電腦，是有設閘道器IP的，所以可連上internet
不可上網(只能連LAN)的電腦，是把閘道器IP的設定拿掉，所以無法連出LAN

而這裡要注意一個地方，只有網管人員和老闆，可以有administrator的權限
其它員工最高只能有power user，否則那些就白設了

但是上網的結果，是要找資料
所以資料要有辦法傳到"不可上網的電腦"才行
小弟公司用的是Linux samba的solution
有兩台samba 主機，姑且稱做 A主機 M B主機
之間以 NIS 協定(Network Informatin Services)互連

LAN 群組中工作站台，只能連接B主機，進入B主機的samba
WAN 群組中的可上網電腦，只能連接A主機，進入A主機samba
另外，WAN 群組中的可上網電腦，禁止分享任何資料夾
或是乾脆在安全性原則裡面，禁止every one連入電腦
以防有人直接把資料丟到可上網的電腦

然後在A主機中，設定排程
每分鐘將其samba共享目錄資料，拷貝到B主機(NIS通道)
這樣就能達成所謂的「單向傳輸」

方法是達到了，但回歸到問題原點
上個網還要換電腦，有沒有搞錯，相信這種做法能接受的人一定不多
這就產生新的問題

有沒有什麼方法，只要坐在自己位置上，就能操作可上網的電腦，來上網呢？
∼當然沒有第二種解決方案了，就是「遠端遙控」！
那就是VNC吧

假設我的工作用電腦不能上internet，而公司內有可上internet的電腦
我又不想那麼麻煩，走過去用
那簡單，開個VNC連過去就好了 ;)

不過這又會有一個新問題.....
一般PRO版的WINDOWS，同時間只能允許一位使用者，遠端連入使用視窗
如果要能讓多人連入，必須有新的solution...
那大概就是所謂的「無盤工作站」吧
好像裝一種軟體就可以達成，讓windows可以允許多人連入使用視窗環境
這方面的技術，小弟就不曉得了
小弟的公司，只有一間辦公室
老闆不准員工上班上網，然後又丟幾台電腦可以上網
要上網的話，都要到那邊上
老闆主要考量的不是機密外洩問題
只是不想讓員工上班混水摸魚上網聊天那麼爽而已 :|||: :eye:

[IMG]http://home.pchome.com.tw/art/linux2005/images/web/pczone/www.gif[/IMG]

有幾個觀念怪怪的！

１、「將可上網的電腦和不可上網的電腦分開」：我想這裡指的分開應該是指不同網段或是切VLAN吧！如果是同網段的話，那資料還是可以互傳啊，又何必這樣分！

２、「從不可上網的電腦遠端連線到可上網的電腦」：啊如果是這樣的話，我還是可以把「不可上網的電腦上的資料」傳出去啊！那又必這樣分？！

3、另外，基本上老闆希望每部電腦都有作用、都有人用！所以電腦已經不夠用了，那還有電腦供大家上網！而且要上網的人太多了，也不可能大家排隊上吧！

４、無盤工作站跟可讓多人連入有什麼關係？不懂？！另外要讓Windows可以多人連入的話，可以使著用Terminal Server的應用程式模式，不過它的版權要另外買。

[QUOTE=mis339]有幾個觀念怪怪的！

１、「將可上網的電腦和不可上網的電腦分開」：我想這裡指的分開應該是指不同網段或是切VLAN吧！如果是同網段的話，那資料還是可以互傳啊，又何必這樣分！

２、「從不可上網的電腦遠端連線到可上網的電腦」：啊如果是這樣的話，我還是可以把「不可上網的電腦上的資料」傳出去啊！那又必這樣分？！

3、另外，基本上老闆希望每部電腦都有作用、都有人用！所以電腦已經不夠用了，那還有電腦供大家上網！而且要上網的人太多了，也不可能大家排隊上吧！

４、無盤工作站跟可讓多人連入有什麼關係？不懂？！另外要讓Windows可以多人連入的話，可以使著用Terminal Server的應用程式模式，不過它的版權要另外買。[/QUOTE]

1.
同網段的話，「可上網電腦」要設安全性原則

不同網段的話，基本上因為「不可上網的工作站台電腦」閘道器設定已經拿掉了，所以絕對不可能通。圖中samba-a主機因為是路由器，所以可以跨網段，將資料上傳samba-b主機。

兩種方法都是可以的，視電腦數量而定
量多的話，分成兩網段，可順便做subnetting子網路分割，減輕網路負載

[IMG]http://home.pchome.com.tw/art/linux2005/images/web/pczone/denyeveryone.gif[/IMG]

項目：拒絕從網路存取這台電腦
值：Everyone

測試方法：(檢驗安全性原則的可靠性)
------------------------------------------
在本機電腦用指令：net share 查出該台電腦是否有分享資料夾
假設有c$這個分享，且該台電腦ip：192.168.0.1
從別台電腦，使用網址：\\192.168.0.1\c$，連過去
此時會出現權限不足視窗，無法連接
因此證明安全性原則是有效的...

2.
沒辦法傳，因為假如「可上網電腦」沒開任何"分享資料夾"
就無法將資料傳過去
windows本身預設就會開啟一些"分享資料夾"，拿掉就行了

單純的VNC，並無法傳檔

當然，「可上網電腦」也有權限限制
一般使用者登入，最多只能取得user權限
所以一般使用者，無法自行開啟分享資料夾，或安裝傳檔軟體

只是上網看網頁的話，user權限已足夠
不需要開到power user，以免被安裝傳檔軟體
或其實絕一點，guest權限也夠了，guest權限就能開瀏覽器看網頁了
這部分是屬於基本網管，比較容易做到

3.老闆一定會說，要禁止員工傳檔案出去
然後又要網路流通順暢，甚至還要可以自行安裝軟體
又要馬兒肥，又要馬吃草，那是不可能的

假如資料真的外洩，造成公司損失
第一個被叫去開刀的，肯定是MIS人員
老闆平時問MIS "資安"可不可靠
當然只能回答很安全，難道還回答不確定(不確定就是回家吃自己了) :eye:
但哪天如真的出問題，也就百口莫辯了
因為既然安全可靠，那搞鬼的除了MIS這個守門人，還會有誰呢 :|||:

所以就算不去分「可不可上網電腦」
proxy server 都是一定要架的
由路由器直接指定連外全部得過proxy，沒有例外
因為唯有透過proxy 紀錄，才能抓出原兇，以免到時自己背黑鍋

4.
這個問題，就是電腦不足的解決方案
如果採用這套"電腦分級"sulotion，來解決機密檔案外傳的問題
「可上網電腦」一定會人人搶著用

"一台電腦如果能讓更多人使用，那就太好了"...這是一般的想法
方法就是「無盤工作站」
Terminal Server是「無盤工作站」的一種solution
其它還有很多方法

這個solution只是小弟的想法而已啦，不一定完全正確
小弟的公司頂多也只做到"電腦分級"，分成兩種電腦
要上網得自己過去另一台電腦上，並沒有用到VNC之類的遠端過去上網
因為老闆的意思，就是不希望員工上班摸魚上網，這樣不方便的做法，反而正合他意

大家有興趣的話，不妨一起討論這種solution有什麼漏洞可以破解
或是有其它更好更安全的解決方案

:)

如果是同網段的話，你忽略一件事！也許別人不能存取192.168.0.1的電腦，但是192.168.0.1的電腦可以存取別人的電腦啊！

如果是不同網段的話，請問我要怎麼去整合在同一條線路出去啊？天曉得我又需要增購多少設備？或做多少設定？

另外，我覺得好像有點偏離主題了！我的重點是想知道怎麼讓大家可以正常上網，但是卻沒辦法上傳檔案或登入WebMail、WebHD之類的！

[QUOTE=mis339]如果是同網段的話，你忽略一件事！也許別人不能存取192.168.0.1的電腦，但是192.168.0.1的電腦可以存取別人的電腦啊！

如果是不同網段的話，請問我要怎麼去整合在同一條線路出去啊？天曉得我又需要增購多少設備？或做多少設定？

另外，我覺得好像有點偏離主題了！我的重點是想知道怎麼讓大家可以正常上網，但是卻沒辦法上傳檔案或登入WebMail、WebHD之類的！[/QUOTE]

回應之前所說的.......
如果只鎖ActiveX是不足以阻擋webmail~~如果鎖java則勢必不少網站都將受到影響

主要能做到就是forbidden word的設定~~然後設定關鍵字積分多少後阻擋該網頁...

目前還有一種iss orangeweb filter....主要由某個商業網站整合所有的網站分門別類~~而透過此功能能封鎖某一分類的網站~~

我所推薦的是軟體防火牆是kerio winroute....上述功能都有~~而且又整合ad...可針對網域使用者做直接的上網權限控制~流量限制等等