最近同事提交《报告书》,经常抱怨网速慢了。 另外,领导人的意思也是“深有同感”。 这样,就必须解决问题。 否则,“领导生气”的时候,“后果肯定很严重”。
首先,Sniffer用嗅探器分析了通信量,然后得出“仔细检查后暗中访问”的结论。 ***最近有很多同事工作不出错,满不在乎地浏览部分播客网站在线看视频。 看的人多了,占用了大量的带宽,其他同事当然觉得网速慢了。 直接禁止流媒体服务就可以了,但考虑到阅读器可能需要使用在线视频等APP应用程序,这种方法必须停止。 *我想到了“屏蔽”所有国内主流播客网站的方法。 他们不能去播客网站,当然也不能在线看视频了。 说到做到,具体实施后,就会想起ACL (访问控制列表,访问控制列表),通过访问控制列表,可以简单地限制内部网的员工访问特定的网站
一.获取网站的IP地址
在访问控制列表中控制的***方法是直接控制IP地址,因此要限制对指定站点的访问,必须知道站点的IP地址。 获取站点IP地址的方法也很简单,直接Ping可以返回站点的IP地址(图1 )。
图1
但是,用Ping的方法得到的IP地址往往不是“可靠的”。 之所以不可靠,是因为目前很多大型门户网站都采用了聚类、网络负载均衡技术。 也就是说,整个站点不是由一台服务器组成的,而是由多台服务器、多个IP地址组成的,所以在站点稳定性和访问速度方面具有优势。 在这种情况下,显然阻止一个IP地址没有效果,因为Ping通常只能获取一个IP地址,而其他IP地址则是“细心的褶裙”。 因此,要限制员工访问某个站点,必须阻止该站点的所有IP地址。
通过进入“命令提示符”窗口并运行“nslookup网址”命令,可以获取网站的所有IP地址。 下图显示获取网络主机的所有IP地址(图2 )。
图2
二、建立访问控制列表
获取特定站点的IP地址后,可以创建访问控制列表。 在本例中,使用Access-list命令按顺序阻止通过Ping或Nslookup命令检测到的站点地址。
进入全局配置模式并运行“访问列表ACL编号deny tcp any host站点IP地址eq www”命令时,必须限制站点的IP地址以禁止所有用户访问。 如图3所示,重复执行直到所有IP地址被屏蔽。
图3
三.应用访问控制列表
创建访问控制列表后,可以在路由器上的相应端口上配置访问控制列表,进入接口配置模式,使用“IP访问组ACL号out”信念进行配置。
图4
四.总结
这里举了一个非常简单的例子,从文中可以看到,要限制员工访问某个站点,获取该站点服务器的完整IP地址列表很重要,如果站点服务器的IP地址发生了更改,则访问控制列表访问控制列表“阻止”站点服务器对IP地址的访问,从而达到了限制员工访问站点的目的。
实际上,在企业网络环境中,限制员工访问指定网站的方法有很多种,包括网络行为管理软件、ISA等。 在此希望作为参考,增加一个解决问题的想法。
【编辑推荐】
【责任编辑: bldzfjtel:(010 ) 68476606】
好耶0