對于學校、企業這種事業單位來說什么網是目前最流行的呢?恐怕不少讀者都會在第一時間想到“開心網”的存在，很多員工在平時不忙時都會通過“開心網”搶車位，買賣奴隸，更有甚者天天盯著自己的菜園和寵物避免被他人偷走。從某種意義上講“開心網”對企業運營有著非常大的影響，輕者造成員工工作效率低下，重者多個員工之間因為游戲造成矛盾。這不一個小小的“開心網”鬧得大領導非常“不開心”，發話讓我在三天之內將“開心網”徹底屏蔽，讓員工能夠更塌實更高效的回到工作崗位上。

一，初戰URL過濾讓“開心網”無法顯示

筆者單位使用的是H3C公司的U200-CA，這是一款非常不錯的UTM安全網關產品，該產品內置了防病毒，防范IPS入侵攻擊，防垃圾郵件等安全功能。當然這也是大部分UTM安全網關所具備的。

筆者決定通過該款UTM產品對“開心網”下手，首先采用的是URL過濾封堵法，利用UTM產品自帶的URL過濾功能對“開心網”進行過濾，具體操作如下。

第一步：進入U200-CA UTM設備的管理界面，然后選擇“策略管理”->“深度安全策略”，之后點“應用安全策略”鏈接進入到UTM模式下。(如圖1)

圖1

第二步：在UTM界面下通過“URL過濾”->“規則管理”查看當前規則。(如圖2)

圖2

第三步：點擊“新建”規則，然后對URL過濾策略進行設置，輸入過濾名稱，然后是“域名過濾”方式，這里我們可以選擇“固定字符串”或“正則表達式”兩種形式。前者就是所謂的嚴格匹配，后者則是支持“*”通配符。筆者輸入“www.kaixin”，接下來將“使能狀態”設置為“使能”保證該條目生效。同時在“動作集”處設置該條目生效在“所有時間”，同時發現URL訪問時進行阻斷。確定完畢后我們的內網用戶將不能夠訪問“www.kaixin”字眼的URL地址了。(如圖3)

圖3

經過筆者設置最終內網用戶在輸入www.kaixin.com時會出現該頁無法顯示的提示，成功的阻止了用戶對“開心網”的訪問。

#p#

二，再戰URL過濾讓“開心網”相關站點無法顯示

然而好景不長，筆者剛剛添加了www.kaixin.com的URL過濾策略阻止了內網用戶對該網絡的訪問就發現很多用戶開始放棄www.kaixin.com轉而投向了www.kaixin001.com這個“開心網”的懷抱，依然瘋狂的偷菜，瘋狂的停車。于是筆者決定再戰URL過濾讓“開心網”相關站點無法顯示。

再次來到“URL過濾”->“規則管理”處添加新的規則，這次筆者決定使用“正則表達式”的方式來對內網用戶進行限制，在域名過濾處設置“正則表達式”，然后輸入過濾信息為“.*kaixin*.*”，這樣就能夠封鎖掉所有在域名中出現“kaixin”字眼的URL訪問了。說白了“正則表達式”方便我們更模糊的進行URL匹配，而前面提到的“固定字符串”設置的是嚴格匹配原則。其他操作類似上面介紹的，重新設置后內網又安靜了，用戶對www.kaixin001.com站點的訪問也被成功過濾掉。(如圖4)

圖4

小提示：

不管我們添加的是“正則表達式”還是“固定字符串”，在設置完畢后都要重新返回到URL過濾的策略管理與規則管理處將這些條目激活，否則設置將無法生效。(如圖5)

圖5

經過過濾設置后我們會看到在UTM管理界面中出現的URL過濾阻斷條目，從圖中我們可以看到被URL過濾掉的條目有452個，這些都是被過濾掉的內網用戶對“開心網”的訪問請求。(如圖6)

通過正則表達式過濾“開心網”后世界一下子清凈了，領導也真正的開心了，員工們則可以踏踏實實的工作。

#p#

三，用IP過濾將“開心網”徹底屏蔽

“開心網”被過濾后員工塌實工作了一段時間，然而奇怪的是筆者又聽到了一些“聲音”，員工之間還是因為“開心網”鬧了矛盾。原來有幾個員工不知道采取什么方式突破了筆者在UTM上的URL過濾封鎖，他們在上班時間繼續大張旗鼓的偷別人的菜，貼別人的車。

經過調查筆者發現這些員工沒有使用諸如www.kaixin001.com的URL地址進行訪問，而是通過IP地址，看來UTM對URL的過濾只是基于域名的。如果用戶知道網站的IP地址直接訪問的話，過濾功能將不起任何效果。

筆者在本機進行了測試，通過nslookup www.kaixin001.com進行查詢，結果發現DNS順利解析出了IP地址。(如圖7)

圖7

使用筆者經過dns解析出來的IP地址訪問開心網將不會出現任何問題，所有頁面順利瀏覽。(如圖8)

圖8

那么我們該如何針對IP地址進行過濾呢?唯一的辦法就是通過訪問控制列表ACL來實現了，不過這需要用戶及時更新開心網的最新IP地址信息，畢竟他的IP地址可能會有所變動。在UTM設備上針對IP地址進行過濾具體步驟如下。

第一步：進入UTM管理界面然后選擇“策略管理”->“ACL”，然后“新建”一個規則，這里會讓我們選擇ACL類別，由于我們是針對某IP做限制，所以選擇基本型或高級型訪問控制列表都是可以的。筆者選擇“基本型”。(如圖9)

圖9

第二步：接下來設置“訪問控制列表ID”信息，只要不與之前設置的列表數重復即可，確定后該策略生成。(如圖10)

圖10

第三步：默認情況下訪問控制列表是空的，我們需要為其添加規則。點“新建”按鈕添加過濾條目。(如圖11)

第四步：我們設置“規則ID”信息，同時將操作選擇為“禁止”，針對IP地址過濾的目的IP地址進行添加，這個目的IP地址就是我們通過nslookup解析出來的IP地址，由于“開心網”地址不是連續的，所以我們需要為每個解析出來的IP地址單獨設置過濾條目。協議處選擇IP將阻止所有TCP/IP協議。確定后該條目生效。(如圖12)

圖12

第五步：我們依次添加過濾條目，直到所有與開心網有關的IP地址都被過濾。最后添加默認ACL規則容許所有IP通過。設置完畢后保存即可。這樣該ACL訪問控制列表將只針對與開心網有關的IP地址進行過濾，而不會對其他協議其他IP的數據包進行丟棄。(如圖13)

圖13

#p#
四，總結：

通過IP地址過濾法我們徹底解決了內網用戶訪問“開心網”的目的，不過當“開心網”IP地址變換時我們還需要再次添加更新后的過濾條目，因此這個過濾是動態的不是一成不變的，需要網絡管理員隨時關注IP地址的變化。不過就筆者個人經驗來說任何技術上的限制手段都遠遠沒有行政規章制度有效，即使我們封鎖了IP地址，封鎖了URL地址，用戶通過代理服務器，URL轉向等方法依然可以突破上述限制。所以說技術永遠是雙刃劍，在你用他解決問題的同時，問題的發生也可能由技術造成。只有企業內部推出嚴格且與獎金效益掛鉤的規章制度才能夠起到“治本”的作用。