我是怎样管理公司上网行为的
　　单位外网的规模不大，几十台机器，除一OA办公及一进销存软件外，没有其它什么关键应用。说白了，只要别掉线、只要速度说的过去，就一切OK。光猫、路由器、交换机、电脑，结构相当的简单。在路由器上作些相关的设置，另外配合我用的网络岗软件，用员工的话说我的设置很BT，基本上都满足需要了。
　　说到进行上网限制，其实我最初并不想这么做，而且也不是我要想作的，大家明白是谁的主意。我们都是打工的，吃谁的饭跟谁干，很天经地义，只是不失原则就行。老板只问我能不能作到，我说能，你想怎么限制，怎么监控我都能，是要免费的还是要掏钱的，是要完全监控还是作作样子搞个摆设。。。。。。。老板说，那你能作成什么样就作成什么样吧。我说，那好吧，耗子还是怕猫的，药是可以治病的，关键还是在于管理，要是每个人都能老老实实的遵守规定，规规矩矩的上网，哪个网管愿意去做那么多限制，浪费多少脑细胞啊。也真是，公司就2M的光纤，总有那么些人下载电视啊、电影啊，上班偷着玩游戏，玩空间等，以前我睁着眼闭只眼，最多给他们警告说说，估计是有人反映到老板那去了，这不才叫我管制。
　　费话说了半天，赶紧说说具体的做法：
　　单位使用的是TPlink的一款企业宽带路由器，带端口镜像，可VPN，我的作法就是通过路由器与网路岗设置上网规则监控上网行为。外网客户通过VPN拨入内网，内网客户端自动获取地址，于是我首先作了个改动：
一、手工指定IP&&&
先是手工登记了全部客户端的MAC地址，并根据部门划分了IP地址段，预留一段IP以防部门加人。而且电脑配置里明确登记这些，使用者与IP对应，主要是方便我对号入座。（PS：如果你电脑多，手工指定麻烦，也可以采用DHCP设置静态地址分配的方法）
公司原来的DHCP自动可以让外来客户也能上网，非常不安全，于是申请了一条宽带又加了个无线路由，客户来必须问我要密码才能上网。
　　二、设置IP地址过滤和MAC地址过滤　　只允许登记的分配里的那些IP访问网络,防止客户端私自指定其它IP上网，逃避追查。
　　只允许所有登记的MAC访问网络，防止客户端私接其它电脑、或者更换网卡、甚至修改本机MAC，逃避追查。
　　三、进行IP与MAC绑定　　将路由器的ARP表设置成静态，防止ARP欺骗，客户机的正确MAC信息不会被篡改。将IP与MAC的对应关系固定下来，这样还能防止客户端盗用别人的IP上网。
　　一台客户机的MAC地址在允许访问的列表内，他手工指定了一个原本给别人预留的IP，此IP也在允许访问的IP列表内。但是他还是上不了网，IP与MAC的对应关系不对，路由器会认为他在进行ARP欺骗，阻止他的数据，同时将信息记入日志。
　　四、在客户机上绑定路由器的IP和MAC信息　　目的是防止客户机受到ARP欺骗，网关的正确MAC信息不会被篡改。方法是建立一个批处理文件：
　　arp -d
　　arp -s 网关IP　网关MAC
　　将此文件设置成开机自动运行。
　　完成以上工作，ARP病毒就不怕了，其实针对ARP病毒最可靠的方法就是我这个双绑的方法。不信的人可以去试试。
五、屏蔽一些不能上的网站，该开的端口开，不开的就不开&&&
直接开启路由防火墙，把一些不需要公司上的网站全罗列在里面，比如各种视频网站、QQ空间、开心网等，而且对于一些直接封外网IP段（这个要小心些，有次我就封后，导致10086的手机邮箱进不来了，后来叫电信帮查才知道是我路由封了它们的一个IP），如此保持上网上的也是正规网站。
　　对于端口设置此法的指导思想有两种：1、全世界都是好人，只需要限制个别的坏人；2、全世界都是坏人，只排除个别的好人。这里是把端口比作了好人和坏人。p2p的端口太多了，有些还是随机的，而且我们也不可能了解所有的p2p软件。只好采用第二种思想，所有的端口都是坏人，我只允许个别的好人访问，比如打开53、80、443等，开放工作中要用的门，其它门先关闭，要用的时候再打开。
　　经过这样设置现在的情况是，常用的业务能够正常使用，不在端口列表里的软件不能访问网络。软件不能用同事就会来找我，这时候我检查这个软件是不是p2p的，会不会影响网络，如果没问题给他加上这个端口就OK了。这样将原本被动的工作变成主动了，不用再跑来跑去劝说他们别用这个别用那个，现在他们想用只能主动过来找我。我们干网管的也不能太累了，多动动脑子，形势就大不一样了！
以上是对路由器作的设置。下面是针对网路岗作的设置，简单说一下：
网路岗我用的破解版8.0（关于功能自己去网上看看，不多说。嘿嘿，支持正版，不要学我啊，正版功能还更完善），通过路由的端口镜像安装在我的办公电脑上，实现随时监控并记录，老板想看也好随时调出。
一、每台电脑安装网络岗的上网评价&&&
这个功能实际上就是让员工知道他们的一举一动在我这里有监控，给他们打预防针，具体还是要设置规则，过滤一些网站，跟在路由里设置域名过滤一样，阻断一些股票软件、色情、游戏软件网等。能让员工即时了解自身的上网行为是否符合公司上网规范，在及时提醒员工的同时，也能更让员工自觉遵守上网规范。
二、针对IP的QOS作限制&&&
针对IP的QoS，限制单个IP的带宽和连接数。这个我路由器上也可以，只是没这样作，我是用的网路岗通过规则进行限制，也就是说只要不法分子犯罪，规则自动执行，让他自己找我。当然了每台电脑作了监控也都是设有规则的，你把规则指定到部门电脑或单个电脑即可。
三、设置QQ、MSN、飞信聊天软件过滤，并对账号控制&&&
软件过滤其实跟在路由器里封端口类似，只是这个更简单，是有针对性的，只是聊天软件。
公司明确规定不能上私Q，对于有业务的人必须Q的都在软件里进行了指定。这样私Q登陆就很难，而且我这里会监控得到，当然他们的聊天记录无一例外，这个狠啊，相当于在窥探别人隐私。不过，这个老板给了特权，我这个人也很正派，都是聊工作的，也防止了他们用Q泄密文件。而上私Q的人还敢上吗？
四、设置电脑屏幕与桌面监控，控制U盘&&&
这个是要对各个电脑进行客户端安装的，一般我没用。也是跟装上网评价一样，给大家一个预防针，让大家自觉。
五、实时监控流量，查看上网内容&&&
网路岗的这个功能也是不错的，现场观察可随时查看当前时间哪些人上了什么网作了什么事，然后这些都会记录下来。后面可以根据日期随时查看上网记录等。
　　以上就是我对公司上网行为作的一些设置，用员工的话说我很BT，但实际上只要大家自觉没什么的，我这个人还是很通情达理的。以前老板要看，我也会筛选一下。这两年来，公司员工关系相处也算和谐。其实，更多的是要学会作人。谁知道这篇文章会不会有同事或老板看到，所以我还是不说了。
本文属原创，转载请注明出处！更多请访问
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。企业如何控制员工上网--企业管理|东商网新闻中心
网商宝营销通
您的位置：
企业如何控制员工上网
企业如何控制员工上网
　　如今，随着信息技术的发展和企业信息化的不断开展，企事业单位逐步进入了一个网络办公时代。在这种时代下，员工上网已经成为一种必要条件。但是由于互联网的开放性和娱乐性特征，使得企业网络既可以成为员工工作的工具，又可以成为员工娱乐的便利。如今在企业局域网中QQ、MSN、P2P下载等不规范的上网行为司空见惯。这些不合理的上网行为一方面可能会带来工作效率的低下，甚至由于像&艳照门&事件一样带来法律的风险;另一方面，员工的不合理上网行为也极大地挤占了员工的工作时间、降低了工作效率。
　　这里，有几项调查数据，值得我们关注：
　　1、企业中员工每周上班花在网上处理私人事务的时间高达5.6小时，平均每天超过1小时，这些行为尤其以员工上班炒股、上班玩网游、上班看视频为主。
　　2、中国白领比其它地区的白领每周多花7.6小时的时间来使用IM、玩游戏、进行P2P下载。尤其是员工上班聊QQ、局域网玩QQ游戏、使用迅雷下载等现象为主。
　　3、有83%的企业员工由于在办公时间内浏览与工作无关的网站，使企业有更多机会遭受到仿冒诈骗、间谍软件和其它网上攻击的威胁;
　　4、网络视频下载链接导致大量有病毒或木马的程序进入企业网络，威胁到企业网络安全;
　　5、即时通讯的攻击数量出现了大幅度增长。在过去的一年中，这类攻击的增长幅度高达1500%;
　　就目前来说，关于员工上网行为，我们可以归为几大问题，带宽挤占问题、影响工作效率问题、信息泄漏，以及法律追究问题。当前，而这在四大问题中，又以带宽挤占、影响工作效率的矛盾最突出。
　　为此，企业网管员必须加强单位局域网上网控制、管理员工上网情况。而有效监控员工上网就必须依靠专门的局域网上网管理工具。盛世光明的网路神警上网行为管理系统有效监控局域网P2P下载、监控局域网炒股、禁止局域网玩游戏、限制局域网电脑网速、监控上网流量等。同时还可以有效防局域网ARP攻击，可以绑定IP禁止员工随意更改IP，这样就能方便查找流量大的电脑，还有上网行为监控功能，可以记录员工的上网行为，这样对网管的工作有很大的便利。从而可以帮助企事业单位实现从上网行为管理到网络安全控制全方位的局域网电脑监控、计算机上网控制。
　　从这里我们可以看出，要实现对员工的上网规范管理、保护企业网络安全，光靠一纸规章制度是不够的，需要企业购置必要的网络安全硬件设备，在有专业的网络管理人才，才能够切实做好员工的上网行为管理，保障企业网络安全、通畅。
本文链接：
免责声明：本文仅代表作者个人观点，与东商网无关。
本文为网上搜集网络转载，如果涉及著作人的权益或涉及版权等问题，请跟我们联络我们可以支付稿费或者删除处理。
热门资讯排行
优质供应商推荐
主营：主营：主营：主营：主营：主营：查看: 5869|回复: 25
请教一个问题，公司里如何禁止员工私自接无线路由来上网?
在线时间 小时
阅读权限80
请教一个问题，公司里如何禁止员工私自接无线路由来上网?哪位大神知道请指点一下，是在交换机上配acl还是做其他什么配置?
在线时间 小时
阅读权限30
port-securety&&绑主机的mac
我能想到的只有这个...
在线时间 小时
阅读权限50
ACL在路由器上做，仅允许一个IP地址上网。
在线时间 小时
阅读权限70
port-securety&&绑主机的mac
在线时间 小时
阅读权限50
做端口安全，最大白名单人多为1.
在线时间 小时
阅读权限70
端口安全只限于对交换机。目前为止没有可以防住路由器的。。。。。要么你可以弄个上网行为管理。
在线时间 小时
阅读权限80
在线时间 小时
阅读权限70
网络准入& &上网行为管理
在线时间 小时
阅读权限30
<font color="#ppp 发表于
port-securety&&绑主机的mac
我能想到的只有这个...
啊&&貌似不行...
在线时间 小时
阅读权限40
port-securety貌似不行，现在的路由器一般都会有复制mac功能的了。。8楼的应该可以
在线时间 小时
阅读权限80
补充一下，公司的交换机是cisco3560，可否通过绑定主机的ip和mac地址来禁止无线路由不?
在线时间 小时
阅读权限20
{:soso_e136:}
在线时间 小时
阅读权限30
在线时间 小时
阅读权限30
这么高档的交换机啊？我只懂WEB界面的，这个一般在路由器上做吧，主机、IP、MAC地址绑定，不过这样有些麻烦；还可以分组管理IP；还有就是IP地址全部手动配置，禁止主机自动获取IP；做单个IP限速，一个IP只有那么多带宽，看他接好多路由器，反正带宽只有那么多，他接的越多网速越慢。希望对你有用
在线时间 小时
头像被屏蔽
提示: 作者被禁止或删除 内容自动屏蔽
Powered by}