谈谈我是怎样管理公司上网行为的
单位外网的规模不大,几十台机器,除一OA办公及一进销存软件外,没有其它什么关键应用。说白了,只要别掉线、只要速度说的过去,就一切OK。光猫、路由器、交换机、电脑,结构相当的简单。在路由器上作些相关的设置,另外配合我用的网络岗软件,用员工的话说我的设置很BT,基本上都满足需要了。
说到进行上网限制,其实我最初并不想这么做,而且也不是我要想作的,大家明白是谁的主意。我们都是打工的,吃谁的饭跟谁干,很天经地义,只是不失原则就行。老板只问我能不能作到,我说能,你想怎么限制,怎么监控我都能,是要免费的还是要掏钱的,是要完全监控还是作作样子搞个摆设。。。。。。。老板说,那你能作成什么样就作成什么样吧。我说,那好吧,耗子还是怕猫的,药是可以治病的,关键还是在于管理,要是每个人都能老老实实的遵守规定,规规矩矩的上网,哪个网管愿意去做那么多限制,浪费多少脑细胞啊。也真是,公司就2M的光纤,总有那么些人下载电视啊、电影啊,上班偷着玩游戏,玩空间等,以前我睁着眼闭只眼,最多给他们警告说说,估计是有人反映到老板那去了,这不才叫我管制。
费话说了半天,赶紧说说具体的做法:
单位使用的是TPlink的一款企业宽带路由器,带端口镜像,可VPN,我的作法就是通过路由器与网路岗设置上网规则监控上网行为。外网客户通过VPN拨入内网,内网客户端自动获取地址,于是我首先作了个改动:
一、手工指定IP
先是手工登记了全部客户端的MAC地址,并根据部门划分了IP地址段,预留一段IP以防部门加人。而且电脑配置里明确登记这些,使用者与IP对应,主要是方便我对号入座。(PS:如果你电脑多,手工指定麻烦,也可以采用DHCP设置静态地址分配的方法)
公司原来的DHCP自动可以让外来客户也能上网,非常不安全,于是申请了一条宽带又加了个无线路由,客户来必须问我要密码才能上网。
二、设置IP地址过滤和MAC地址过滤
只允许登记的分配里的那些IP访问网络,防止客户端私自指定其它IP上网,逃避追查。
只允许所有登记的MAC访问网络,防止客户端私接其它电脑、或者更换网卡、甚至修改本机MAC,逃避追查。
三、进行IP与MAC绑定
将路由器的ARP表设置成静态,防止ARP欺骗,客户机的正确MAC信息不会被篡改。将IP与MAC的对应关系固定下来,这样还能防止客户端盗用别人的IP上网。
一台客户机的MAC地址在允许访问的列表内,他手工指定了一个原本给别人预留的IP,此IP也在允许访问的IP列表内。但是他还是上不了网,IP与MAC的对应关系不对,路由器会认为他在进行ARP欺骗,阻止他的数据,同时将信息记入日志。
四、在客户机上绑定路由器的IP和MAC信息
目的是防止客户机受到ARP欺骗,网关的正确MAC信息不会被篡改。方法是建立一个批处理文件:
arp -d
arp -s 网关IP 网关MAC
将此文件设置成开机自动运行。
完成以上工作,ARP病毒就不怕了,其实针对ARP病毒最可靠的方法就是我这个双绑的方法。不信的人可以去试试。
五、屏蔽一些不能上的网站,该开的端口开,不开的就不开
直接开启路由防火墙,把一些不需要公司上的网站全罗列在里面,比如各种视频网站、QQ空间、开心网等,而且对于一些直接封外网IP段(这个要小心些,有次我就封后,导致10086的手机邮箱进不来了,后来叫电信帮查才知道是我路由封了它们的一个IP),如此保持上网上的也是正规网站。
对于端口设置此法的指导思想有两种:1、全世界都是好人,只需要限制个别的坏人;2、全世界都是坏人,只排除个别的好人。这里是把端口比作了好人和坏人。p2p的端口太多了,有些还是随机的,而且我们也不可能了解所有的p2p软件。只好采用第二种思想,所有的端口都是坏人,我只允许个别的好人访问,比如打开53、80、443等,开放工作中要用的门,其它门先关闭,要用的时候再打开。
经过这样设置现在的情况是,常用的业务能够正常使用,不在端口列表里的软件不能访问网络。软件不能用同事就会来找我,这时候我检查这个软件是不是p2p的,会不会影响网络,如果没问题给他加上这个端口就OK了。这样将原本被动的工作变成主动了,不用再跑来跑去劝说他们别用这个别用那个,现在他们想用只能主动过来找我。我们干网管的也不能太累了,多动动脑子,形势就大不一样了!
以上是对路由器作的设置。下面是针对网路岗作的设置,简单说一下:
网路岗我用的破解版8.0(关于功能自己去网上看看,不多说。嘿嘿,支持正版,不要学我啊,正版功能还更完善),通过路由的端口镜像安装在我的办公电脑上,实现随时监控并记录,老板想看也好随时调出。
一、每台电脑安装网络岗的上网评价
这个功能实际上就是让员工知道他们的一举一动在我这里有监控,给他们打预防针,具体还是要设置规则,过滤一些网站,跟在路由里设置域名过滤一样,阻断一些股票软件、色情、游戏软件网等。能让员工即时了解自身的上网行为是否符合公司上网规范,在及时提醒员工的同时,也能更让员工自觉遵守上网规范。
二、针对IP的QOS作限制
针对IP的QoS,限制单个IP的带宽和连接数。这个我路由器上也可以,只是没这样作,我是用的网路岗通过规则进行限制,也就是说只要不法分子犯罪,规则自动执行,让他自己找我。当然了每台电脑作了监控也都是设有规则的,你把规则指定到部门电脑或单个电脑即可。
三、设置QQ、MSN、飞信聊天软件过滤,并对账号控制
软件过滤其实跟在路由器里封端口类似,只是这个更简单,是有针对性的,只是聊天软件。
公司明确规定不能上私Q,对于有业务的人必须Q的都在软件里进行了指定。这样私Q登陆就很难,而且我这里会监控得到,当然他们的聊天记录无一例外,这个狠啊,相当于在窥探别人隐私。不过,这个老板给了特权,我这个人也很正派,都是聊工作的,也防止了他们用Q泄密文件。而上私Q的人还敢上吗?
四、设置电脑屏幕与桌面监控,控制U盘
这个是要对各个电脑进行客户端安装的,一般我没用。也是跟装上网评价一样,给大家一个预防针,让大家自觉。
五、实时监控流量,查看上网内容
网路岗的这个功能也是不错的,现场观察可随时查看当前时间哪些人上了什么网作了什么事,然后这些都会记录下来。后面可以根据日期随时查看上网记录等。
以上就是我对公司上网行为作的一些设置,用员工的话说我很BT,但实际上只要大家自觉没什么的,我这个人还是很通情达理的。以前老板要看,我也会筛选一下。这两年来,公司员工关系相处也算和谐。其实,更多的是要学会作人。谁知道这篇文章会不会有同事或老板看到,所以我还是不说了。
分类:电脑网络| 发布:xiadao81| 查看:3056 | 发表时间:2012-09-02
原创文章如转载,请注明:转载自龙三公子博客 https://www.mybabycastle.com/
本文链接:https://www.mybabycastle.com/post/67.html