本文简介:一天忽然接到一个朋友的电话,问我是否有空,请我帮个小忙,跟随朋友到聚点后,了解到朋友的需求如下:公司网络可以任意访问外网,内部因下载猖獗,导致网络经常无法正常使用,而且因某次论坛泄密事故导致公司老板非常恼火,因此要对公司内部网络做一次大的调整, 具体需求如下,封杀BT,电驴等下载软件,禁止浏览任何外网,允许使用邮件, 允许访问特定网站,允许使用QQ、MSN、SKYPE等聊天软件,允许一些特权的计算
一天忽然接到一个朋友的电话,问我是否有空,请我帮个小忙,跟随朋友到聚点后,了解到朋友的需求如下:公司网络可以任意访问外网,内部因下载猖獗,导致网络经常无法正常使用,而且因某次论坛泄密事故导致公司老板非常恼火,因此要对公司内部网络做一次大的调整,
具体需求如下,封杀BT,电驴等下载软件,禁止浏览任何外网,允许使用邮件, 允许访问特定网站,允许使用QQ、MSN、SKYPE等聊天软件,允许一些特权的计算机任意访问外网,呵呵,不用说大家也知道,特权肯定是老板么,老板总是有特权(废话少说,继续)。公网使用一个IP地址做PAT转换,局域网内使用私有IP地址,使用DHCP服务为每个计算机分配IP地址,且根据每个计算机的MAC地址分配固定的IP地址,对于特权IP地址,采用MAC地址与IP地址进行绑定防治他人冒充使用,对于剩下的IP地址,全部绑定到一个不能让人猜到的MAC地址,看来这下老板真的急了。另外,为了方便日后管理,需要在路由器上启用PPTP服务,允许远程用户登陆。
对于以上要求,我们选用了CISCO公司的2811路由器,采取的配置如下:
一、DHCP服务
1.全局地址池
地址池名称:global
地址段:192.168.0.0 255.255.255.0
默认网关:192.168.0.1
DNS:202.106.0.20,202.106.116.1
地址租期:3天
ip dhcp pool global
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 202.106.0.20 202.106.116.1
lease 3
2.固定地址池
为每个员工建立一个DHCP 地址池,并根据员工姓名对地址池进行命名,根据MAC地址进行IP地址分配,如:
ip dhcp pool staffnameA
host 192.168.0.11 255.255.255.0
client-identifier 0108.0046.0ef8.ae
ip dhcp pool staffnameB
host 192.168.0.12 255.255.255.0
client-identifier 0100.115b.518c.a2
注意,在MAC地址前面多了个01,然后每4位用一个点分隔。
3.未分配的IP地址
地址段:192.168.0.60 到192.168.0.254
ip dhcp excluded-address 192.168.0.60 192.168.0.254
二、 设置IP地址与MAC地址绑定
绑定特权IP地址与MAC地址的关系,保证特权IP不被占用。
arp 192.168.0.2 0000.e897.444c ARPA
arp 192.168.0.3 0000. 00e8.9734 ARPA
…………
绑定其他IP地址与MAC地址的关系,保证IP不被盗用。
arp 192.168.0.9 ef00.abcd.4444 ARPA
…………
…………
arp 192.168.0.254 ef00.abcd.4444 ARPA
三、PAT转换
在外网接口上启用 ip nat outside,在内网接口上启用ip nat inside,全局使用语句“ip nat inside source list 100 interface FastEthernet0/0 overload”,根据访问控制列表100实现对内网地址的转换。
访问控制列表100的策略:
允许192.168.0.2、192.168.0.3、192.168.0.4、192.168.0.5、192.168.0.6、192.168.0.7、192.168.0.8七个特权地址任意访问公网。
允许其他地址访问MSN、QQ、MAIL、SKYPE、DNS、网站:60.28.30.73、61.135.150.104、61.135.150.98等。
允许任意用户使用PING命令。
四、PPTP配置
建立用户abc,bcd,允许使用PPTP功能。打开AAA服务,实现本地认证。
username abc password abc
username bcd password bcd
为VPN用户指定DNS
ip name-server 202.100.0.20
ip name-server 202.106.116.1
打开AAA服务
aaa new-model
aaa authentication login default local
aaa authentication ppp default local
aaa authorization network default local
配置PPTP服务
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
interface Virtual-Template1
ip unnumbered FastEthernet0/1
peer default ip address pool addpool
no keepalive
ppp encrypt mppe auto passive
ppp authentication ms-chap ms-chap-v2
五、访问控制列表
1.放开特权IP地址权限
access-list 100 permit ip host 192.168.0.2 any
access-list 100 permit ip host 192.168.0.3 any
access-list 100 permit ip host 192.168.0.4 any
access-list 100 permit ip host 192.168.0.5 any
access-list 100 permit ip host 192.168.0.6 any
access-list 100 permit ip host 192.168.0.7 any
access-list 100 permit ip host 192.168.0.8 any
2.允许其他用户使用的协议
access-list 100 permit tcp any any eq 135
access-list 100 permit udp any any eq domain
access-list 100 permit icmp any any
3.开放MSN
access-list 100 permit tcp any any eq 1863
access-list 100 permit tcp any any eq 3389
access-list 100 permit tcp any any eq 1503
access-list 100 permit tcp any any eq 6891
access-list 100 permit tcp any any eq 443
4.开放QQ
access-list 100 permit tcp any any range 6891 6900
access-list 100 permit tcp any any range 4000 4010
access-list 100 permit tcp any any range 8000 8010
5.开放MAIL
access-list 100 permit tcp any any eq smtp
access-list 100 permit tcp any any eq pop3
access-list 100 permit tcp any any eq 143
6.开放特定网站
access-list 100 permit tcp any host 60.28.30.73 eq www
access-list 100 permit tcp any host 61.135.150.104 eq www
access-list 100 permit tcp any host 61.135.150.98 eq www
7.开放SKYPE
因为全部用户需要使用SKYPE,而SKYPE软件使用UDP协议,且通信端口并不固定,故全部开放UDP端口。
access-list 100 permit udp any any
access-list 100 permit tcp any host 61.135.159.159 eq www
access-list 100 permit tcp any host 130.117.72.81 eq www
access-list 100 permit tcp any host 198.173.5.35 eq www
access-list 100 permit tcp any host 61.135.159.183 eq www
access-list 100 permit tcp any host 61.135.158.236 eq www
access-list 100 permit tcp any host 58.61.33.32 eq www
因网络需求较多,网络的管理模式较为死板,以后将给网络管理带来很多不变,如新进员工,或者客人到访时,首先需要选择IP地址,调整IP地址与MAC地址对应关系,较后调整DHCP服务。今后可以考虑对员工的桌面进行管理,将网络需求转化为软件需求,减少网络的负责程度。总之,网络需求越少管理越简单,网络需求越多,管理越麻烦。
有效管控员工电脑微信聊天的方法是什么
有效管控员工电脑微信聊天的方法有哪些
现在企业中,员工使用微信聊天工具日益普及,成为了日常工作和沟通的重要方式。然而,这个便捷工具也会为企业带来一些潜在的安全风险,例如信息泄露、商业机密泄露等。
有效管控员工在工作电脑上使用微信聊天的方法有几种。这些方法可以帮助企业管理者监控和控制员工在工作时间内使用微信的行为,以维护工作效率和保护公司数据的安全性。
一、制定明确的公司政策:
公司可以制定明确的政策,规定在工作电脑上使用微信的相关条款和条件。这些政策可以包括工作时间内是否允许使用微信、允许使用微信的目的(例如与客户沟通)、禁止分享公司机密信息等。
二、使用监控软件:
通过安装在员工电脑上的软件,可以实时监控员工微信聊天记录,包括聊天内容、聊天对象、聊天时间等信息。
比如安企神软件,是一款企业数据安全软件,它集成了上网监控、实时监控、视频监控、聊天监控、多屏幕监控、邮件监控、微博监控、论坛监控、文件复制拷贝监控、U盘管控、网址过滤、文件防泄密等多种功能于一身。
该软件可以帮助企业有效地监管员工电脑使用行为,规范员工上网行为,并且可以简捷而有效地帮助企业全方位地对员工电脑使用行为进行监控管理。支持管理者不论走到哪,支持员工电脑随意分布,即使分布在不同城市,管理者都可以随时随地监控,对员工的一切了如指掌。
三、网络过滤和阻止:
使用防火墙或网络过滤软件可以限制员工在工作电脑上访问微信网站或应用程序。通过配置网络设置,可以阻止或限制对微信网站或应用的访问,从而减少员工使用微信的可能性。
四、教育和培训:
提供员工培训,教育他们在工作时间内如何合理使用电脑和通讯工具。这种培训可以包括公司政策的讲解,强调保护公司数据的重要性,并提供使用工具的最佳实践建议。
五、实时监控与报告:
使用监控软件或系统,可以进行实时监控员工在工作电脑上的微信活动,并生成相关报告。这样的系统可以帮助管理者及时了解员工的行为,发现异常情况并采取相应措施。
此外,该软件还提供全面的技术支持,使企业可以快速、安全地管理其电脑桌面。它不仅具有强大的桌面管理功能,而且还提供了全面的技术支持,使企业可以快速、安全地管理其电脑桌面。
综上所述,该软件是一款全面的企业电脑桌面管理解决方案,适用于企业、学校和家庭等多种场景,可以有效提高企业的工作效率和数据安全性。
本文为收集整理,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。https://www.wgj7.com/cjwt/12078.html