防火樯推荐&怎麼封鎖電腦的line跟網站

fiometh

85分

11樓

fiometh

個人積分：85分

文章編號：71049530

照你這樣看買行為管理的網路設備比較快

中華數位設備就行

http://www.softnext-inc.com/

fedora

12702分

12樓

fedora

個人積分：12702分

文章編號：71052562

不固定 port 號，不固定網址的，要用一種叫 l7-filter 的功能，去過濾封鎖

L7 是 IOS 網路模型 Level 7 軟體應用層的意思
filter 是過濾器

其原理是分析封包檔頭，正規表示法過濾比對是否含特定字串，比方 LINE 的封包檔頭會帶有一個特別的字串，以便 LINE 軟體可知道這封包是給它的。

各種聊天軟體，P2P 軟體，都是這樣子，即便內容加密，但封包檔頭資訊不會加密，因為封包檔頭若無法辨識，會被路由器丟棄。封包檔頭資訊只有幾KB，標明來源IP、目的IP、協定、PORT號，用途...等等，在網路上路由的必要資訊。

那具體該怎麼做呢？

l7-filter 是一個高階路由器的功能，或者一個軟體。

如果是軟路由，或直接拿作業系統當路由器，就是裝上那個軟體。

買現成的硬體路由器，則是找規格表有提及含 l7-filter 功能的，或網路上爬文確定那個功能真的有效。

舉例比方：Router OS 的機種。

它使用方法，就是路由器會列出一些它 l7-filter 過濾支援的軟體，使用者就打勾或填上。

另外最好是可以更新過濾資料庫的，因為各種軟體推陳出新，封包檔頭的特定字串有可能改變。路由器的 l7-filter 過濾資料庫若無法更新，會發生：舊版的軟體抓的到，新版的卻抓不到..這種情況。或者市面推出一款全新的聊天軟體，過濾資料庫中沒有資料，連選都沒法選，也會抓不到。

另外 l7-filter 有副作用，過濾封包檔頭字串是針對特定軟體沒錯，但卻會照成一些不相干的網站無法進入或讀取，因為那些網站的封包恰巧也帶有同樣的字串。不過機率非常低，有這種副作用的可能性，不一定會碰到。

****************************

要分析內部員工上了哪些網站

要架設 Transpent Proxy 透明代理快取服務器

就是 proxy 快取代理，架在路由端源頭，或使用路由導向，讓使用者沒得選擇，上網一定會經過這個快取代理。使用者不會知道他們上網是受到監視的，這一切發生在路由器源頭。

然後 proxy 伺服器就會有紀錄檔 log。
再用分析軟體，去分析那個紀錄檔，就可知道使用者都上了哪些網址。

如果要自架，這個知識量很大，很複雜，非幾天可以學會的。

可以買現成的路由器帶 Transpent Proxy 功能的，並提供可以紀錄 log 檔的。

要注意一點是：如果路由器要兼當 Transpent Proxy 伺服器功能，性能要買好一點的，就是 CPU快一點、RAM 大一點的。外接的儲存裝置（快取存放位置），推薦 SSD。不然處理速度太慢，上網會卡。

另外 Transpent Proxy 不是只有監視效果而已，它也可以起到加速上網、節省對外流量的效果，事實它本來就是快取用途，用來加速上網的，監視才是兼的可有可無。

handsome-god

57分

樓主

handsome-god

個人積分：57分

文章編號：71062181

fedora wrote:
不固定 port ...(恕刪)

大大有建議的機器嗎?

fedora

12702分

14樓

fedora

個人積分：12702分

文章編號：71070300

handsome-god wrote:
大大有建議的機器嗎...(恕刪)

我都自架軟路由的，現成的硬體路由器沒研究不清楚

MikroTik 牌的（Router OS）可以考慮，被譽為平民級Cisco，有思科設備的專業和性能，價格平民。

它的設定非常細，功能幾乎都有。但因為太專業，設定需要網路知識底子，不過這牌子很流行，網路上討論的人不少，教學容易找，也可以問人。

型號的話，看性能要到哪邊（CPU、RAM、網孔，規格），需要多大負載能力的，價錢不一樣。固件 OS 都是一樣的，Router OS 作業系統。

站內有一篇專門討論 MikroTik 的：
[研究所] MikroTik RouterOS 學習 (持續更新)
https://www.mobile01.com/topicdetail.php?f=110&t=3205444&p=1

Transpent Proxy 透明代理
可谷歌：mikrotik transparent proxy
有相關教學

***************************

封鎖 LINE 方面：

查了一下，目前 L7 Protocols（l7-filter）的特徵碼資料庫，沒有支援過濾 LINE 這個軟體。

可能歐美人不用 LINE 的關係，那過濾軟體是歐美那邊的人做的。所以官方資料庫中沒有 LINE 腳本。

使用者可以自行添加腳本，不過也找不到別人分享的。

山不轉路轉，有另一個方法：

只保留允許通過的 port，封鎖其餘的。

比如電腦上網，主要就是看網頁，那就 80、443。

Email 看用哪種的，web 的也是 443
POP3（TCP 110）、IMAP（TCP 143）、SMTP（TCP 25）
FTP（21 ?)
.....

諸如此類，只開放必要特定 port 連外，其餘全部 deny 丟棄

這樣就不用去管 LINE 走啥協定通道了，
反正就除了看網頁、Email、必要服務，其餘的全部封鎖了！

省事~
未來也不必再去封這封那的，早就全封了....

TCP 80 會有比較多的漏洞，但如果用了 Transpent Proxy 強制轉向透明代理，80 重新轉向給 3128/8080 之類的，上網的部份都會交給 proxy 處理，非 http 協定的都無效了。

當然手機的 APP 大部分也無法用了。

那領導階層，主任、總經理、董事長、老闆.....，肯定會問為何很多軟體都無法用。所以要設 VIP 例外。

IP 鎖網卡MAC（DHCP fix 派發固定IP），允許特定 IP 不受管制。防火牆規則寫在前面，來自這 IP 的封包，直接 Access 放行通過，後面規則不必再比對。

你自己電腦先不要放行，因為要測試防火牆有沒有效。有效了再去修改放行。還有遠端遙控用的不要誤鎖，伺服器、路由器啥的，誤鎖了就要去主機前面操作了或重置。