В настоящее время у нас есть брандмауэр SonicWall, который довольно хорошо блокирует сайты социальных сетей, такие как Facebook и Bebo. Проблема, с которой мы сталкиваемся, заключается в том, что иногда нам нужно временно отключить наш черный список брандмауэра, чтобы мы могли, например, обновить страницу нашей компании на Facebook. Каждый раз, когда мы это делаем, мы видим лавину пользователей, заходящих на свои страницы в Facebook в рабочее время. Итак, нам нужен способ заблокировать доступ, когда брандмауэр не работает.
Ради аргументации, у нас есть две группы пользователей - «менеджмент» и «стандартные пользователи». «стандартные пользователи» не будут иметь доступа к Facebook, но пользователи «менеджеров» будут иметь доступ. Возможно, что-то вроде перенаправления файла хоста для пользователей, не являющихся управляющими. Вероятно, это могло быть реализовано с помощью групповой политики, которая вызывала бы файл bat для копирования файла хоста, в зависимости от того, был ли пользователь менеджером или нет. Я очень хочу услышать любые предложения о том, что лучше всего было бы для этого в среде Windows / AD.
Да, я знаю, что мы здесь пытаемся решить кадровую проблему с помощью ИТ. Но это именно то, чего хочет руководство, и у нас есть много полуавтономных филиалов, с которыми у нас не так много повседневных контактов, поэтому автоматизированный способ обеспечения этого будет наиболее предпочтительным методом.
Купите USB-ключ 3G - положите его в сейф, отдайте пользователю, когда ему нужно обновить заблокированный контент, заберите его, когда он будет готов.
Гетто да, но просто.
Итак, ваша компания поддерживает текущую страницу в Facebook, но не позволяет пользователям получить к ней доступ? Странно. Если ваш AUP препятствует доступу к нерабочему (хотя «нерабочее» является спорным, учитывая, что вы иметь страницу FB) в периоды простоя, вы можете просто собирать журналы трафика. Предоставьте руководству список пользователей, нарушающих AUP во время отключений. Краткий личный разговор от HR / Management имеет большое значение.
Ведение хост-файла для многих пользователей больно. Если вы предоставляете DNS своим клиентам, вы можете легко заблокировать все, что захотите. Прокси-серверы по-прежнему будут проблемой, но я предполагаю, что ваш AUP уже решит их использование.
Похоже на ужасную установку присяжных. Брандмауэры предназначены для блокировки определенных компьютеров и пропуска некоторых других. Просто дайте своим менеджерам статические IP-адреса и разрешите доступ с этих IP-адресов, и ваша проблема будет решена. В Sonicwall есть список исключений CFS именно для этой цели.
Конечно, ваши менеджеры, вероятно, тоже будут использовать Facebook, если у них будет бесплатный доступ, но это жизнь. Вам лучше разрешить всем и контролировать их использование. Если это станет проблемой, уволите их. Политики блокировки - не лучшее решение, и они, как правило, вызывают у людей горечь.
Я обращаюсь к этому вопросу исключительно на техническом уровне.
Возможно, вам стоит подумать о создании устройства, специально предназначенного для этой цели, вместо использования функции SonicWall.
Политика отбрасывания по умолчанию обычно рекомендуется для исходящего трафика. По крайней мере, 80, 443, 8080 и 8443. Затем потребуется прокси для доступа в Интернет.
Я бы рекомендовал КАЛЬМАР и SquidGuard, который может фильтровать доступ к веб-сайтам. Настройте его так, чтобы он требовал аутентификации, которую можно даже интегрировать с AD. Привилегированная группа сможет обойти фильтрацию. Для отчетности что-то вроде MySar или SARG работает.
Решение может быть простым и быстрым или более сложным, в зависимости от ваших требований, но эта технология решит все проблемы.
Я бы порекомендовал изучить централизованную систему управления контентом, которая может блокировать доступ на основе пользователя \ группы.
РЕДАКТИРОВАТЬ
Кроме того, как ваши пользователи могут получить доступ в Интернет, когда брандмауэр не работает? Разве межсетевой экран не обеспечивает NAT для ваших внутренних IP-адресов? Не соответствует ли межсетевой экран маршрутизатору?
Моя топология выглядит так:
Внутренняя сеть ---> Брандмауэр ---> Маршрутизатор ---> Интернет
Поэтому, если мой брандмауэр не работает, Интернет недоступен.
В конце концов, мы использовали GPO для отправки файла hosts, который блокировал Facebook, Bebo, Myspace и т. Д., А также не позволял пользователям изменять файл hosts.
В соответствии с ответом @ Chopper3 я бы предложил предоставить альтернативные средства доступа к Интернету для пользователей, которых вы не хотите фильтровать.
Если карта не такая, как вы хотите, возможно, у вас может быть специальный сетевой порт, который подключен к Интернету до брандмауэра. Таким образом, авторизованные специалисты по обновлению Facebook могут подключать свои ноутбуки к этому порту в тех редких случаях, когда им необходимо обновить Facebook для рабочих целей.
Возможно, установка защищенного паролем прокси-сервера в обход брандмауэра также подойдет. Таким образом, авторизованным разработчикам обновлений Facebook не придется покидать свои рабочие места; они могли просто изменить свои настройки прокси.
Вы даже можете попросить ИТ-специалистов включать / отключать эти параметры по мере необходимости, чтобы даже авторизованные пользователи Facebook не могли использовать их без вмешательства ИТ-специалистов.
В настоящее время у меня нет доступа к SonicWall, но я помню, что вы могли настроить пользователей в схеме блокировки, и когда они получили «эту страницу, заблокированную SonicWall», вы могли дать им возможность ввести имя пользователя и пароль для доступа страница. Таким образом, вы даете авторизованным программам обновления FB учетную запись, которая позволяет им получать доступ к FB, и, если хотите, вы можете включить / отключить учетную запись, когда страницу необходимо обновить.
Я работал в частной школе, и мы решили эту проблему за свободно используя OpenDNS.com. Зайдите на сайт и зарегистрируйтесь для учетной записи. Вам нужно будет указать источник сеть или IP-адреса а затем настройте брандмауэр для использования DNS-серверов OpenDNS. В интерфейсе администратора вы можете заблокировать определенные типы трафика, такого как интернет-прокси и специфические веб-сайты как facebook.
Мы создали правило брандмауэра для внутренней сети, которое мы разрешается на эти сайты, чтобы использовать наши DNS-серверы интернет-провайдера.