【IT168 专稿】对于学校、企业这种事业单位来说什么网是目前最流行的呢?恐怕不少读者都会在第一时间想到“开心网”的存在,很多员工在平时不忙时都会通过“开心网”抢车位,买卖奴隶,更有甚者天天盯着自己的菜园和宠物避免被他人偷走。从某种意义上讲“开心网”对企业运营有着非常大的影响,轻者造成员工工作效率低下,重者多个员工之间因为游戏造成矛盾。这不一个小小的“开心网”闹得大领导非常“不开心”,发话让我在三天之内将“开心网”彻底屏蔽,让员工能够更塌实更高效的回到工作岗位上。
一,初战URL过滤让“开心网”无法显示:
笔者单位使用的是H3C公司的U200-CA,这是一款非常不错的UTM安全网关产品,该产品内置了防病毒,防范IPS入侵攻击,防垃圾邮件等安全功能。当然这也是大部分UTM安全网关所具备的。
笔者决定通过该款UTM产品对“开心网”下手,首先采用的是URL过滤封堵法,利用UTM产品自带的URL过滤功能对“开心网”进行过滤,具体操作如下。
第一步:进入U200-CA UTM设备的管理界面,然后选择“策略管理”->“深度安全策略”,之后点“应用安全策略”链接进入到UTM模式下。(如图1)
第二步:在UTM界面下通过“URL过滤”->“规则管理”查看当前规则。(如图2)
第三步:点击“新建”规则,然后对URL过滤策略进行设置,输入过滤名称,然后是“域名过滤”方式,这里我们可以选择“固定字符串”或“正则表达式”两种形式。前者就是所谓的严格匹配,后者则是支持“*”通配符。笔者输入“www.kaixin”,接下来将“使能状态”设置为“使能”保证该条目生效。同时在“动作集”处设置该条目生效在“所有时间”,同时发现URL访问时进行阻断。确定完毕后我们的内网用户将不能够访问“www.kaixin”字眼的URL地址了。(如图3)
经过笔者设置最终内网用户在输入www.kaixin.com时会出现该页无法显示的提示,成功的阻止了用户对“开心网”的访问。
二,再战URL过滤让“开心网”相关站点无法显示:
然而好景不长,笔者刚刚添加了www.kaixin.com的URL过滤策略阻止了内网用户对该网络的访问就发现很多用户开始放弃www.kaixin.com转而投向了www.kaixin001.com这个“开心网”的怀抱,依然疯狂的偷菜,疯狂的停车。于是笔者决定再战URL过滤让“开心网”相关站点无法显示。
再次来到“URL过滤”->“规则管理”处添加新的规则,这次笔者决定使用“正则表达式”的方式来对内网用户进行限制,在域名过滤处设置“正则表达式”,然后输入过滤信息为“.*kaixin*.*”,这样就能够封锁掉所有在域名中出现“kaixin”字眼的URL访问了。说白了“正则表达式”方便我们更模糊的进行URL匹配,而前面提到的“固定字符串”设置的是严格匹配原则。其他操作类似上面介绍的,重新设置后内网又安静了,用户对www.kaixin001.com站点的访问也被成功过滤掉。(如图4)
小提示:
不管我们添加的是“正则表达式”还是“固定字符串”,在设置完毕后都要重新返回到URL过滤的策略管理与规则管理处将这些条目激活,否则设置将无法生效。(如图5)
经过过滤设置后我们会看到在UTM管理界面中出现的URL过滤阻断条目,从图中我们可以看到被URL过滤掉的条目有452个,这些都是被过滤掉的内网用户对“开心网”的访问请求。(如图6)
通过正则表达式过滤“开心网”后世界一下子清净了,领导也真正的开心了,员工们则可以踏踏实实的工作。
三,用IP过滤将“开心网”彻底屏蔽:
“开心网”被过滤后员工塌实工作了一段时间,然而奇怪的是笔者又听到了一些“声音”,员工之间还是因为“开心网”闹了矛盾。原来有几个员工不知道采取什么方式突破了笔者在UTM上的URL过滤封锁,他们在上班时间继续大张旗鼓的偷别人的菜,贴别人的车。
经过调查笔者发现这些员工没有使用诸如www.kaixin001.com的URL地址进行访问,而是通过IP地址,看来UTM对URL的过滤只是基于域名的。如果用户知道网站的IP地址直接访问的话,过滤功能将不起任何效果。
笔者在本机进行了测试,通过nslookup www.kaixin001.com进行查询,结果发现DNS顺利解析出了IP地址。(如图7)
使用笔者经过dns解析出来的IP地址访问开心网将不会出现任何问题,所有页面顺利浏览。(如图8)
那么我们该如何针对IP地址进行过滤呢?唯一的办法就是通过访问控制列表ACL来实现了,不过这需要用户及时更新开心网的最新IP地址信息,毕竟他的IP地址可能会有所变动。在UTM设备上针对IP地址进行过滤具体步骤如下。
第一步:进入UTM管理界面然后选择“策略管理”->“ACL”,然后“新建”一个规则,这里会让我们选择ACL类别,由于我们是针对某IP做限制,所以选择基本型或高级型访问控制列表都是可以的。笔者选择“基本型”。(如图9)
第二步:接下来设置“访问控制列表ID”信息,只要不与之前设置的列表数重复即可,确定后该策略生成。(如图10)
第三步:默认情况下访问控制列表是空的,我们需要为其添加规则。点“新建”按钮添加过滤条目。(如图11)
第四步:我们设置“规则ID”信息,同时将操作选择为“禁止”,针对IP地址过滤的目的IP地址进行添加,这个目的IP地址就是我们通过nslookup解析出来的IP地址,由于“开心网”地址不是连续的,所以我们需要为每个解析出来的IP地址单独设置过滤条目。协议处选择IP将阻止所有TCP/IP协议。确定后该条目生效。(如图12)
第五步:我们依次添加过滤条目,直到所有与开心网有关的IP地址都被过滤。最后添加默认ACL规则容许所有IP通过。设置完毕后保存即可。这样该ACL访问控制列表将只针对与开心网有关的IP地址进行过滤,而不会对其他协议其他IP的数据包进行丢弃。(如图13)
四,总结:
通过IP地址过滤法我们彻底解决了内网用户访问“开心网”的目的,不过当“开心网”IP地址变换时我们还需要再次添加更新后的过滤条目,因此这个过滤是动态的不是一成不变的,需要网络管理员随时关注IP地址的变化。不过就笔者个人经验来说任何技术上的限制手段都远远没有行政规章制度有效,即使我们封锁了IP地址,封锁了URL地址,用户通过代理服务器,URL转向等方法依然可以突破上述限制。所以说技术永远是双刃剑,在你用他解决问题的同时,问题的发生也可能由技术造成。只有企业内部推出严格且与奖金效益挂钩的规章制度才能够起到“治本”的作用。