【求助】如何限制WWW使用！
 

請教一下，公司目前已經把所以Port全部關閉，只開放80Port供員工上網，但目前發現有員工仍可利用WebMail或WebHD把資料上傳出去，請問軟法可以限制上傳或管理嗎？謝謝。

[QUOTE=mis339]請教一下，公司目前已經把所以Port全部關閉，只開放80Port供員工上網，但目前發現有員工仍可利用WebMail或WebHD把資料上傳出去，請問軟法可以限制上傳或管理嗎？謝謝。[/QUOTE]


用 firewell 鎖定特定關鍵字

可是……怎麼鎖？總不能鎖Mail或HD、郵件、硬碟吧！

[QUOTE=mis339]可是……怎麼鎖？總不能鎖Mail或HD、郵件、硬碟吧！[/QUOTE]

:( 不是已經跟你說要你擋掉[關鍵字]嗎.......

[QUOTE=True]:( 不是已經跟你說要你擋掉[關鍵字]嗎.......[/QUOTE]

幫忙猜一下,是擋掉某些 IP 或是 網址嗎? :D

[QUOTE=HarrisonLin]幫忙猜一下,是擋掉某些 IP 或是 網址嗎? :D[/QUOTE]

因為提供的訊息實在是太少

但是 目前的情況 做法應該就是 deny keyword

消極的方法：

1.架設proxy server，用iptables之類的封包過濾機制，將聯外port80導向port3128，強迫所有電腦需經過proxy上網

凡經過proxy的連線要求，在server端皆會留下紀錄，然後就可以用分析軟體去分析，可以看到每位使用者上了什麼網站，傳了什麼檔案，等於是監控使用者的隱私。不過這個方法，只是消極的防範，機密檔案傳了都傳了，事後要再追究也太晚了。

主動的方法：

1.關閉瀏覽器的 java 或 ActvieX 功能，webHD 或 webMail之類的網站，一定要靠這種技術才能登入，關了就無法登入網站，自然無法上傳。缺點是如果瀏覽需要這類技術的普通網站，也不能瀏覽，變成只能觀看純html或動態語言網頁。

2.用高階硬體防火牆的封包過濾機制，硬體防火牆會主動分析封包的內容，傳webHD或webMail的封包，都有固定的關鍵內容，若硬體防火牆偵測到，就會檔下來，這個方法的成功率不是100%，尤其如果是傳中繼站的，完全無招架之力，不過聊勝於無。

3.將可以瀏覽網頁的電腦，和內部工作用的電腦分開。工作用的電腦，無法上internet，且也無法將資料傳到上網用的電腦。上網用的電腦，則可以將收集到的資料傳給工作用電腦，就是說只能單向傳輸。安全性最高，但缺點是麻煩，上個網還要換電腦，另外前提是要有多餘的電腦。

若要最高安全等級，全部都實施這樣是最好的了 :|||: :eye:

似乎很麻煩...

我只想到 把他們上的服務伺服器IP擋掉

最積極的 就是不連上Internet ！！！

很多人都因噎廢食

還是擋關鍵字/IP先

關閉Java或ActiveX：不行，因為太多網站有使用這些技術，包括廠商的線上下單都有！

鎖IP：有點難，因為提供免費信箱的站台實在太多，甚至有些較大型的，同一個域名有多個IP！

固定電腦上網：在大陸可行，在台灣可能不行，因為在台灣需要上網查資料或連繫的同事太多，不可能要求他們這樣做！

透過Proxy Server：只能被動的控管，無法主動阻止！

至於Keyword的話，我就是不清楚到底該設什麼Keyword？！因為如果真的設Mail或郵件的話，相信很多新聞網站或部份站台可能也會被擋掉！而且還有一個網路硬碟不知該怎麼設定好！

有想過說有沒有什麼軟體可以限定上傳的量？或是上傳的副檔名？

[QUOTE=mis339]
至於Keyword的話，我就是不清楚到底該設什麼Keyword？！因為如果真的設Mail或郵件的話，相信很多新聞網站或部份站台可能也會被擋掉！而且還有一個網路硬碟不知該怎麼設定好！
有想過說有沒有什麼軟體可以限定上傳的量？或是上傳的副檔名？[/QUOTE]

沒有辦法去分析該封包嗎??

看看你們公司的員工大部分都用哪家的WEBMAIL等等

自己去弄一個 然後抓下該封包 看看表頭不就知道了嗎?? :)

[QUOTE=mis339]
有想過說有沒有什麼軟體可以限定上傳的量？或是上傳的副檔名？[/QUOTE]

小第個人認為 限制上傳的副檔名似乎不是可行的方法

萬一員工要傳必須用到的資料給客戶怎辦 = =

[QUOTE=True]
沒有辦法去分析該封包嗎??
看看你們公司的員工大部分都用哪家的WEBMAIL等等
自己去弄一個 然後抓下該封包 看看表頭不就知道了嗎?? :)[/QUOTE]

我們的RD和設計對網路應用都還蠻熟的！
而且他們至少都有好幾個WebMail的帳號，甚至有些常到大陸出差的，連大陸的帳號都有好幾個！所以一個一個封的話，基本上是防不勝防！

[QUOTE=True]
小第個人認為 限制上傳的副檔名似乎不是可行的方法
萬一員工要傳必須用到的資料給客戶怎辦 = =
[/QUOTE]

我想這不是問題，因為如果要傳檔的話，公司有自己的MailServer！

如果只開放公司允許的網站.... 行嗎？
由上（政策）而下

[QUOTE=法克]如果只開放公司允許的網站.... 行嗎？
由上（政策）而下[/QUOTE]
這也不行，因為業務、採購和RD常常都要用Google查資料和廠商，所以這也不成！

[QUOTE=mis339]我們的RD和設計對網路應用都還蠻熟的！
而且他們至少都有好幾個WebMail的帳號，甚至有些常到大陸出差的，連大陸的帳號都有好幾個！所以一個一個封的話，基本上是防不勝防！


我想這不是問題，因為如果要傳檔的話，公司有自己的MailServer！[/QUOTE]

我只能說 沒有那種完美的方法... :(

加油...
如果研究出來你就發了....

[QUOTE=mis339]關閉Java或ActiveX：不行，因為太多網站有使用這些技術，包括廠商的線上下單都有！

[/QUOTE]


這怎麼會不行呢?好的防火牆可以做到開放部份網站的activeX封鎖其他~~
另外好的防火牆可以分析所有的web內容~~加以製訂forbidden word

你需要問得是你要的是哪一套防火牆

就算防火牆可以
實際上應該不會有MIS閒到為每一個網站量身訂做防火牆政策吧

[QUOTE=aiken]就算防火牆可以
實際上應該不會有MIS閒到為每一個網站量身訂做防火牆政策吧[/QUOTE]

當然不需要為每一個量身訂做~~

只需為特定~~如windows update
或自己廠商及可~~
其他一律封鎖~還可避免安裝到3721~~
我在我們公司就是這樣做的...

還有不少功能例如iss web filter也可以使用上

想盡辦法還是擋不住後 可能自己傷神也被員工討厭 不如多多宣傳良好的網路使用習慣並揪出流量大的那些用戶吧。

[QUOTE=dominic]這怎麼會不行呢?好的防火牆可以做到開放部份網站的activeX封鎖其他~~
另外好的防火牆可以分析所有的web內容~~加以製訂forbidden word
你需要問得是你要的是哪一套防火牆[/QUOTE]

請教一下先進，那您使用的防火牆是那一套呢？

快速又不傷感情的作法

請主管發布命令 凡是上班時間做非公務使用者將遭受懲處
從管理層面下手成效會更快

我相信各位都知道，上有政策，下有對策！
這個公司一定都有規定，要求非公務不準上網，不準亂寄非公務郵件，禁止使用聊天軟體……等，但又如何？
而且其實這些事目前都還沒開始防，只是老闆希望這麼做，所以我們就先測試是否擋得住！我們自己鎖自己，然後再自己破自己！只是希望可以有一套比較完善的解決方案，還望各位可以集思廣益，謝謝。

[QUOTE=mis339]我相信各位都知道，上有政策，下有對策！
這個公司一定都有規定，要求非公務不準上網，不準亂寄非公務郵件，禁止使用聊天軟體……等，但又如何？
而且其實這些事目前都還沒開始防，只是老闆希望這麼做，所以我們就先測試是否擋得住！我們自己鎖自己，然後再自己破自己！只是希望可以有一套比較完善的解決方案，還望各位可以集思廣益，謝謝。[/QUOTE]

NO FREE LUNCH

最有效的方法 就是一個一個去檔..

要防止商業機密外傳，最好的辦法就是把資料和網路隔開

像"不可能的任務"那部電影裡
CIA的情報主機，就是和外界隔開的，在獨立的保全室裡
然後湯姆克魯斯要盜取它的資料，只能想辦法進入保全室中用MO拷貝資料 :|||:

在一般的公司裡面
我們當然不可能也沒必要做到如此滴水不漏的地步
直覺想到的，就是分成可上網(連internet)，和不可上網(只能連LAN)兩種電腦

具體的來說
可上網(連WAN)的電腦，是有設閘道器IP的，所以可連上internet
不可上網(只能連LAN)的電腦，是把閘道器IP的設定拿掉，所以無法連出LAN

而這裡要注意一個地方，只有網管人員和老闆，可以有administrator的權限
其它員工最高只能有power user，否則那些就白設了

但是上網的結果，是要找資料
所以資料要有辦法傳到"不可上網的電腦"才行
小弟公司用的是Linux samba的solution
有兩台samba 主機，姑且稱做 A主機 M B主機
之間以 NIS 協定(Network Informatin Services)互連

LAN 群組中工作站台，只能連接B主機，進入B主機的samba
WAN 群組中的可上網電腦，只能連接A主機，進入A主機samba
另外，WAN 群組中的可上網電腦，禁止分享任何資料夾
或是乾脆在安全性原則裡面，禁止every one連入電腦
以防有人直接把資料丟到可上網的電腦

然後在A主機中，設定排程
每分鐘將其samba共享目錄資料，拷貝到B主機(NIS通道)
這樣就能達成所謂的「單向傳輸」


方法是達到了，但回歸到問題原點
上個網還要換電腦，有沒有搞錯，相信這種做法能接受的人一定不多
這就產生新的問題

有沒有什麼方法，只要坐在自己位置上，就能操作可上網的電腦，來上網呢？
∼當然沒有第二種解決方案了，就是「遠端遙控」！
那就是VNC吧

假設我的工作用電腦不能上internet，而公司內有可上internet的電腦
我又不想那麼麻煩，走過去用
那簡單，開個VNC連過去就好了 ;)

不過這又會有一個新問題.....
一般PRO版的WINDOWS，同時間只能允許一位使用者，遠端連入使用視窗
如果要能讓多人連入，必須有新的solution...
那大概就是所謂的「無盤工作站」吧
好像裝一種軟體就可以達成，讓windows可以允許多人連入使用視窗環境
這方面的技術，小弟就不曉得了
小弟的公司，只有一間辦公室
老闆不准員工上班上網，然後又丟幾台電腦可以上網
要上網的話，都要到那邊上
老闆主要考量的不是機密外洩問題
只是不想讓員工上班混水摸魚上網聊天那麼爽而已 :|||: :eye:

[IMG]http://home.pchome.com.tw/art/linux2005/images/web/pczone/www.gif[/IMG]

有幾個觀念怪怪的！

１、「將可上網的電腦和不可上網的電腦分開」：我想這裡指的分開應該是指不同網段或是切VLAN吧！如果是同網段的話，那資料還是可以互傳啊，又何必這樣分！

２、「從不可上網的電腦遠端連線到可上網的電腦」：啊如果是這樣的話，我還是可以把「不可上網的電腦上的資料」傳出去啊！那又必這樣分？！

3、另外，基本上老闆希望每部電腦都有作用、都有人用！所以電腦已經不夠用了，那還有電腦供大家上網！而且要上網的人太多了，也不可能大家排隊上吧！

４、無盤工作站跟可讓多人連入有什麼關係？不懂？！另外要讓Windows可以多人連入的話，可以使著用Terminal Server的應用程式模式，不過它的版權要另外買。

[QUOTE=mis339]有幾個觀念怪怪的！

１、「將可上網的電腦和不可上網的電腦分開」：我想這裡指的分開應該是指不同網段或是切VLAN吧！如果是同網段的話，那資料還是可以互傳啊，又何必這樣分！

２、「從不可上網的電腦遠端連線到可上網的電腦」：啊如果是這樣的話，我還是可以把「不可上網的電腦上的資料」傳出去啊！那又必這樣分？！

3、另外，基本上老闆希望每部電腦都有作用、都有人用！所以電腦已經不夠用了，那還有電腦供大家上網！而且要上網的人太多了，也不可能大家排隊上吧！

４、無盤工作站跟可讓多人連入有什麼關係？不懂？！另外要讓Windows可以多人連入的話，可以使著用Terminal Server的應用程式模式，不過它的版權要另外買。[/QUOTE]

1.
同網段的話，「可上網電腦」要設安全性原則

不同網段的話，基本上因為「不可上網的工作站台電腦」閘道器設定已經拿掉了，所以絕對不可能通。圖中samba-a主機因為是路由器，所以可以跨網段，將資料上傳samba-b主機。

兩種方法都是可以的，視電腦數量而定
量多的話，分成兩網段，可順便做subnetting子網路分割，減輕網路負載

[IMG]http://home.pchome.com.tw/art/linux2005/images/web/pczone/denyeveryone.gif[/IMG]

項目：拒絕從網路存取這台電腦
值：Everyone

測試方法：(檢驗安全性原則的可靠性)
------------------------------------------
在本機電腦用指令：net share 查出該台電腦是否有分享資料夾
假設有c$這個分享，且該台電腦ip：192.168.0.1
從別台電腦，使用網址：\\192.168.0.1\c$，連過去
此時會出現權限不足視窗，無法連接
因此證明安全性原則是有效的...


2.
沒辦法傳，因為假如「可上網電腦」沒開任何"分享資料夾"
就無法將資料傳過去
windows本身預設就會開啟一些"分享資料夾"，拿掉就行了

單純的VNC，並無法傳檔

當然，「可上網電腦」也有權限限制
一般使用者登入，最多只能取得user權限
所以一般使用者，無法自行開啟分享資料夾，或安裝傳檔軟體

只是上網看網頁的話，user權限已足夠
不需要開到power user，以免被安裝傳檔軟體
或其實絕一點，guest權限也夠了，guest權限就能開瀏覽器看網頁了
這部分是屬於基本網管，比較容易做到


3.老闆一定會說，要禁止員工傳檔案出去
然後又要網路流通順暢，甚至還要可以自行安裝軟體
又要馬兒肥，又要馬吃草，那是不可能的

假如資料真的外洩，造成公司損失
第一個被叫去開刀的，肯定是MIS人員
老闆平時問MIS "資安"可不可靠
當然只能回答很安全，難道還回答不確定(不確定就是回家吃自己了) :eye:
但哪天如真的出問題，也就百口莫辯了
因為既然安全可靠，那搞鬼的除了MIS這個守門人，還會有誰呢 :|||:

所以就算不去分「可不可上網電腦」
proxy server 都是一定要架的
由路由器直接指定連外全部得過proxy，沒有例外
因為唯有透過proxy 紀錄，才能抓出原兇，以免到時自己背黑鍋


4.
這個問題，就是電腦不足的解決方案
如果採用這套"電腦分級"sulotion，來解決機密檔案外傳的問題
「可上網電腦」一定會人人搶著用

"一台電腦如果能讓更多人使用，那就太好了"...這是一般的想法
方法就是「無盤工作站」
Terminal Server是「無盤工作站」的一種solution
其它還有很多方法


這個solution只是小弟的想法而已啦，不一定完全正確
小弟的公司頂多也只做到"電腦分級"，分成兩種電腦
要上網得自己過去另一台電腦上，並沒有用到VNC之類的遠端過去上網
因為老闆的意思，就是不希望員工上班摸魚上網，這樣不方便的做法，反而正合他意

大家有興趣的話，不妨一起討論這種solution有什麼漏洞可以破解
或是有其它更好更安全的解決方案

:)

如果是同網段的話，你忽略一件事！也許別人不能存取192.168.0.1的電腦，但是192.168.0.1的電腦可以存取別人的電腦啊！

如果是不同網段的話，請問我要怎麼去整合在同一條線路出去啊？天曉得我又需要增購多少設備？或做多少設定？

另外，我覺得好像有點偏離主題了！我的重點是想知道怎麼讓大家可以正常上網，但是卻沒辦法上傳檔案或登入WebMail、WebHD之類的！

[QUOTE=mis339]如果是同網段的話，你忽略一件事！也許別人不能存取192.168.0.1的電腦，但是192.168.0.1的電腦可以存取別人的電腦啊！

如果是不同網段的話，請問我要怎麼去整合在同一條線路出去啊？天曉得我又需要增購多少設備？或做多少設定？

另外，我覺得好像有點偏離主題了！我的重點是想知道怎麼讓大家可以正常上網，但是卻沒辦法上傳檔案或登入WebMail、WebHD之類的！[/QUOTE]

回應之前所說的.......
如果只鎖ActiveX是不足以阻擋webmail~~如果鎖java則勢必不少網站都將受到影響

主要能做到就是forbidden word的設定~~然後設定關鍵字積分多少後阻擋該網頁...

目前還有一種iss orangeweb filter....主要由某個商業網站整合所有的網站分門別類~~而透過此功能能封鎖某一分類的網站~~

我所推薦的是軟體防火牆是kerio winroute....上述功能都有~~而且又整合ad...可針對網域使用者做直接的上網權限控制~流量限制等等

[QUOTE=mis339]如果是同網段的話，你忽略一件事！也許別人不能存取192.168.0.1的電腦，但是192.168.0.1的電腦可以存取別人的電腦啊！

如果是不同網段的話，請問我要怎麼去整合在同一條線路出去啊？天曉得我又需要增購多少設備？或做多少設定？

另外，我覺得好像有點偏離主題了！我的重點是想知道怎麼讓大家可以正常上網，但是卻沒辦法上傳檔案或登入WebMail、WebHD之類的！[/QUOTE]


1.在192.168.0.1，安裝軟體防火牆，例如：Norton Internet Security
這軟體防火牆很厲害，可以設定那些電腦能連入/連出本機電腦
還有密碼控管，admin才能修改設定 :)

2.一台Linux 就夠了，對伺服器的功能來說，Linux幾乎是萬能的，當路由器只是小case，用route指令就可以很方便的設定路由表 :)

3.最簡單的就是前端加入硬體防火牆，控管後端的連線
但成功率不是100%
假如使用者先去連"中繼站"，再透過中繼站往外連，幾乎擋不下來
這類高階硬體防火牆，價格不便宜，約從10萬元起跳

其實如果不想找麻煩動腦筋的話，花錢解決是最快的
直接找廠商，問說有什麼方案可以解決，錢砸下去一定會有解決方案
如果出問題，也只要把罪過全推給廠商就行了

小弟去上CCNA的課程，講師說的一句話讓我印象最深刻
"MIS的工作，就是要幫老闆省錢的，如果什麼東西都要花錢解決，那請MIS要幹麻，對不對呢"
真是至理名言，實在是無法反駁啊 :|||:

使用這個設備試試看 [url]http://www.bluecoat.com/[/url]
這個東西可以檔上傳檔案,並且可以可以跟AD整合做認證
針對某些人或者ip做 pass的動作.目前有很多人利用此一設備做80 Port的管控.

[QUOTE=linux_xp]
2.一台Linux 就夠了，對伺服器的功能來說，Linux幾乎是萬能的，當路由器只是小case，用route指令就可以很方便的設定路由表 :)
QUOTE]

linux 可以跑ospf 跟 bgp 跟ISIS 嗎???

蠻好奇的 如果LINUX這麼萬能 可以取代router

為何還會有那麼多做router 廠商呢??

[QUOTE=True][QUOTE=linux_xp]
2.一台Linux 就夠了，對伺服器的功能來說，Linux幾乎是萬能的，當路由器只是小case，用route指令就可以很方便的設定路由表 :)
QUOTE]

linux 可以跑ospf 跟 bgp 跟ISIS 嗎???

蠻好奇的 如果LINUX這麼萬能 可以取代router

為何還會有那麼多做router 廠商呢??[/QUOTE]

OSPF、BGP、ISIS，都是 router 之間的協定
用於互換 routing table，走的是 Class D 的網段


Linux 本身內建router功能，用route指令可以輕易建立路由表
至於OSPF、BGP、ISIS 這些協定
目前應該是沒內建
可能要修改核心才能支援，或是寫軟體去支援

用PC做router
第一，硬碟會掛，不保險
第二，就算改採Flash 砍入式裝置，缺點是仍然很耗電
所以較少人使用

以硬體router來講，使用 Linux 崁入式裝置的，也不算少
平均來說，一台 1GHz CPU，256MB的機器，廠商可以賣10萬以上

破爛機器又坑錢是沒錯，但強在韌體 (軟體)，雖然不想承認也不行
廠商就是有辦法寫出軟體去支援這些router協定
沒辦法自己寫，也只好買了
強如 Cisco，其實也是軟體起家的

[url]http://www.ietf.org/rfc/rfc1583.txt[/url]
先把 RFC 看完再來討論 OSPF 是不是 Class D 如何?

[QUOTE=dou0228][url]http://www.ietf.org/rfc/rfc1583.txt[/url]
先把 RFC 看完再來討論 OSPF 是不是 Class D 如何?[/QUOTE]

好吧，不是

那請問您的重點是什麼？
請能不能PO些有建設性的東西，例如一些中文的見解

在資訊的領域，沒有人是萬能的
論壇就是大家討論，才會有進步
網路是因為分享而美好的，謝謝
;)

[QUOTE=linux_xp]好吧，不是

那請問您的重點是什麼？
請能不能PO些有建設性的東西，例如一些中文的見解

在資訊的領域，沒有人是萬能的
論壇就是大家討論，才會有進步
網路是因為分享而美好的，謝謝
;)[/QUOTE]

我想它應該是要跟你說OSPF 不是你所說的class d

這就是重點嚕..也是很有建設性的

[QUOTE=linux_xp]OSPF、BGP、ISIS，都是 router 之間的協定
用於互換 routing table，走的是 Class D 的網段


Linux 本身內建router功能，用route指令可以輕易建立路由表
至於OSPF、BGP、ISIS 這些協定
目前應該是沒內建
可能要修改核心才能支援，或是寫軟體去支援

用PC做router
第一，硬碟會掛，不保險
第二，就算改採Flash 砍入式裝置，缺點是仍然很耗電
所以較少人使用

以硬體router來講，使用 Linux 崁入式裝置的，也不算少
平均來說，一台 1GHz CPU，256MB的機器，廠商可以賣10萬以上

破爛機器又坑錢是沒錯，但強在韌體 (軟體)，雖然不想承認也不行
廠商就是有辦法寫出軟體去支援這些router協定
沒辦法自己寫，也只好買了
強如 Cisco，其實也是軟體起家的[/QUOTE]


既然沒有支援這些目前相當常用到的routing protocol 更何況是bgp

請不要說LINUX 可以輕易的就可以當ROUTER.

LINUX很強 但不是萬能 而且 討論的時候 麻煩請不要模糊了焦點...

[QUOTE=True]既然沒有支援這些目前相當常用到的routing protocol 更何況是bgp

請不要說LINUX 可以輕易的就可以當ROUTER.

LINUX很強 但不是萬能 而且 討論的時候 麻煩請不要模糊了焦點...[/QUOTE]

我是說Linux可能沒內建，沒說它不支援

除非是像EIGRP那種有專利權的協定
標準通訊協定，作業系統沒有不能支援的道理

就Fedora發行版來說，應該是沒內建
但Enterprise版或FreeBSD有沒有支援，我就不知道了

全世界有1/3以上的Router，和網路設備，都是以Linux為崁入式核心
Linux不能當router？不知道是誰混淆焦點，為品牌效命....
cisco不是不好，只是價錢太貴

[QUOTE=linux_xp]我是說Linux可能沒內建，沒說它不支援

除非是像EIGRP那種有專利權的協定
標準通訊協定，作業系統沒有不能支援的道理

就Fedora發行版來說，應該是沒內建
但Enterprise版或FreeBSD有沒有支援，我就不知道了

全世界有1/3以上的Router，和網路設備，都是以Linux為崁入式核心
Linux不能當router？不知道是誰混淆焦點，為品牌效命....
cisco不是不好，只是價錢太貴[/QUOTE]

請問你認為誰為品牌效命阿???

真的是蠻好笑的 果真像之前的討論串一樣 :D

linux 不是萬能的 請你不要把他看的那麼厲害

如果你認為linux 真的可以取代router 請你把證據拿出來給大家看　 :D

只要是標準的routing protocol就可以 如果連BGP 跟 OSPF都不支援

談啥取代router

當路由器只是小case－－－－＞＞　別笑死人了...等你拿出證據來 再來說這句話

cisco不是不好，只是價錢太貴--->那你可以改用3com阿 沒有人規定你一定要用CISCO 真是好笑