谈谈我是怎样管理公司上网行为的

  本文转自中国网管论坛:http://bbs.bitscn.com/377361

     好久没上中国网管论坛了，主要是我改行了，原来是搞网络技术，现在是搞网络营销，但脱离不了网络二字，今天手痒，写下此文，好与不好，各位大侠勿喷，欢迎共同交流！
　　单位外网的规模不大，几十台机器，除一OA办公及一进销存软件外，没有其它什么关键应用。说白了，只要别掉线、只要速度说的过去，就一切OK。光猫、路由器、交换机、电脑，结构相当的简单。在路由器上作些相关的设置，另外配合我用的网络岗软件，用员工的话说我的设置很BT，基本上都满足需要了。
　　说到进行上网限制，其实我最初并不想这么做，而且也不是我要想作的，大家明白是谁的主意。我们都是打工的，吃谁的饭跟谁干，很天经地义，只是不失原则就行。老板只问我能不能作到，我说能，你想怎么限制，怎么监控我都能，是要免费的还是要掏钱的，是要完全监控还是作作样子搞个摆设。。。。。。。老板说，那你能作成什么样就作成什么样吧。我说，那好吧，耗子还是怕猫的，药是可以治病的，关键还是在于管理，要是每个人都能老老实实的遵守规定，规规矩矩的上网，哪个网管愿意去做那么多限制，浪费多少脑细胞啊。也真是，公司就2M的光纤，总有那么些人下载电视啊、电影啊，上班偷着玩游戏，玩空间等，以前我睁着眼闭只眼，最多给他们警告说说，估计是有人反映到老板那去了，这不才叫我管制。
　　费话说了半天，赶紧说说具体的做法：
　　单位使用的是TPlink的一款企业宽带路由器，带端口镜像，可VPN，我的作法就是通过路由器与网路岗设置上网规则监控上网行为。外网客户通过VPN拨入内网，内网客户端自动获取地址，于是我首先作了个改动：
    一、手工指定IP
    先是手工登记了全部客户端的MAC地址，并根据部门划分了IP地址段，预留一段IP以防部门加人。而且电脑配置里明确登记这些，使用者与IP对应，主要是方便我对号入座。（PS：如果你电脑多，手工指定麻烦，也可以采用DHCP设置静态地址分配的方法）
    公司原来的DHCP自动可以让外来客户也能上网，非常不安全，于是申请了一条宽带又加了个无线路由，客户来必须问我要密码才能上网。
　二、设置IP地址过滤和MAC地址过滤
　　只允许登记的分配里的那些IP访问网络,防止客户端私自指定其它IP上网，逃避追查。
　　只允许所有登记的MAC访问网络，防止客户端私接其它电脑、或者更换网卡、甚至修改本机MAC，逃避追查。
　三、进行IP与MAC绑定
　　将路由器的ARP表设置成静态，防止ARP欺骗，客户机的正确MAC信息不会被篡改。将IP与MAC的对应关系固定下来，这样还能防止客户端盗用别人的IP上网。
　　一台客户机的MAC地址在允许访问的列表内，他手工指定了一个原本给别人预留的IP，此IP也在允许访问的IP列表内。但是他还是上不了网，IP与MAC的对应关系不对，路由器会认为他在进行ARP欺骗，阻止他的数据，同时将信息记入日志。
　四、在客户机上绑定路由器的IP和MAC信息
　　目的是防止客户机受到ARP欺骗，网关的正确MAC信息不会被篡改。方法是建立一个批处理文件：
　　arp -d
　　arp -s 网关IP　网关MAC
　　将此文件设置成开机自动运行。
　　完成以上工作，ARP病毒就不怕了，其实针对ARP病毒最可靠的方法就是我这个双绑的方法。不信的人可以去试试。
    五、屏蔽一些不能上的网站，该开的端口开，不开的就不开
    直接开启路由防火墙，把一些不需要公司上的网站全罗列在里面，比如各种视频网站、QQ空间、开心网等，而且对于一些直接封外网IP段（这个要小心些，有次我就封后，导致10086的手机邮箱进不来了，后来叫电信帮查才知道是我路由封了它们的一个IP），如此保持上网上的也是正规网站。
　　对于端口设置此法的指导思想有两种：1、全世界都是好人，只需要限制个别的坏人；2、全世界都是坏人，只排除个别的好人。这里是把端口比作了好人和坏人。p2p的端口太多了，有些还是随机的，而且我们也不可能了解所有的p2p软件。只好采用第二种思想，所有的端口都是坏人，我只允许个别的好人访问，比如打开53、80、443等，开放工作中要用的门，其它门先关闭，要用的时候再打开。
　　经过这样设置现在的情况是，常用的业务能够正常使用，不在端口列表里的软件不能访问网络。软件不能用同事就会来找我，这时候我检查这个软件是不是p2p的，会不会影响网络，如果没问题给他加上这个端口就OK了。这样将原本被动的工作变成主动了，不用再跑来跑去劝说他们别用这个别用那个，现在他们想用只能主动过来找我。我们干网管的也不能太累了，多动动脑子，形势就大不一样了！
    以上是对路由器作的设置。下面是针对网路岗作的设置，简单说一下：
    网路岗我用的破解版8.0（关于功能自己去网上看看，不多说。嘿嘿，支持正版，不要学我啊，正版功能还更完善），通过路由的端口镜像安装在我的办公电脑上，实现随时监控并记录，老板想看也好随时调出。
    1、每台电脑安装网络岗的上网评价
    这个功能实际上就是让员工知道他们的一举一动在我这里有监控，给他们打预防针，具体还是要设置规则，过滤一些网站，跟在路由里设置域名过滤一样，阻断一些股票软件、游戏软件网等。能让员工即时了解自身的上网行为是否符合公司上网规范，在及时提醒员工的同时，也能更让员工自觉遵守上网规范。
    2、针对IP的QOS作限制
    针对IP的QoS，限制单个IP的带宽和连接数。这个我路由器上也可以，只是没这样作，我是用的网路岗通过规则进行限制，也就是说只要不法分子犯罪，规则自动执行，让他自己找我。当然了每台电脑作了监控也都是设有规则的，你把规则指定到部门电脑或单个电脑即可。
   3、设置QQ、MSN、飞信聊天软件过滤，并对账号控制
    软件过滤其实跟在路由器里封端口类似，只是这个更简单，是有针对性的，只是聊天软件。
    公司明确规定不能上私Q，对于有业务的人必须Q的都在软件里进行了指定。这样私Q登陆就很难，而且我这里会监控得到，当然他们的聊天记录无一例外，这个狠啊，相当于在窥探别人隐私。不过，这个老板给了特权，我这个人也很正派，都是聊工作的，也防止了他们用Q泄密文件。而上私Q的人还敢上吗？
   4、设置电脑屏幕与桌面监控，控制U盘
    这个是要对各个电脑进行客户端安装的，一般我没用。也是跟装上网评价一样，给大家一个预防针，让大家自觉。
    5、实时监控流量，查看上网内容
    网路岗的这个功能也是不错的，现场观察可随时查看当前时间哪些人上了什么网作了什么事，然后这些都会记录下来。后面可以根据日期随时查看上网记录等。
　　以上就是我对公司上网行为作的一些设置，用员工的话说我很BT，但实际上只要大家自觉没什么的，我这个人还是很通情达理的。以前老板要看，我也会筛选一下。这两年来，公司员工关系相处也算和谐。其实，更多的是要学会作人。谁知道这篇文章会不会有同事或老板看到，所以我还是不说了。