Как ИТ-администратору моей компании мне было поручено решить, какой трафик фильтровать, формировать и каким образом отслеживать в нашей сети. Какие протоколы, приложения и другой сетевой трафик вы обычно ищете? Лучшие вещи в нашем списке для дросселирования или блокировок на основе использования полосы пропускания и законности являются битовым торрентом, p2p, ITunes, вопиющее просмотр порно и т.д. С технической точки зрения это будет сделано с использованием оборудования Cisco, такими как SCE или IPS.
Что ж, IMHO лучшая практика (для отдельных портов / протоколов) - фильтровать ВСЕ, а затем выборочно разрешать вещи. Это выбьет массу вещей и заставит ваших пользователей обосновать, зачем им нужны X, Y или Z.
Веб-фильтрация должна выполняться через какой-то фильтр содержимого (например, Websence или аналогичный), и их можно настроить до смерти, чтобы заблокировать практически все, что вы хотите заблокировать.
Лично я ненавижу фильтры контента, но могу позволить себе оптимистично относиться к ним, так как в наши дни я всегда достаточно высок на тотемном столбе технологий, чтобы их обойти. Этот шаг никогда не был популярным, но он имеет смысл как с точки зрения безопасности, так и с точки зрения использования.
Если вам было поручено решить, какой трафик фильтровать, тогда вам следует вместо этого взглянуть на схему использования вашей компании и принимать решения на основе этого, а не того, что делают другие, и уж точно не следовать глупости «сначала все отрицать».
Чтобы помочь себе в этом, вы можете начать сбор сетевых потоков от пограничного маршрутизатора (ов) во время обычного (без фильтрации) использования и использовать их для анализа вашего использования.
Итак, вот несколько ссылок для начала:
ОТКАЗАТЬ первое, РАЗРЕШИТЬ второе. открывайте только те порты, которые важны для бизнеса (80/443, почта и т. д.). вы также можете запустить OpenDNS для блокировки большого количества контента.
Я использую только коммутаторы / маршрутизаторы с поддержкой SNMP и для всего делаю графики MRTG. Затем я использую Linux-сервер в качестве шлюза и принудительно передаю весь трафик порта 80 на прокси-сервер Squid через iptables и использую отчеты SARG, чтобы узнать, где люди просматривают сайты. Вы можете заблокировать порты BitTorrent, которые могут быть побеждены технически подкованными пользователями. Я бы установил правило iptables, чтобы искать «протокол BitTorrent» и принудительно запускать его через Squid.
Добавьте потоковое мультимедиа (YouTube и т. Д.), Хотя это может быть труднее обнаружить, в зависимости от используемого вами решения. Также возможно, что кто-то где-нибудь сможет предоставить вам законное экономическое обоснование для некоторых из этих вещей (я верю, что можно построить законное экономическое обоснование почти для что-нибудь если он достаточно определен), поэтому возможность определять исключения должна быть предварительным требованием.