Facebook五大管制手法

企業打算管制員工使用Facebook時，該怎麼做呢？趨勢科技資深技術顧問戴燊指出：「比較重要的是思考管理上的問題，因為要管制Facebook並不需要很新的技術。」

其實，目前大部分的網路或資安設備，都可以做到阻擋效果，CheckPoint技術顧問陳建宏表示：「因為Facebook網站結構簡單，只有使用HTTP協定傳輸，只要能夠攔阻網址，就能管制。」

Facebook提供的各種服務、應用程式甚至是內建功能，其網址都不同，所以企業只要對症下藥，鎖定提供服務的網址，就能夠管制。
例如，只要在網址過濾器中設定HTTP字串的過濾功能，阻擋/ajax/chat/buddy_list.php這個字串，就讓聊天功能無法使用。陳建宏表示：「MIS可以從Log記錄中，看到某個應用所呼叫的網址連結，只要封鎖這些網址，就能封鎖大部分功能。」

封鎖Facebook的短中長期作法

企業管制Facebook的第一步，最基本也是最快的做法，就是封鎖DNS。在短期內，這個方法可以有效阻止員工使用。Juniper技術經理林佶駿認為，企業一開始就應該採取全面封鎖Facebook的做法，等到有需要開放時再逐步開放，而不是一開始全部開放，再逐項關閉服務。

等到企業開始有使用Facebook的實際需求，例如業務部門需要透過Facebook和客戶聯絡感情，再透過防火牆來管制，慢慢開放使用。

隨著企業使用Facebook的需求逐漸增加，接下來防火牆的管制規則也會越來越多。Websense技術經理林秉忠表示，當規則超過1、2百條以後，企業就很難維護這些規則，需要開始採用專用的網址過濾設備或內容過濾設備。企業可以尋找網址資料庫的廠商，購買專用的資料庫，而不用自行維護網址清單。現在也有不少防火牆業者，開始提供網址資料庫的服務。

林秉忠指出，網址過濾的方式可以處理靜態網頁的管制，但是，對於動態網頁內容，則不容易管理。所以，企業可以進一步導入安全閘道設備，針對動態內容進行即時分析、過濾惡意連結或病毒。也可以管制不受歡迎的內容。「到了這個階段後，管理者就可以自由開放Web 2.0網站了。」

過去無名小站、YouTube網站也曾喚起企業對網路控管的關心，這次的Facebook流行，也不會是最後一次。林佶駿提醒，企業應該重新思考資安政策，「每一季至少要審視資安政策和資安設備的設定，以符合企業當下的需求，」而不是今天流行Facebook就只阻擋Facebook。

更長遠地來看，戴燊認為，企業若只針對Facebook來管制，則反映出企業還沒有思考到HTTP管制的問題。他指出，現在有八成惡意程式都是透過HTTP協定來傳播，HTTP的威脅是問題的真正所在，他說：「Facebook只是通路，但是有危險的是這個通路所散布的內容。」即使企業今天封鎖了Facebook這個通路，但難保哪一天不會有其他也是需要管制的通路出現，所以更重要的是思考如何管制透過HTTP所散布的內容。

封鎖Facebook五大手法之一設定DNS轉向

透過DNS伺服器將Facebook網址指向其他IP，讓使用者的瀏覽器讀取錯誤的DNS資訊而無法成功連線到真正的網站，來達到封鎖Facebook的效果。只要利用現成的DNS設備，就可以做到Facebook的封鎖，不需要額外的花費，這是DNS轉向手法最大的優點。

企業也可以將Facebook首頁網址轉向內部的管制宣導網頁或空白網頁，甚至可以複製一個假的Facebook登入首頁，讓使用者誤以為是Facebook網站發生問題，而沒有察覺企業的管制措施。

除此之外，也可以將特定遊戲網址，或Facebook內建功能的網址轉向其他IP，來做到如禁玩遊戲或禁止留言等管控。雖然使用者仍可藉由設定外部DNS伺服器，來繞過內部DNS伺服器的轉向管控。但是，林秉忠認為，其實大多數的使用者並不懂得如何修改網路設定來規避封鎖，所以這個方式還是能夠發揮效果。他認為，企業短期內需要立即封鎖時就可以採用。

為了避免使用者自行變更網路設定，將DNS指向外部DNS伺服器，或安裝穿牆軟體等方式來規避內部DNS的控管，MIS可搭配使用者端的管制措施，例如不提供使用者變更網路設定或安裝軟體的權限。

DNS轉向的侷限是管理上的彈性不足，針對特定網址的管制不是全部開放就是全部關閉這兩種選擇，無法依據使用者身分別來提供不同的權限。此外，IT部門還須自行蒐集與維護需要管制的網址清單。

封鎖Facebook五大手法之二以防火牆管制IP

IP管制是防火牆的基本功能，幾乎所有防火牆都具備這樣的管控能力。MIS可以讓防火牆擋掉特定IP的網路封包，讓使用者無法建立HTTP連線的效果，達到封鎖特定IP的目的。

透過IP來管制Facebook，很難達到很好的封鎖效果。因為Facebook的伺服器數量很多，所以需要管控的IP位址非常多，而且還會有改變，MIS得自行蒐集這份IP管制清單，並且定期更新，實際做起來相當麻煩。

再者，全球性的網路業者通常會透過CDN（Content Delivery Network）業者來發布服務，達到分攤流量，確保各地連線品質的目的。Facebook也有使用CDN服務，所以，提供Facebook服務的伺服器，很可能不是Facebook自己的伺服器，而是CDN業者的機器。所以，一般不建議透過IP管制的方式來封鎖網站。

有不少MIS會採取這種IP管制的方式來控管Facebook，例如透過常見的簡易型防火牆如路由器上的ACL（Access Control List）或是Linux的IPtables軟體，畢竟這些簡易型防火牆多半都是免費軟體或者是網路設備的基本功能之一，企業不需要額外投資就能進行管制。

MIS建置企業的網路架構時，經常使用到路由器的ACL來區分網段，或者用來封鎖特定網域的電腦，這個工具對MIS來說相當熟悉。ACL提供通用字元的功能，MIS用一條組合規則就可以封鎖一個網段的IP，不用輸入每一臺伺服器的IP。另外也有路由器的ACL可提供時間設定，可以設定不同時段所套用的ACL規則。利用此一特性，就可以做到上班時間管制，下班時間開放的控管方式。

IPtables的作法和ACL類似，但是更為彈性。因為IPtables屬於軟體防火牆，除了同樣可以建立IP規則來管控Facebook外，還可以搭配腳本程式和排程程式，做更精細的控制，例如時間控管等。

和DNS轉向手法相比，透過ACL或IPtables方式的IP管控，使用者無法自行變更網路設定來規避。

封鎖Facebook五大手法之三以防火牆管制網址

利用防火牆網址過濾機制來管制Facebook網址，比起用IP管制方式會更有彈性，設定上也更加簡便。只要封鎖www.facebook.com這個網址，就可以完全禁止使用者瀏覽Facebook，不用逐一設定每一項IP過濾規則。多數防火牆設備都有很方便的網頁介面可供設定過濾網址。網址過濾政策也能和排程整合，做到時間管制的效果。

基本的防火牆只提供自訂網址功能，但不會提供需要管制的網址資料，MIS必須自行維護一套網址管制清單。不過，林秉忠指出，當防火牆規則越來越多，甚至多達一兩百條以後，維護就很困難。

所以，目前也開始有一些防火牆產品，廠商有提供網址資料庫，可以讓MIS依據網址類別來控管，而不用逐一輸入管制網址。不過防火牆所提供的網址數量可能會較少，分類方式也較粗略，還是比不上專用網址過濾設備所提供的資料庫。

一般防火牆的缺點是無法和AD（Active Directory）帳號整合，對網址的管控通常是一視同仁，要不是所有人都可以使用，就是所有人都不能使用。所以，不容易更進一步依據使用者的身分進行管控，例如開放行銷人員使用，但禁止其他行政人員使用。若需要依據部門或使用者身分進行更細緻的管制，則需要專用的網址過濾設備，例如Proxy伺服器，而且近來推出的一些多功能型防火牆設備，也可以和AD帳號整合。

封鎖Facebook五大手法之四專用網址過濾設備

專用網址過濾設備同樣也是針對網址來進行管制，和防火牆的網址管制原理相同，但是，專用網址過濾設備能夠提供的管理彈性，遠遠超過防火牆。

防火牆網址過濾機制所能做到的功能，專用網址過濾設備都能做到，但是，更進一步地，還能夠與AD帳號或帳號認證機制整合。可以針對不同身分別或組織單位的成員，設定不同的過濾政策。

例如，可以使用社群網站的行銷人員，即使使用其他未經授權的員工電腦，只要登入帳號後，專用網址過濾設備就會辨識出這臺電腦的使用者的身分，而開放這臺電腦可以瀏覽社群網站，所以管制政策可以跟著人員移動，提供更有彈性的作法。

除此之外，專用網址過濾設備所內建的網址資料庫，也遠比防火牆內的網址資料庫更為完整，同時專用設備的分類架構也更為細緻，例如企業要開放員工使用社群網站，但是禁止員工在上面玩網路遊戲，那麼就可以設定只阻擋社群網站的遊戲，而且MIS透過設定網頁就能很快地完成管制。

因為專用網址過濾設備具有Proxy機制，能夠記錄員工所有的瀏覽行為，所以，這類設備比其他管制手法，能提供更詳盡的報表。這些報表工具，都可以成為MIS進行管制的支持數據。

例如二維向度的報表分析，可先依據網站類型，以頻寬耗用度來排名，接著再從特定的網站類型中，檢視該類網站的前十大使用者。

有家企業就是透過專用網址過濾設備的報表功能，每周產生一份報表，發送給內部各單位主管。報表上列出該部門使用的頻寬在全公司排名、攤提費用，上網占用頻寬的前十大使用者姓名，以及他們都是瀏覽哪些網站等項目，讓該部門主管有憑據做進一步處理。

封鎖Facebook五大手法之五頻寬管制設備

從頻寬管理設備來管制Facebook是一種一箭雙雕的作法，一方面能夠確保主要應用所需的頻寬不受影響，另一方面也能夠讓員工因為網頁瀏覽速度過慢，而放棄使用該服務。

不過，頻寬管制的方法，卻不像網址過濾那樣簡單。雖然，目前很多防火牆都有提供QoS頻寬管理機制。但是這種QoS作法確有其限制。

最初防火牆的QoS機制，主要目的是用來管理內部電腦的使用頻寬，確保每一個人都可以有足夠的頻寬上網，超額使用者將會受到QoS的限制。

防火牆的QoS機制透過佇列（Queue）的方法來達到限制頻寬的方式，所有封包都會先放到佇列中，依據這臺電腦設定的優先順序，來決定封包傳輸的速度，當流量快要達到限制值時，優先順序下降，封包傳輸速度也減緩，就可以減少這臺電腦所占用的頻寬。

但是，防火牆的QoS管理機制，目前只能針對內部電腦的IP或通訊協定設定優先順序，換句話說，無法直接限制外部網路中的Facebook網站傳輸速度，頂多可以限制HTTP傳輸內容所占用的頻寬。

但是，如此一來，是所有的網頁瀏覽都受到影響，無法只針對Facebook進行管制。如果是專門的QoS設備，則有更完整的機制來管制特定網址的頻寬。

企業也可以藉由雙防火牆的作法，來達到管制Facebook的效果。利用內層防火牆進行網址過濾，只允許Facebook網站的HTTP溝通。接著，透過外層的防火牆的QoS來管制內層防火牆送出的HTTP資料流量，因為內層防火牆只有Facebook的資料流量，所以，就等於是管制到Facebook所使用的頻寬。

Facebook網站與相關應用的IP位址其實還不少，若要透過阻擋IP來封鎖的話，就必須要花上一番功夫，實務上建議採取其他較有效率的做法。照片提供／Check Point

若要管制員工使用Facebook等網站應用，在員工存取網頁時給予警示，其實使用量就會逐漸降低。照片提供／Blue Coat

常見的Facebook管制方式

我們蒐集了一些目前企業界常見的Facebook管制方式，提供你做為訂定Facebook管理政策的參考。

1. 全面封鎖

2. 全面開放

3. 開放使用，但禁用特定功能：如禁止使用聊天室、塗鴉牆留言、回覆意見、站內信件等發文功能，以避免對頻寬的耗用。

4. 開放使用，但禁用遊戲：避免員工上班分心，以及降低對頻寬的耗用。

5. 開放使用，但禁止在特定時間內使用：避開核心業務的時段，如證券業於開盤期間禁止使用，以不影響核心業務所需要的頻寬。

6. 開放使用，但僅限非公務時間使用：例如開放在下班時間、午休或周末時段使用。

7. 開放使用，但僅限特定部門或人員使用：如開放行銷部門使用，非業務單位禁止使用。

8. 開放使用，但限制可用頻寬：限制Facebook可用頻寬，降低對其他服務的影響。

9. 開放使用，但限制使用時數：例如有的企業限制員工每次可使用10分鐘，一天最多可使用1個小時。

10. 每周列出各部門頻寬占比報表，詳列攤提費用、部門十大占用頻寬者等統計資料，交由部門主管處理。

資料來源：iThome整理，2009年10月

相關報導請參考「如何阻擋Facebook」