台灣
RSS
Outpost 個人防火牆 - 辦公室防衛實戰 (1)
辦公室防衛實戰
攔截非法存取網絡資源
對於中小型企業,保障網絡安全同樣重要,只是購買硬件防火牆未免過於昂貴,還需要聘請專業的系統管理員來維護,難免使資訊安全成本大幅飆升。其實,軟件防 火牆系統一樣能做到同樣效果,而且管理與維護上也相當簡便,即使沒有專業知識也能輕鬆處理,而且成本更是實惠經濟。以下我們將介紹 2 種常用的 Outpost Firewall 辦公室防火牆應用實例。
禁止存取非指定網站
不論是中小企業,還是大型企業,為避免員工在辦公室瀏覽與工作無關的網站,不單浪費公司資源與降低生產力,亦有可能把公司的重要機密洩露,因此多會一定程 度上限制員工對外界網絡接觸。大型企業或會使用昂貴的防火牆器材或設立 Proxy Server 來達成,但對於中小企來說未免成本太高,其實透過各 Client PC 上安裝 Outpost Firewall 亦可輕易做到以上效果,在這裡讓我們做一個簡單的示範:
Step 1
假設我們只允許員工進入本公司網頁與幾個客戶的網站,那麼就先要擁有這個網址清單,以下以一簡化版清單為例子。
| 允許瀏覽網址清單 | |
| 本公司網址 | http://www.version-2.com/ |
| 客戶網址 | http://www.outpost.com.hk/ |
| http://www.nod32.com/ | |
| http://www.ca.com/ | |
Step 2
擁有了這個清單後,可以開啟 Outpost Firewall,在 Contect 項目下選擇 Properties。
Step 3
選擇 Block by URL 頁面,這裡我們可以輸入想要限制該 Client PC 使用者存取特定的網址位置。如果是像本例中需要限制全部網站的存取,並只開啟特定幾個網站的存取權,請在這裡輸入「.」,然後按 Add 鍵新增。
Step 4
進入 Miscellaneous 頁面,在這裡選擇 Message 項目下的 Edit 鍵。
在這裡可以輸入指定訊息,當該使用者瀏覽不必要的網站時將受到阻止,並在瀏覽器上顯示出該通知訊息。
Step 5
這樣,所有網頁都不能存取,在網頁瀏覽器上更會顯示出限制存取的訊息。
Step 6
那麼我們又怎樣開放對特定網站的存取權呢?請進入 Miscellaneous 頁面選擇 Trusted Sites 項目下的 Edit List 功能,將允許存取的網站位置逐一輸入,並按 Add 鍵新增,完整建立指定清單,這樣清單內的網址就能如常進入。
只限制存取不雅站點
如果公司希望給予員工較大的自由度,可以考慮以關鍵字方式限制員工進入某些站點,而非完全阻隔網頁的存取,在企業內部實施將面對較少的阻力。方法很簡單, 只要選擇 Block by Keywords 頁面,並確定已選取「Block web pages containing specific keywords」方格,然後在下方輸入指定關鍵字,例如「Sex」、「Porn」等,就能攔截所有包含以上關鍵字的站點存取。 注意,關鍵字限制是包括內含以上關鍵字的字串在內,例如「Sexuality」、「Homosexual」等均在限制之內。
Step 1
有關限制之關鍵字可自由輸入。
Step 2
在搜尋引擎中輸入限制關鍵字,將出現警告訊息並無法存取,網址與網頁內容包含以上字眼亦不能進入。
快速複製網絡限制設定
Outpost Firewall 在網站限制上的設定非常方便,但如果同時需要為幾台、甚至幾十台 Client PC 設定相同的限制設定,是否很費時呢?絕對不會!因為 Outpost Firewall 設有「匯入」與「匯出」功能,只在首台電腦上設定好所有限制,然後在 Contect Proterties 中選擇 Export/ Import 頁面,便可以利用「Export」功能將設定檔匯出,並複製到其他電腦上利用「Import」功能一口氣匯入,既快速又實用。
限制員工於非辦公時間上網
對於資訊安全比較敏感的行業,例如金融機構、律師行與會計公司等,為保障客戶的資料免被盜取,對網絡存取的限制自然會比較重視。尤其是在缺乏監管的非辦公 時間則為危險,因此限制各 PC 存取互聯網的允許時間便十分重要,在 Outpost Firewall 中亦可輕易達成,只要建立一條小小的規則就能輕鬆處理。
怎樣做到限制上網時間?
方法很簡單,只要設定 PC 在非工作時間,包括一至五的放工後與週日,封鎖網絡所有的 TCP 與 UDP Packet,便能做到定時無法上網的效果。
Step 1
開啟 Outpost Firewall,然後進入「Options / Systems」選項。
Step 2
在 Global rules and rawsocket access 項目下選擇 Rules,這裡可以設定整體性的網絡資源存取規則,是常用的設定項目。
Step 3
這裡原本已有 14 條基本整體性原則,我們需要為本機設立多一條原則,以便限制在非辦公時間存取互聯網,請選擇 Add 鍵新增原則內容。
Step 4
先在上方事件清單中選擇「Where the specified protocol is」項目,下方 Rule Description 方格中便會出現該事件,而事件中有「Undefined」項目尚未填入,只要點按它便能選擇細項,這裡選「TCP」。
Step 5
接下來設定限制的時間,在事件清單中向下拉找到「Where the specified time interval is」,然後把工作日的下午6時至零晨11時59分、工作日的零晨0時至8時59分、與週日2天,都加入至限制時間清單中。
Step 6
設定好觸發的事件後,我們可以設定對應的動作,選擇「Block it」及「Mark rule as High Priority」,這樣就設定好限制非作時間的 TCP 網絡通訊。
Step 7
利用同樣的步驟,把 UDP 網絡通訊也限制 (重複步驟1至6,只是選擇「UDP」而非「TCP」,這樣在非工作時間下便無法進行任何網絡活動。
一旦到達放工時間,所有連接互聯網的活動都會被攔截。
Internet Explorer 無法瀏覽網頁。
MSN Messenger 亦無法登入。
| Tips |
| 簡單明瞭的原則撰寫模式 為方便絕大部分未學過程式編寫的用戶,Outpost Firewall 在撰寫原則時是採用可選擇性的「事件 + 動作」模式進行,用戶只要在預設的清單中,選擇發生事件與對應的動作,毋須任何編程技巧即可寫出合用的原則,大大方便了日常管理的需要。 |
