想請問各位大大 我們公司目前想要讓員工的電腦無法上網(指IE,YAOOO即時通,MSN這一類的)可是我們電腦裡又有程式需要動到網路(算是資料傳輸)有沒有什麼辦法可以一舉兩得呢 麻煩了 謝謝
個人積分:19分
文章編號:984532
個人積分:0分
文章編號:984656
個人積分:27分
文章編號:984825
一般建議500人以上的企業, 可使用CISCO的設備
1~200人的中小企業. 建議使用居易的產品. Draytek
居易的產品線都還不錯, 自己公司的就是使用2900系列(V/G)的產品.
裡面就包含了IM Block(即時通訊軟體) 與P2P Block(BT, eMule.... 等)等的設定.
如果有特殊程式的連網需求, 就開NAT囉.
傳一些操作畫面給樓主看
[NAT設定]
[簡易防火牆設定]
[IM即時通訊軟體阻擋設定]
[P2P點對點傳輸軟體阻擋設定]
To be or Not to be. Just be...
個人積分:183分
文章編號:985693
個人積分:27分
文章編號:986194
SC(Skype Client, 以下簡稱SC)執行時. 會開啟TCP與UDP的通訊協定.
TCP的部份會走port 80(http)與port 443(https)兩個通訊協定.
UDP封包的長度固定為18個bits.
先講TCP的部份, 在具有port block的路由器/防火牆上, 封鎖port 80與443即可.
但, 80為http的通訊協定, 所以網路瀏覽器鐵定無法執行.
但, 443為https的通訊協定, 所有吃該協定的網路程式, 都無法執行. 如MSN, IE上的電子銀行.
擋了這兩port, 企業基本上也不需要一般的對外連線了! 除非是純粹的跨點VPN.... 等.
結論:此法行不通, L2的設備做不到. 改用L3的設備.
SC的TCP封包都含有字串"ui.skype.com", 利用封包過濾(pocket filter)的機制, 阻擋含有該字串
的TCP封包. 接著, 處理UDP的部份, 一樣利用封包過濾的方法, 找出長度為18 bits的封包, 其第三
bit為"0×02"的, 就是SC的UDP封包, 一句話~擋擋擋. 如此一來, 就可成功擋下Skype了!
Zero1318 wrote:
插花問一下
請問ULTIMATE兄
你有用過那台Firewall能直接擋掉skype的嗎?
ps. L3(第三層)的設備, 理論上都可行.
ps1. 以上封包阻擋方式是我翻譯自網路上的某論壇. 不知其可行度. 我會到公司測測看, 結果再po上來讓大家知道.
ps2. 其實MIS往往可以換個角度, 並不是每個公司都有經費購買高級設備, SC是很刁鑽難擋沒錯, 可如果改以控管"個人電腦安裝軟體"的權限管制方式下手, 將會簡單很多. 如WinLock軟體.
個人積分:0分
文章編號:986342
個人積分:784分
文章編號:986711
http://www.ithome.com.tw/itadm/news/news.php?c=35299
個人積分:183分
文章編號:986935
ULTIMATE wrote:
結論:此法行不通, L2的設備做不到. 改用L3的設備.
SC的TCP封包都含有字串"ui.skype.com", 利用封包過濾(pocket filter)的機制, 阻擋含有該字串
的TCP封包. 接著, 處理UDP的部份, 一樣利用封包過濾的方法, 找出長度為18 bits的封包, 其第三
bit為"0×02"的, 就是SC的UDP封包, 一句話~擋擋擋. 如此一來, 就可成功擋下Skype了!
(恕刪)
感謝ULTIMATE兄
上述這個方式小弟曾經有試過
確實是可以擋掉skype
但是FireWall的運作效能會變差
鎖軟體的方式可能不太適合我目前的環境
因為有時還是要開skype做netmeeting
另覓解決之道
Thanks anyway
個人積分:27分
文章編號:987247
