无法防止内部非法的代理服务器,所谓非法,就是在可以上网的机器上装有代理软件,不可上网的用户通过此代理上网。非法代理实际上是很头痛的事情,这种封包没有任何特殊性,而且代理服务器的端口可以任意修改,用访问列表来控制几乎是不可能的,唯一的办法就是彻底断绝可上网与不可上网用户的通讯。
    下面我给出一种目前来说比较完善的局域网方案,基本可以控制住机器的上网,首先要使用了三层交换机,VLAN划分和ACL,同样也适用于其它目的的网络控制。
    其中VLAN1:192.168.1.0是可以上网的,VLAN2:192.168.2.0是不可以上网的,VLAN3:192.168.3.0是服务器。
        VLAN1VLAN2通过访问列表不禁止任何通讯;VLAN1VLAN2都可以和VLAN3通讯。
访问列表的设置:
条目
动作
源地址/掩码
目的地址
    1   禁止     192.168.1.0/255.255.255.0     192.168.2.0  
    2   禁止     192.168.2.0/255.255.255.0     192.168.1.0  
    将此列表应用在接口VLAN1VLAN2上,启用VLAN间路由。
        VLAN1VLAN2之间用户较小的文件传输可以通过局域网的Email服务器,较大的文件可以在服务器上建立FTP服务。
    这样,VLAN2的用户无论如何更改IP,也不能达到上网的目的,而且也不能通过VLAN1内的非法代理上网,并且通过VLAN3的服务器可以实现文件共享,可以说是一个较为理想的方案。
    最后我要说的还是,技术不是万能的,要依靠完善的管理手段才能发挥最大作用,建立完善的网络操作规范,合理的行政制度,并且严格执行(如果你放水,工作就越来越难开展,甚至丢掉工作都有可能),不但对网络管理人员是一个好消息,而且是一个合格网络管理人员的基本要求,对企业来说也是有利无弊的。