网络监管
专题快递
目前,很多局域网都与Internet相连,可是公司管理者又不希望公司员工在上班期间利用网络上丰富的资源从事与工作无关的活动,往往投入大量的人力和物力,以加大公司网络的监管力度,建设一个坚强的“盾”来防范。另一方面,从公司员工的角度来讲又不希望在上网过程中受到过多的限制,他们会通过各种方法,即拥有各类锋利的“矛”来突破网管设置的屏障,达到自由上网的目的。本文就是针对这一“盾”与“矛”来谈谈网络的监管及其对策。
一、“盾”──网络监管
公司企业的网络监管通常使用三大手段:即网管软件及防火墙、人工(手工)管理和制度管理。
1.网管软件及防火墙
一般的网络管理员都会在网络总出口的瓶颈处,安装一些网络管理软件以方便自己的工作。这些网络管理软件除了具有一般的网络排障功能外,还往往具有对本网内进行IP包侦听、解析,流量分析、限制局域网内用户访问部分网站等功能。软件通常很小巧,但功能往往强大。例如NS LookUp软件(下载网址:http://www.ping.be)可以用于解析主机或IP地址。此外,网络管理员还常常通过查看系统日志来分析不安定因素以找到堵塞漏洞的方法。
同时,网络管理员为了局域网用户共享上网,还常在网络内部使用代理服务器,真是一石二鸟。使用代理服务器的好处在于,一方面解决了局域网内多用户上网的难题。另一方面,常见的代理服务器软件都提供代理网关服务,这样网络内传输的数据包交换时就不会直接在内外网络之间进行(内部计算机必须通过代理网关,进而才能访问到Internet)。这样网络管理员便可以很方便地在代理服务器上对局域网内部计算机访问外网进行一系列的限制:如端口封锁(不开放Socks5、Socks2端口)、特殊网站IP地址封锁(如禁止访问OICQ网站的IP地址61.144.238.156等)、协议封锁(如关闭UDP(用户数据报协议)协议端口)等等。代理服务的网关可对数据封包进行验证和对密码进行确认等安全管制。这样既保证了内网安全又进行了限制。一般的代理服务器软件如Wingate或Winproxy、Netproxy等都具有代理网关的功能,设置也十分方便。
比较精明的公司,为了规范员工的上网行为,有时候还不惜重金购买网络监视软件来随机地实时监视员工使用计算机的情况。通常的做法是在服务器端安装监控软件,利用局域网的安全后门来随机造访员工计算机,在服务器端查看他的计算机屏幕。一经发现不良操作,立即通过短消息警告,必要时利用公司的制度或法规来处理不自觉的员工。当然这种监管方法只占少数,毕竟员工也是人,也需要个人隐私。但是不得不承认,使用这种方法管理员工上网行为最直接也最有效。
最黑的网管就是采用类似于WebCache系统。他们将公司、企业的业务网站每天定期下载到计算机上,同时获取本网计算机的发送的数据,只在规定的时间内将它发送和接收,普通权限的客户机根本就访问不了真正的因特网。用户不知被骗了,而网管在后面偷着笑!不过这种管理方式我只在一家化工企业见过,使用不普遍。
2.人工(手工)管理
网管们常常利用手工设置策略管理器来给网络定规矩:分配访问优先权及访问控制权,这种办法简单好用,让小职员累坏脑子也破不了它。
例如网络管理员在员工计算机上利用Windows9X的“系统策略编辑器”建立策略文件,存入服务器,控制Windows9X客户机的注册表。通过“系统策略编辑器”可以进一步控制一般用户或组在Windows9X客户机上的行为。不直接给用户赋权,而通过用户或组分配用户权限。针对提供Internet访问网络的情况,设置专用代理服务器,禁止客户机通过调制解调器连到Internet上,形成在防火墙内的连接。利用“TCP/IP安全”对话框,关闭不用的TCP/UDP端口,过滤流入服务器的请求,特别是限制使用TCP/UDP的137、138、139端口。对只提供内部访问的服务器和客户机,可以利用策略管理器限制它们只能采用非TCP/IP协议实现连接,这样就可以隔离用户对Internet访问。
二、“矛”──对策
不甘受限制而想利用网络工具争取自由使用网络的员工很多,可是能够突破网管坚固的“盾”的“矛”的种类却较少。常见的方法是在客户机端再安装使用代理服务器,隐藏或伪装该类网站IP地址,或者另辟蹊径使用别的端口,以达到欺骗网管主机,登录网站的目的。下面我们就以网友最常用的OICQ/ICQ来突破封锁,以及访问受限网站的方法为例来说明员工的主要对策。
1.伪装IP地址
如IP变脸软件(http://software.wx88.net/down/IPChange30.exe)、ICQProxy(http://www.newhua.com.cn/down/icqproxyclient.zip)等。这类软件的主要工作原理是:针对网络管理员封锁某些网站的IP地址,通过一定的解析程序将网站的IP地址变成一组按软件约定排列的数字或字符发送。如OICQ的IP地址为202.104.129.254,经解析后变成3395846654,然后直接打开该IP对应的网站。利用IP变脸程序进行内部解析与反解析,客户机发送出的IP包经网管工作站或普通防火墙截获后,作为一般的数据包通过,而无法发现任何异常,所以被允许数据出入,达到访问网络的目的。
2.改变端口代理
有的时候OICQ/ICQ无法在公司内部网使用,在很大程度上也不一定就是网管限制,可能是网络管理员没有将防火墙自动关闭的某些端口打开,或者OICQ/ICQ软件不支持HTTP代理。这种情况就比较好办,使用OICQ/ICQ软件内置的端口代理的方法就可以解决。
例如使用Socks Online这个软件(在http://www.waysonline.com网站下载)对OICQ进行设置。Socks Online正常启动后,该程序就变成了本地的端口代理服务器,可以通过网管代理服务器访问Internet了。通常Socks Proxy的地址是localhost:1080,通过QQ按钮进入“系统参数”,在“系统参数”设置窗口中,选择“网络设置”标签,选择对话框中的的“代理设置”,选定“使用SOCKS5代理服务器”,在代理服务器地址栏填入localhost,在端口号栏填入1080,点击确定。将QQ离线,再上线。然后就会发现你的QQ已经在线了!
不过如果网管系统功能较强──能够反IP伪装或者是一些相应端口就是不开启,我们目前就没办法了。如果十分想聊天,只有和网络管理员搞好私人关系让他开放IP地址或端口,或者采用别的聊天软件应付“个人强烈的交流需要”了。