封鎖XXXXXX五大手法管制網址

http://www.ithome.com.tw/itadm/article.php?c=57724&s=6    文⊙王宏仁 封鎖XXXXXX五大手法之三以防火牆管制網址
利用防火牆網址過濾機制來管制k網址，比起用IP管制方式會更有彈性，設定上也更加簡便。只要封鎖www.xxxx.com這個網 址，就可以完全禁止使用者瀏覽xxx，不用逐一設定每一項IP過濾規則。多數防火牆設備都有很方便的網頁介面可供設定過濾網址。網址過濾政策也 能和排程整合，做到時間管制的效果。

基本的防火牆只提供自訂網址功能，但不會提供需要管制的網址資料，MIS必須自行維護一套網址管制清單。不過，林秉忠指出，當防火牆規則越來越多，甚至多達一兩百條以後，維護就很困難。

所以，目前也開始有一些防火牆產品，廠商有提供網址資料庫，可以讓MIS依據網址類別來控管，而不用逐一輸入管制網址。不過防火牆所提供的網址數量可能會較少，分類方式也較粗略，還是比不上專用網址過濾設備所提供的資料庫。

一般防火牆的缺點是無法和AD（Active Directory ） 帳號整合，對網址的管控通常是一視同仁，要不是所有人都可以使用，就是所有人都不能使用。所以，不容易更進一步依據使用者的身分進行管控，例如開放行銷人 員使用，但禁止其他行政人員使用。若需要依據部門或使用者身分進行更細緻的管制，則需要專用的網址過濾設備，例如Proxy伺服器，而且近來推出的一些多 功能型防火牆設備，也可以和AD帳號整合。


封鎖XXXXXX五大手法之四專用網址過濾設備
專用網址過濾設備同樣也是針對網址來進行管制，和防火牆的網址管制原理相同，但是，專用網址過濾設備能夠提供的管理彈性，遠遠超過防火牆。

防火牆網址過濾機制所能做到的功能，專用網址過濾設備都能做到，但是，更進一步地，還能夠與AD帳號或帳號認證機制整合。可以針對不同身分別或組織單位的成員，設定不同的過濾政策。

例如，可以使用社群網站的行銷人員，即使使用其他未經授權的員工電腦，只要登入帳號後，專用網址過濾設備就會辨識出這臺電腦的使用者的身分，而開放這臺電腦可以瀏覽社群網站，所以管制政策可以跟著人員移動，提供更有彈性的作法。

除此之外，專用網址過濾設備所內建的網址資料庫，也遠比防火牆內的網址資料庫更為完整，同時專用設備的分類架構也更為細緻，例如企業要開放員工使用社群網站，但是禁止員工在上面玩網路遊戲，那麼就可以設定只阻擋社群網站的遊戲，而且MIS透過設定網頁就能很快地完成管制。

因為專用網址過濾設備具有Proxy機制，能夠記錄員工所有的瀏覽行為，所以，這類設備比其他管制手法，能提供更詳盡的報表。這些報表工具，都可以成為MIS進行管制的支持數據。

例如二維向度的報表分析，可先依據網站類型，以頻寬耗用度來排名，接著再從特定的網站類型中，檢視該類網站的前十大使用者。

有家企業就是透過專用網址過濾設備的報表功能，每周產生一份報表，發送給內部各單位主管。報表上列出該部門使用的頻寬在全公司排名、攤提費用，上網占用頻寬的前十大使用者姓名，以及他們都是瀏覽哪些網站等項目，讓該部門主管有憑據做進一步處理

封鎖xxxxxx五大手法之五頻寬管制設備
頻寬管理設備來管制xxxxx是一種一箭雙雕的作法，一方面能夠確保主要應用所需的頻寬不受影響，另一方面也能夠讓員工因為網頁瀏覽速度過慢，而放棄使用該服務。

不過，頻寬管制的方法，卻不像網址過濾那樣簡單。雖然，目前很多防火牆都有提供QoS頻寬管理機制。但是這種QoS作法確有其限制。

最初防火牆的QoS機制，主要目的是用來管理內部電腦的使用頻寬，確保每一個人都可以有足夠的頻寬上網，超額使用者將會受到QoS的限制。

防火牆的QoS機制透過佇列（Queue）的方法來達到限制頻寬的方式，所有封包都會先放到佇列中，依據這臺電腦設定的優先順序，來決定封包傳輸的速度，當流量快要達到限制值時，優先順序下降，封包傳輸速度也減緩，就可以減少這臺電腦所占用的頻寬。

但是，防火牆的QoS管理機制，目前只能針對內部電腦的IP或通訊協定設定優先順序，換句話說，無法直接限制外部網路中的xxxxxx網站傳輸速度，頂多可以限制HTTP傳輸內容所占用的頻寬。

但是，如此一來，是所有的網頁瀏覽都受到影響，無法只針對xxxxx進行管制。如果是專門的QoS設備，則有更完整的機制來管制特定網址的頻寬。

企業也可以藉由雙防火牆的作法，來達到管制xxxxx的效果。利用內層防火牆進行網址過濾，只允許xxxxx網站的HTTP溝通。接著，透過 外層的防火牆的QoS來管制內層防火牆送出的HTTP資料流量，因為內層防火牆只有xxxxx的資料流量，所以，就等於是管制到