Jac*_* M. 11 domain-name-system cisco firewall
我在让Cisco ASA设备阻止某些社交网站时遇到了一些麻烦,这些网站已成为我们办公室的时间节点。这个问题实际上分为两部分:
dig后跟一个 为nslookup产生两个不同的 IP 地址www.facebook.com。我们正在寻找一个临时解决方案,直到我可以启动并运行Squid,这可能需要六个月(我们需要网络管理员,不好)。
小智 9
在 Cisco asa 上,您可以执行以下操作:
regex facebook1 "facebook\.com"
class-map type inspect http match-any block-url-class
match request uri regex facebook1
policy-map type inspect http block-url-policy
parameters
class block-url-class
drop-connection log
policy-map global_policy
class inspection_default
inspect http block-url-policy
service-policy global_policy global
我的一个客户有这个确切的问题。以下是我们解决该解决方案的方法:
安装了一个带有内置Squid代理的IPCop盒,还安装了 URLFilter 插件。现在所有流量都流经 IPCop 盒。
将每个人的 IP 地址硬编码到他们的电话分机上,因为这样可以更轻松地识别犯罪者。我们还更改了所有 DNS 服务器设置以指向OpenDNS。(OpenDNS 可以提供进一步的过滤选项,但事实证明它们毕竟不是必需的。)
删除(并禁止)使用所有公共IM客户端,例如 Yahoo Messenger、MSN、AOL、ICQ 等。相反,我们安装了一个安全的公司专用XMPP服务器,称为SecuredIM,以便记录所有 IM 流量并保证仅是公司与公司之间的通信。
SecuredIM 还具有每 XX 分钟截取一次桌面屏幕截图的独特能力。如果一名员工被怀疑偷懒(根据 IPCop 日志),一张图片价值 1,000 字。可以将选择的屏幕截图存档并通过电子邮件发送以供以后审查(或纪律处分)。
我们通过 IPCop 框上的 URLFilter阻止了 Facebook、Myspace、Hulu和其他两三个主要滥用行为。
人工审核(必要时屏蔽更多网站)大约一周。
在午餐时间(12:00 pm-1:00 pm)开放“免费/畅通无阻”冲浪。
到本周末,公司彻底转型。生产力显着提高,没有人抱怨。
与任何公司一样,总有 1-2 个反叛者认为这是一场“游戏”。
当nytimes.com被封锁时,他们去了另一个新闻网站。当那个被阻止时,他们又选择了另一个。其他人停止冲浪并从事诸如Solitaire和Minesweeper 之类的爱好,但 SecuredIM 截图抓住了这一点(IPCop 显然不能)。
在两周内(以及几次雇主/员工讨论,包括对顽固者的纪律处分),一切都运行顺利,并且已经顺利运行了近两年。
网址:
边注:
作为一个有趣的支线故事。大约一年后,建筑物中的电气问题导致 IPCop 盒上的电源中断,新的 IPCop 盒需要 2-3 天才能安装到位。
我们发现,员工用不到 48 小时的时间就可以恢复到原来的上网习惯,生产力下降了。
这完全是社会实验。:-)
| 归档时间: |
|
| 查看次数: |
28551 次 |
| 最近记录: |