2011年6月19日 星期日

封鎖XXXXXX五大手法管制網址

http://www.ithome.com.tw/itadm/article.php?c=57724&s=6    文⊙王宏仁 封鎖XXXXXX五大手法之三以防火牆管制網址
利用防火牆網址過濾機制來管制k網址,比起用IP管制方式會更有彈性,設定上也更加簡便。只要封鎖www.xxxx.com這個網 址,就可以完全禁止使用者瀏覽xxx,不用逐一設定每一項IP過濾規則。多數防火牆設備都有很方便的網頁介面可供設定過濾網址。網址過濾政策也 能和排程整合,做到時間管制的效果。

基本的防火牆只提供自訂網址功能,但不會提供需要管制的網址資料,MIS必須自行維護一套網址管制清單。不過,林秉忠指出,當防火牆規則越來越多,甚至多達一兩百條以後,維護就很困難。

所以,目前也開始有一些防火牆產品,廠商有提供網址資料庫,可以讓MIS依據網址類別來控管,而不用逐一輸入管制網址。不過防火牆所提供的網址數量可能會較少,分類方式也較粗略,還是比不上專用網址過濾設備所提供的資料庫。

一般防火牆的缺點是無法和AD(Active Directory ) 帳號整合,對網址的管控通常是一視同仁,要不是所有人都可以使用,就是所有人都不能使用。所以,不容易更進一步依據使用者的身分進行管控,例如開放行銷人 員使用,但禁止其他行政人員使用。若需要依據部門或使用者身分進行更細緻的管制,則需要專用的網址過濾設備,例如Proxy伺服器,而且近來推出的一些多 功能型防火牆設備,也可以和AD帳號整合。


封鎖XXXXXX五大手法之四專用網址過濾設備
專用網址過濾設備同樣也是針對網址來進行管制,和防火牆的網址管制原理相同,但是,專用網址過濾設備能夠提供的管理彈性,遠遠超過防火牆。

防火牆網址過濾機制所能做到的功能,專用網址過濾設備都能做到,但是,更進一步地,還能夠與AD帳號或帳號認證機制整合。可以針對不同身分別或組織單位的成員,設定不同的過濾政策。

例如,可以使用社群網站的行銷人員,即使使用其他未經授權的員工電腦,只要登入帳號後,專用網址過濾設備就會辨識出這臺電腦的使用者的身分,而開放這臺電腦可以瀏覽社群網站,所以管制政策可以跟著人員移動,提供更有彈性的作法。

除此之外,專用網址過濾設備所內建的網址資料庫,也遠比防火牆內的網址資料庫更為完整,同時專用設備的分類架構也更為細緻,例如企業要開放員工使用社群網站,但是禁止員工在上面玩網路遊戲,那麼就可以設定只阻擋社群網站的遊戲,而且MIS透過設定網頁就能很快地完成管制。

因為專用網址過濾設備具有Proxy機制,能夠記錄員工所有的瀏覽行為,所以,這類設備比其他管制手法,能提供更詳盡的報表。這些報表工具,都可以成為MIS進行管制的支持數據。

例如二維向度的報表分析,可先依據網站類型,以頻寬耗用度來排名,接著再從特定的網站類型中,檢視該類網站的前十大使用者。

有家企業就是透過專用網址過濾設備的報表功能,每周產生一份報表,發送給內部各單位主管。報表上列出該部門使用的頻寬在全公司排名、攤提費用,上網占用頻寬的前十大使用者姓名,以及他們都是瀏覽哪些網站等項目,讓該部門主管有憑據做進一步處理

封鎖xxxxxx五大手法之五頻寬管制設備
頻寬管理設備來管制xxxxx是一種一箭雙雕的作法,一方面能夠確保主要應用所需的頻寬不受影響,另一方面也能夠讓員工因為網頁瀏覽速度過慢,而放棄使用該服務。

不過,頻寬管制的方法,卻不像網址過濾那樣簡單。雖然,目前很多防火牆都有提供QoS頻寬管理機制。但是這種QoS作法確有其限制。

最初防火牆的QoS機制,主要目的是用來管理內部電腦的使用頻寬,確保每一個人都可以有足夠的頻寬上網,超額使用者將會受到QoS的限制。

防火牆的QoS機制透過佇列(Queue)的方法來達到限制頻寬的方式,所有封包都會先放到佇列中,依據這臺電腦設定的優先順序,來決定封包傳輸的速度,當流量快要達到限制值時,優先順序下降,封包傳輸速度也減緩,就可以減少這臺電腦所占用的頻寬。

但是,防火牆的QoS管理機制,目前只能針對內部電腦的IP或通訊協定設定優先順序,換句話說,無法直接限制外部網路中的xxxxxx網站傳輸速度,頂多可以限制HTTP傳輸內容所占用的頻寬。

但是,如此一來,是所有的網頁瀏覽都受到影響,無法只針對xxxxx進行管制。如果是專門的QoS設備,則有更完整的機制來管制特定網址的頻寬。

企業也可以藉由雙防火牆的作法,來達到管制xxxxx的效果。利用內層防火牆進行網址過濾,只允許xxxxx網站的HTTP溝通。接著,透過 外層的防火牆的QoS來管制內層防火牆送出的HTTP資料流量,因為內層防火牆只有xxxxx的資料流量,所以,就等於是管制到

沒有留言:

張貼留言