Вопрос: Блокировать пользователей с сайтов социальных сетей, пока брандмауэр не работает


В настоящее время у нас есть брандмауэр SonicWall, который неплохо справляется с блокировкой социальных сетей, таких как Facebook и Bebo. Проблема, с которой мы сталкиваемся, заключается в том, что иногда нам нужно временно отключить блок-лист брандмауэра, чтобы мы могли, например, обновить страницу нашей компании на Facebook. Всякий раз, когда мы это делаем, вы видите лавину пользователей, вошедших на свои страницы Facebook во время работы. Итак, нам нужен способ заблокировать доступ, пока брандмауэр не работает.

Для аргументации у нас есть две группы пользователей - «менеджмент» и «стандартные пользователи». «стандартные пользователи» не будут иметь доступа к Facebook, но пользователи «управления» будут иметь доступ. Возможно, что-то вроде перенаправления файлов хоста для пользователей, не являющихся пользователями. Вероятно, это может быть принудительно введено с помощью групповой политики, которая вызовет файл bat для копирования файла хоста, в зависимости от того, был ли пользователь управляющим или нет. Я очень хочу услышать какие-либо предложения относительно наилучшей практики для этого в среде Windows / AD.

Да, я знаю, что мы здесь делаем, пытается решить проблему HR с помощью ИТ. Но это именно то, как это хочет руководство, и у нас есть много полуавтономных филиалов, с которыми у нас не бывает много ежедневных контактов, поэтому автоматизированный способ обеспечения этого будет самым предпочтительным методом.


5
2018-05-06 11:11


Источник


Значит, все знают, когда вы запустили брандмауэр и отправились проверять фейсбук? Как они узнают, когда это произойдет? - Josh
Если ваш блок-лист брандмауэра - это «все пользователи» или «ничего вообще», самым очевидным решением является брандмауэр с фильтрацией URL, который был фактически разработан после 2000 года. - Rob Moir
Мне также интересно, как наводнить на Facebook. Ваши пользователи просто нажимают обновления на Facebook все время, чтобы проверить это? Вы должны работать в необычном месте, где есть страница Facebook, но не позволяет пользователям видеть Facebook! - Bart Silverstrim
Word быстро обходит офисы. Как только один человек узнает, что есть доступ, все знают. - SuperFurryToad
@Tom Мочеиспускание жизненно важно и непроизвольно (после определенного порога Aquafina). FaceBook не является ни тем, ни другим. Все а также кто угодно может возникнуть соблазн тратить время, когда они должны работать, поэтому просто нанять людей, которые не будут смотреть на $ socialNetwork, не является реальной возможностью. В большинстве случаев необходим технический блок. На самом деле ... почему я на ServerFault, когда должен писать сценарий сборки? ПОТЕРПЕТЬ НЕУДАЧУ - Wesley


Ответы:


Купите USB-ключ USB-ключа - поставьте его в безопасное место, отдайте его пользователю, когда им нужно обновить заблокированный контент, отнесите его оттуда, когда они будут сделаны.

Гетто да, но просто.


15
2018-05-06 12:14



Звуки gooood = D - Antoine Benkemoun
Ghetto IT, FTW! - Wesley


Итак, ваша компания поддерживает текущую страницу Facebook, но не позволяет вашим пользователям получать доступ к ней? Bizarre. Если ваш AUP препятствует доступу к нерабочим (хотя «нерабочее» является спорным, учитывая, что вы иметь страницы FB) во время периодов отключения, вы можете просто собрать журналы трафика. Предоставьте руководству список пользователей, нарушающих AUP во время сбоев. Краткая, личная беседа с HR / Management идет долгий путь.

Ведение файла хоста для большого количества пользователей является болезненным. Если вы предоставляете DNS для своих клиентов, вы можете легко черным дырочку все, что захотите. Прокси-серверы все равно будут проблемой, но я предполагаю, что ваш AUP уже рассмотрит их использование.


12
2018-05-06 11:39



Не так странно. Страница FB компании - совершенно другое животное с личной страницы FaceBook. Таким образом, это пейзаж извилистого мира социальных сетей. - Wesley
@ Wesley Ах, спасибо за это, не знаю ... Я не поддерживаю страницу FB компании. Я бы ожидал, что компания хотеть его сотрудниками быть поклонниками / друзьями / независимо от страницы компании. Думаю, я до сих пор не получаю Facebook. - jscott
Страница FB компании предназначена для продвижения продукта / обслуживания и поддержания хорошего корпоративного имиджа. Персональная страница FB предназначена для того, чтобы рассказать людям, что вы думаете о зефирках и живете под чужими друзьями. =) То же самое с учетными записями компании. - Wesley


Похоже на ужасную жюри. Брандмауэры предназначены для блокировки определенных машин и предотвращения некоторых других. Просто дайте своим менеджерам статические IP-адреса и разрешите доступ к этим IP-адресам, и ваша проблема будет решена. Для этой цели Sonicwall имеет список исключений CFS.

Конечно, ваши менеджеры, вероятно, также будут использовать Facebook, как только у них будет свободный доступ, но это жизнь. Вам будет лучше разрешить всем и контролировать их использование. Если это становится проблемой, увольте их. Политика блокировки - это не просто решение, и они, как правило, делают людей горькими.


4
2018-05-06 14:54





Я рассматриваю этот вопрос исключительно на техническом уровне.

Возможно, вам стоит подумать о создании устройства, предназначенного для этой цели, вместо использования функции SonicWall.

Обычно политика перехода по умолчанию рекомендуется для исходящего трафика. По крайней мере, 80, 443, 8080 и 8443. Затем требуется прокси-сервер для доступа в Интернет.

Я бы рекомендовал КАЛЬМАР а также SquidGuard, который может фильтровать доступ к веб-сайтам. Настройте его на необходимость аутентификации, которая может быть интегрирована с AD. Привилегированная группа сможет обойти фильтрацию. Для сообщения, что-то вроде MySar или SARG работает.

Решение может быть простым и быстрым или более сложным в зависимости от ваших требований, но эта технология решит все проблемы.


3
2018-05-06 14:13





Моей рекомендацией было бы изучить централизованную систему управления контентом, которая может блокировать доступ на основе user \ group.

РЕДАКТИРОВАТЬ

Кроме того, как ваши пользователи все еще могут получить доступ к Интернету, когда брандмауэр отключен? Разве брандмауэр не предоставляет NAT для ваших внутренних IP-адресов? Является ли межсетевой экран не «в очереди» с маршрутизатором?

Моя топология выглядит так:

Внутренняя сеть ---> Брандмауэр ---> Маршрутизатор ---> Интернет

Поэтому, если мой брандмауэр отключен, интернет недоступен.


1
2018-05-06 12:03



Мне кажется, что они отключили функцию блокировки сайтов, которая позволяет избранным пользователям получать доступ к Facebook. - jscott
Готча, я должен был внимательно прочитать вопрос. - joeqwerty
У нас есть аналогичная настройка ... у нас есть веб-фильтр 8e6, который контролирует пользователей, подключенных к брандмауэру Cisco. Это похоже на адъюнкт, поэтому, если фильтр не работает, нет никаких указаний, кроме того, что пользователи имеют доступ к объявлениям, Google без SafeSearch при автоматических настройках и т. Д. Это не встроенный фильтр, такой как cisco-send- трафик-там-for-processing-then-gets-replies-back. - Bart Silverstrim


В итоге мы использовали объект групповой политики, чтобы выталкивать файл хостов, который блокировал Facebook, Bebo, Myspace и т. Д., А также не позволял пользователям изменять файл hosts.


1
2018-05-11 10:14





В соответствии с ответом @ Chopper3 я предлагаю предоставить альтернативные средства доступа к Интернету для пользователей, которые вы не хотите фильтровать.

Если aircard не так, как вы хотите это сделать, возможно, у вас может быть специальный сетевой порт, который подключен к Интернету перед брандмауэром. Таким образом, уполномоченные Facebook-обновления могут переносить свои ноутбуки в этот порт в редких случаях, когда им нужно обновлять Facebook для работы.

Возможно, будет работать и настройка защищенного паролем прокси-сервера, минуя брандмауэр. Таким образом, авторизованным пользователям Facebook не придется переходить с их столов; они могут просто изменить настройки прокси-сервера.

Вы даже можете включить / отключить ИТ-возможности этих параметров по мере необходимости, поэтому даже авторизованные пользователи Facebook не смогут использовать его без вмешательства ИТ.


0
2018-05-06 14:30





В настоящее время у меня нет доступа к SonicWall, но мое воспоминание состоит в том, что вы можете настроить пользователей в схеме блокировки, и когда они получили «эту страницу, заблокированную SonicWall», вы можете дать им возможность ввести имя пользователя и пароль для доступа страница. Таким образом, вы предоставляете авторизованным FB-обновлениям учетную запись, которая позволяет им получать доступ к FB, и если вы захотите, вы можете включить / отключить учетную запись, когда страница нуждается в обновлении.


0
2018-05-06 15:26





Я работал в частной школе, и мы решили эту проблему для свободно используя OpenDNS.com, Перейдите на сайт и зарегистрируйтесь для учетной записи. Вам нужно будет указать источник сеть или IP-адрес а затем настройте брандмауэр на DNS-серверы OpenDNS. Из интерфейса администратора вы можете блокировать определенные типытрафика, такого как интернет-прокси и конкретные сайты подобный facebook.

Мы создали правило межсетевого экрана для внутренней сети, которое мы позволил на эти сайты для пользователей наших DNS-серверов ISP.


0
2018-06-02 20:26