如何阻擋Facebook

記者⊙王宏仁、黃彥棻



你知道嗎，如果毫不限制員工使用Facebook網站，它將占用你的公司頻寬10％以上；如果毫無政策來管制，不只是員工生產力降低，你甚至得承擔更多接踵而至的資訊安全威脅。如何管制Facebook這類社交網站已成企業當務之急。

Facebook竄紅 影響企業營運
從企業流量監管資料來看，6月開始，Facebook成為占用企業上網頻寬的前十名，近期更經常是前三大占用頻寬的網站之一。

Facebook太占頻寬 全家便利商店管制使用時間
全家便利商店不讓Facebook流量影響同仁正常使用網路，上班時間全面封鎖，僅於午休開放

Facebook五大管制手法
要阻擋員工使用Facebook，就目前的技術而言並不困難，許多企業現成的網路與資安設備都可以有效管制Facebook的使用，然而在技術之外更重要的是，企業不能只封鎖Facebook就好，必須長遠地思考如何管理員工上網Facebook竄紅 影響企業營運

你今天偷菜了沒？這是今年最熱門的見面招呼語。不論大人、小孩、學生或是上班族，只要是經常上網的人，一定聽過這句話，因為到朋友的虛擬農場偷菜，正是Facebook社交網站的開心農場遊戲中最夯的玩法。

根據網路調查機構創市際「ARO網路測量研究」8月份調查結果，Facebook在臺灣的使用人數達到573.6萬人，換句話說，全臺灣1,277萬網路人口中，接近半數的網友每個月都會瀏覽Facebook。這個驚人的數字讓Facebook成為臺灣第三大網站，僅次於Yahoo奇摩和無名小站。

臺灣瀏覽人數成長10倍
但是在去年12月時，Facebook連臺灣百大網站排名都無法進榜，短短8個月後，使用過Facebook的人數變成10倍，單月網頁瀏覽總數高達19.4億次，這個數據是Google的2倍，PChome的4倍。

可見臺灣網友點閱Facebook網頁的次數，遠比上搜尋引擎找資料，或是進購物網站買東西的次數，都還要多好幾倍，其中開心農場這個網頁遊戲，正是Facebook在臺灣迅速竄起的主要推力。

藉由贈送別人種子、到朋友農場偷菜等社交性互動方式，開心農場創造出連鎖性的人拉人效應。為了獲取更多遊戲資源，有更多農田可偷菜，網友紛紛要求親戚朋友加入Facebook玩開心農場遊戲，這些人又會繼續找更多朋友來註冊Facebook加入遊戲，甚至有小朋友為了拿到虛擬種子，將父母親和他們的同事都拉到Facebook中。

這樣的社交連鎖效應，讓Facebook用戶快速倍增。尤其從六月開始，瀏覽人數大幅成長，光是八月的臺灣瀏覽人數就比七月增加了214萬人。



Facebook使用時間超越無名小站
除此之外，為了避免農場的虛擬作物被朋友偷光，網友還得經常登入Facebook，定期巡視農田作物的生長情況，及時收成虛擬農產。創市際的數據顯示，Facebook使用者每個月使用5.3小時，是YouTube使用時間的7倍，超越無名小站的3.4小時，僅次於Yahoo奇摩。Facebook對臺灣網友的黏性特別高。

可是，這樣高黏性的社交網站，卻讓臺灣的企業主又愛又恨。企業主喜愛Facebook的原因是因為又多了一種新的行銷管道，能夠接觸到五百多萬個網友。

尤其像B2C產業，例如銀行業的匯豐銀行，或是電信業威寶電信等，開始在Facebook開設帳號做行銷，最近也有零售業者透過Facebook舉辦促銷活動。

另一方面，也有企業老闆看到不少員工的電腦螢幕上，總是有一個開心農場的瀏覽畫面，一邊工作之餘，員工們也一邊玩虛擬遊戲。

宇瞻科技資訊管理部資深經理王靄芬表示，最近人事部門主管很緊張地跑去找她，就是為了員工沈迷Facebook遊戲的問題。人事主管擔心這會排擠正常上班時間，希望資訊部門管制，來避免員工生產力受到影響。

達友科技資訊安全顧問林皇興指出：「其實，從去年11月開始，就有企業提出管制Facebook的需求，包括電信業者和少數金控業者。」他進一步解釋，當時開心農場還不流行，這些企業管制主要是為了預防洩密問題。

因為Facebook可以讓使用者發布內容，也有內部發信機制。為了避免員工在上班時間透過Facebook洩漏資料，林皇興表示，這一波想管制的業者希望能限制內建功能，而不是全面封鎖。

後來企業進一步發現，在Facebook的應用程式中有MSN軟體，才開始封鎖那些可以發布資料的網頁應用。

最近從六月開始，又出現第三波的企業管制熱潮。林皇興表示：「太多業務單位主管發現事態嚴重，」員工不是用電腦做公務，而是上網種田。

就如同宇瞻科技遇到的情況一樣，不少企業的高階主管或人事主管發現Facebook的問題，開始要求資訊部門提出管制方法。


看大圖

Facebook是前三大占用企業頻寬的網站
林皇興指出，以前因為無名小站、YouTube等網站占用大量頻寬，企業大都已管制這兩類網站，但現在，Facebook占用的頻寬卻已經超過上述兩者。從企業流量監管資料來看，6月開始，Facebook成為占用企業上網頻寬的前十名，近期更經常是前三大占用頻寬的網站之一。

若從消耗頻寬的比例來看，林皇興舉例，有一間擁有近萬臺個人電腦的金融業者，調查了最近一個月的上網頻寬使用情形，才發現Facebook消耗的頻寬竟然高達到15％，平日都在10～15％之間，占用頻寬的比例非常高。

自動分享機制造成大量頻寬
Facebook占用頻寬的原因，不只是因為員工玩遊戲，林皇興表示，Facebook的自動分享機制也會占用大量頻寬。

當使用者在Facebook上張貼任何內容時，Facebook系統會自動將內容發送給使用者好友名單上的人。若使用者發布的內容是照片時，這張照片同樣會出現在每一個好友的個人首頁上。

雖然Facebook會將照片縮圖處理，但是每張縮圖的檔案大小至少有4kB。若這名使用者的好友名單上有50名同事，這張縮圖會出現在50個私人首頁上，占用的頻寬不是只有4kB，而是50倍，也就是200kB。

因此，使用者張貼一張圖片所消耗的頻寬，不再只是一個圖檔的大小，而是好友人數的乘倍大小。

再加上新一代瀏覽器內建頁籤功能，使用者打開Facebook網頁後往往不關閉，而是和工作用的網頁同時並存，需要瀏覽時再切換。雖然Facebook處在看不見的頁籤網頁中，但並沒有因此而停止下載資料，還是會透過Ajax技術隨時更新內容，不斷地占用頻寬。

因為業務需求，這家金融業者不敢全面封鎖Facebook，而是透過限制使用時段的方式來達到降低頻寬的效果，並且也建立示警機制，當員工登入Facebook時會跳出提醒畫面，按下確定按鈕後才能繼續使用。在公司管制遊戲類應用以後，Facebook加上其他社交類網站的頻寬消耗，則降低到企業整體頻寬的5.2%。社交網絡擴大資安威脅
短期內，企業看到的Facebook影響包括對員工生產力損失和頻寬消耗。但長期來看，Facebook的社交網絡也擴大了資安威脅的程度。

例如好友名單上的某一位朋友的帳號被入侵，入侵者張貼了一段惡意連結後，因為Facebook不會進一步檢查連結背後的網頁內容，所有好友的首頁上都會出現這段惡意連結。因為有朋友的推薦，其他人就放心地打開這個惡意連結，導致更多人被植入木馬，更多帳號密碼被竊取，資安威脅的危害也因為社交網絡而被放大。

甚至入侵者不需要入侵帳號也有機會散布惡意連結。例如透過購買Facebook網站廣告的方式，將惡意連結藏在廣告中。CheckPoint技術顧問陳建宏表示：「Facebook沒有管制網站廣告，任何人都可以買廣告，這會產生資安威脅。」

Facebook目前已有出現廣告或應用程式暗藏惡意連結的案例。Websense技術經理林秉忠說，在過去兩年中起碼發現過7、8個Facebook中的惡意連結。趨勢科技表示，他們也觀察到十幾起Facebook上的惡意連結資安事件，包括偽裝成Facebook活動邀請信的釣魚網站信件。

趨勢科技資深技術顧問戴燊表示，像網友為了賺取開心農場的虛擬貨幣，而同意安裝各種廣告軟體，「但這些廣告軟體也沒有人把關審查，就有可能帶來危險。」他說。

員工個資衍生公司資訊外洩
資安威脅因為社交網絡而放大的同時，企業重要資料也更容易透過社交網絡而外洩。CheckPoint技術顧問陳建宏表示：「現在企業只擔心影響上班時間，但沒考慮到很多員工的個資都透露在Facebook上。」

例如Facebook的應用程式可以透過社交網絡，來存取到其他人的個人資料。例如你的朋友安裝了一個應用程式，該應用程式就可以讀取你的個人資料，即使你的帳號不對外開放，在Facebook的帳號預設狀態中，該應用程式和你的朋友幾乎擁有相同的存取權。開發應用程式的廠商就可以透過你的朋友取得你的資料。

這些資料存取權限像基本資料、個人資料、工作經驗、在塗鴉牆上發表的各項訊息等，雖然Facebook提供了權限設定的機制，但使用者必須自行調整想要關閉的項目，否則預設值多數是開放。陳建宏表示：「大部分使用者，其實不了解資訊安全，就不會進一步自己做好管制。」

即使企業在上班時間禁止員工使用Facebook，下班後，員工還是可以在家中將公司資訊、工作狀態等資訊放到Facebook中，陳建宏說：「一旦放上去，就很難消滅。即使刪除了，在其他應用程式中可能還存在。」

企業的競爭對手可以透過搜尋引擎，很容易地找到員工開放的個人檔案資料，並且透過這些員工的同事網絡，來掌握公司組織架構、公司內部工作進展等機敏資訊。或者像離職員工仍舊可以透過原來的同事網絡，來掌握這間公司的情況。

陳建宏說：「在完整了解Facebook上發生的行為之前，建議企業主全部封鎖。」實際上，已經有不少企業直接封鎖Facebook，全面禁止員工使用。

但是，也有企業嘗試推動更細緻的管制作為，例如全家便利商店的作法，既兼顧社交網站的優勢，又能降低資安風險和頻寬衝擊，請見後續的案例報導。文⊙王宏仁


由於員工使用Facebook已經占用了全公司近10％的頻寬，全家便利商店在10月初決議全面管制Facebook的使用時間。


企業要宣導員工重視Facebook的使用問題時，若非到要全面完全封鎖的地步，可考慮採取較為幽默的溝通方式。（翻拍自iT邦幫忙網站http://ithelp.ithome.com.tw/question/10027438）

Facebook太占頻寬 全家便利商店管制使用時間

「嘿嘿嘿，你偷菜了？」「我有來幫你除草、除蟲了唷。」不論坐捷運、在餐廳吃飯，隨處都可以聽到「可惡，XXX竟然趁我不注意，跑來我的農場偷菜。」這樣的偷菜熱潮瀰漫整個臺灣社會，連平常只能乖乖待在辦公室的上班族們，也都趕上這股偷菜的潮流。

從8月開始，許多全家便利商店的主管們都陸續發現，有不少同仁在上班時間，都在「開心農場」網路遊戲上辛勤耕作；在午休時間，全家便利商店總公司的同仁會覺得上網速度變很慢。

開心農場引發的熱潮，讓全家便利商店行銷部門希望透過Facebook做一些行銷活動，紛紛發信邀請同仁加入Facebook。一時之間，加入Facebook成為全家便利商店同仁最熱中的活動。

全家便利商店系統運用部經理李英旭表示，該公司將公司頻寬視為公共財，部分員工使用Facebook已經影響其他員工正常的網路使用，才提出Facebook限制政策。

不過，經歷3個星期的評估，全家便利商店系統運用部經理李英旭表示，該公司已在10月10日的「後勤管理單位主管經營管理會議」上決議限制Facebook的使用，從上午8點到下午7點，全面封鎖Facebook；而中午12點到下午1點的午休時間，則開放同仁可以連上Facebook。他指出，網路頻寬屬於全體員工的公共財，同仁連上Facebook的流量已經對其他同仁正常使用網路造成困擾，必須有所管制。

網路頻寬是員工公共財
全家便利商店從2008年底便已經開始規畫，要將公司重要的應用系統與作業進行頻寬切割、分流的工作，確保重要的營運作業有足夠的頻寬可以使用。李英旭表示，這個規畫案從2009年6月開始執行，到8月底執行完畢。

因為全家便利商店已經先將公司重要的應用系統做頻寬切割、分流，並正視「員工有上網的需求」，全家便利商店在頻寬使用的規畫上，就已經預先規畫有一部份的頻寬是提供員工上網使用，兼具備援線路功能。

李英旭說，因為全家便利商店已經事先做好頻寬分流，所以午休時間全部員工都一起「上網偷菜」時，只有規畫給員工使用的一般頻寬受到影響，攸關公司營運的網路頻寬，仍維持正常的運作。也因此，「全家便利商店並沒有面臨其他企業，因為同仁大量連上Facebook或者上網偷菜，影響到公司正常系統的頻寬需求。」他說。

雖然Facebook占用的頻寬並沒有對全家便利商店的營運系統造成太大的影響，但從流量統計卻可以發現，8月份使用Facebook的員工只有191人，到9月份已經超過300人，人數增加超過6成。從流量統計數據上來看，8月份連上Facebook的總流量將近4GB，9月份連上Facebook的總流量則將近8.5GB，成長超過1倍。





李英旭指出，在上班時間多數同仁連上Facebook或玩開心農場，還不敢光明正大地玩，但等到午休或下班時間，同仁們發揮日出而作、日落而息的精神，一起上網偷菜時，整個公司連網速度更只有一個「慢」字可以形容，也造成部分加班同事使用網路的困擾。

李英旭說，雖然Facebook的尖峰流量不到全公司流量的10分之1，但這個單一網站所占用的公司頻寬，已經不符合比例原則，加上許多要彼此串連的遊戲，例如開心農場、餐城、水族箱等，也讓員工工作分心。

李英旭表示，Facebook目前並沒有違反公司資安政策，尚毋須全面封鎖，目前先以代理伺服器（Proxy Server）封鎖Facebook相關網址，查到一個封一個。

資料外洩是資安隱憂
李英旭表示，依照全家便利商店的資安政策，Facebook不像即時通訊可以上傳並分享檔案，目前不會全面封鎖Facebook，必須管制是因為單一網站占用公司太多頻寬，也讓同仁上班分心，才提出限制政策。

由於Facebook本質是社交網站，人脈串連、互動是這類社交網站的特色。李英旭不諱言，大家難免會在Facebook談論到工作的事情，有時候，員工不經意的談論，例如到哪間公司拜訪、正在研究什麼樣的專案等，這些不經意的「資訊外洩」，都是公司在評估這類社交網站時最大的資安隱憂。

不過，李英旭說，目前除了透過每季舉行的資安講座，提高員工資安風險意識外，頂多也只能上網查看相關的關鍵字而已。

全家便利商店的確有利用Facebook的熱潮，進行一些社群行銷的活動，行銷部同仁也發信鼓勵同仁上Facebook。不過，李英旭表示，經過3個禮拜的觀察，Facebook的缺點在短期內全部顯現，但對於公司在行銷上帶來的助益，則尚未有明確的效益。

因此，該公司在限制Facebook使用的同時，也希望行銷部門提出包含Facebook與其他社交網站完整的社群行銷策略。「在社群行銷策略制訂後，資訊部門則提供各種需要的網路和設備資源，全力支持這樣的社群行銷策略。」李英旭說。文⊙黃彥棻Facebook五大管制手法

企業打算管制員工使用Facebook時，該怎麼做呢？趨勢科技資深技術顧問戴燊指出：「比較重要的是思考管理上的問題，因為要管制Facebook並不需要很新的技術。」

其實，目前大部分的網路或資安設備，都可以做到阻擋效果，CheckPoint技術顧問陳建宏表示：「因為Facebook網站結構簡單，只有使用HTTP協定傳輸，只要能夠攔阻網址，就能管制。」

Facebook提供的各種服務、應用程式甚至是內建功能，其網址都不同，所以企業只要對症下藥，鎖定提供服務的網址，就能夠管制。
例如，只要在網址過濾器中設定HTTP字串的過濾功能，阻擋/ajax/chat/buddy_list.php這個字串，就讓聊天功能無法使用。陳建宏表示：「MIS可以從Log記錄中，看到某個應用所呼叫的網址連結，只要封鎖這些網址，就能封鎖大部分功能。」

封鎖Facebook的短中長期作法
企業管制Facebook的第一步，最基本也是最快的做法，就是封鎖DNS。在短期內，這個方法可以有效阻止員工使用。Juniper技術經理林佶駿認為，企業一開始就應該採取全面封鎖Facebook的做法，等到有需要開放時再逐步開放，而不是一開始全部開放，再逐項關閉服務。

等到企業開始有使用Facebook的實際需求，例如業務部門需要透過Facebook和客戶聯絡感情，再透過防火牆來管制，慢慢開放使用。

隨著企業使用Facebook的需求逐漸增加，接下來防火牆的管制規則也會越來越多。Websense技術經理林秉忠表示，當規則超過1、2百條以後，企業就很難維護這些規則，需要開始採用專用的網址過濾設備或內容過濾設備。企業可以尋找網址資料庫的廠商，購買專用的資料庫，而不用自行維護網址清單。現在也有不少防火牆業者，開始提供網址資料庫的服務。

林秉忠指出，網址過濾的方式可以處理靜態網頁的管制，但是，對於動態網頁內容，則不容易管理。所以，企業可以進一步導入安全閘道設備，針對動態內容進行即時分析、過濾惡意連結或病毒。也可以管制不受歡迎的內容。「到了這個階段後，管理者就可以自由開放Web 2.0網站了。」

過去無名小站、YouTube網站也曾喚起企業對網路控管的關心，這次的Facebook流行，也不會是最後一次。林佶駿提醒，企業應該重新思考資安政策，「每一季至少要審視資安政策和資安設備的設定，以符合企業當下的需求，」而不是今天流行Facebook就只阻擋Facebook。

更長遠地來看，戴燊認為，企業若只針對Facebook來管制，則反映出企業還沒有思考到HTTP管制的問題。他指出，現在有八成惡意程式都是透過HTTP協定來傳播，HTTP的威脅是問題的真正所在，他說：「Facebook只是通路，但是有危險的是這個通路所散布的內容。」即使企業今天封鎖了Facebook這個通路，但難保哪一天不會有其他也是需要管制的通路出現，所以更重要的是思考如何管制透過HTTP所散布的內容。


▲▼若要管制員工使用Facebook等網站應用，在員工存取網頁時給予警示，其實使用量就會逐漸降低。


封鎖Facebook五大手法之一設定DNS轉向
透過DNS伺服器將Facebook網址指向其他IP，讓使用者的瀏覽器讀取錯誤的DNS資訊而無法成功連線到真正的網站，來達到封鎖Facebook的效果。只要利用現成的DNS設備，就可以做到Facebook的封鎖，不需要額外的花費，這是DNS轉向手法最大的優點。

企業也可以將Facebook首頁網址轉向內部的管制宣導網頁或空白網頁，甚至可以複製一個假的Facebook登入首頁，讓使用者誤以為是Facebook網站發生問題，而沒有察覺企業的管制措施。

除此之外，也可以將特定遊戲網址，或Facebook內建功能的網址轉向其他IP，來做到如禁玩遊戲或禁止留言等管控。雖然使用者仍可藉由設定外部DNS伺服器，來繞過內部DNS伺服器的轉向管控。但是，林秉忠認為，其實大多數的使用者並不懂得如何修改網路設定來規避封鎖，所以這個方式還是能夠發揮效果。他認為，企業短期內需要立即封鎖時就可以採用。

為了避免使用者自行變更網路設定，將DNS指向外部DNS伺服器，或安裝穿牆軟體等方式來規避內部DNS的控管，MIS可搭配使用者端的管制措施，例如不提供使用者變更網路設定或安裝軟體的權限。

DNS轉向的侷限是管理上的彈性不足，針對特定網址的管制不是全部開放就是全部關閉這兩種選擇，無法依據使用者身分別來提供不同的權限。此外，IT部門還須自行蒐集與維護需要管制的網址清單。

封鎖Facebook五大手法之二以防火牆管制IP
IP管制是防火牆的基本功能，幾乎所有防火牆都具備這樣的管控能力。MIS可以讓防火牆擋掉特定IP的網路封包，讓使用者無法建立HTTP連線的效果，達到封鎖特定IP的目的。

透過IP來管制Facebook，很難達到很好的封鎖效果。因為Facebook的伺服器數量很多，所以需要管控的IP位址非常多，而且還會有改變，MIS得自行蒐集這份IP管制清單，並且定期更新，實際做起來相當麻煩。

再者，全球性的網路業者通常會透過CDN（Content Delivery Network）業者來發布服務，達到分攤流量，確保各地連線品質的目的。Facebook也有使用CDN服務，所以，提供Facebook服務的伺服器，很可能不是Facebook自己的伺服器，而是CDN業者的機器。所以，一般不建議透過IP管制的方式來封鎖網站。

有不少MIS會採取這種IP管制的方式來控管Facebook，例如透過常見的簡易型防火牆如路由器上的ACL（Access Control List）或是Linux的IPtables軟體，畢竟這些簡易型防火牆多半都是免費軟體或者是網路設備的基本功能之一，企業不需要額外投資就能進行管制。

MIS建置企業的網路架構時，經常使用到路由器的ACL來區分網段，或者用來封鎖特定網域的電腦，這個工具對MIS來說相當熟悉。ACL提供通用字元的功能，MIS用一條組合規則就可以封鎖一個網段的IP，不用輸入每一臺伺服器的IP。另外也有路由器的ACL可提供時間設定，可以設定不同時段所套用的ACL規則。利用此一特性，就可以做到上班時間管制，下班時間開放的控管方式。

IPtables的作法和ACL類似，但是更為彈性。因為IPtables屬於軟體防火牆，除了同樣可以建立IP規則來管控Facebook外，還可以搭配腳本程式和排程程式，做更精細的控制，例如時間控管等。

和DNS轉向手法相比，透過ACL或IPtables方式的IP管控，使用者無法自行變更網路設定來規避。


Facebook網站與相關應用的IP位址其實還不少，若要透過阻擋IP來封鎖的話，就必須要花上一番功夫，實務上建議採取其他較有效率的做法。封鎖Facebook五大手法之三以防火牆管制網址
利用防火牆網址過濾機制來管制Facebook網址，比起用IP管制方式會更有彈性，設定上也更加簡便。只要封鎖www.facebook.com這個網址，就可以完全禁止使用者瀏覽Facebook，不用逐一設定每一項IP過濾規則。多數防火牆設備都有很方便的網頁介面可供設定過濾網址。網址過濾政策也能和排程整合，做到時間管制的效果。

基本的防火牆只提供自訂網址功能，但不會提供需要管制的網址資料，MIS必須自行維護一套網址管制清單。不過，林秉忠指出，當防火牆規則越來越多，甚至多達一兩百條以後，維護就很困難。

所以，目前也開始有一些防火牆產品，廠商有提供網址資料庫，可以讓MIS依據網址類別來控管，而不用逐一輸入管制網址。不過防火牆所提供的網址數量可能會較少，分類方式也較粗略，還是比不上專用網址過濾設備所提供的資料庫。

一般防火牆的缺點是無法和AD（Active Directory）帳號整合，對網址的管控通常是一視同仁，要不是所有人都可以使用，就是所有人都不能使用。所以，不容易更進一步依據使用者的身分進行管控，例如開放行銷人員使用，但禁止其他行政人員使用。若需要依據部門或使用者身分進行更細緻的管制，則需要專用的網址過濾設備，例如Proxy伺服器，而且近來推出的一些多功能型防火牆設備，也可以和AD帳號整合。


仔細檢視Facebook網站的流量可以發現，其實Facebook服務用了很多不同的網址，企業要達到有效的控管，則得把全部的網址都納入管制範圍。

封鎖Facebook五大手法之四專用網址過濾設備
專用網址過濾設備同樣也是針對網址來進行管制，和防火牆的網址管制原理相同，但是，專用網址過濾設備能夠提供的管理彈性，遠遠超過防火牆。

防火牆網址過濾機制所能做到的功能，專用網址過濾設備都能做到，但是，更進一步地，還能夠與AD帳號或帳號認證機制整合。可以針對不同身分別或組織單位的成員，設定不同的過濾政策。

例如，可以使用社群網站的行銷人員，即使使用其他未經授權的員工電腦，只要登入帳號後，專用網址過濾設備就會辨識出這臺電腦的使用者的身分，而開放這臺電腦可以瀏覽社群網站，所以管制政策可以跟著人員移動，提供更有彈性的作法。

除此之外，專用網址過濾設備所內建的網址資料庫，也遠比防火牆內的網址資料庫更為完整，同時專用設備的分類架構也更為細緻，例如企業要開放員工使用社群網站，但是禁止員工在上面玩網路遊戲，那麼就可以設定只阻擋社群網站的遊戲，而且MIS透過設定網頁就能很快地完成管制。

因為專用網址過濾設備具有Proxy機制，能夠記錄員工所有的瀏覽行為，所以，這類設備比其他管制手法，能提供更詳盡的報表。這些報表工具，都可以成為MIS進行管制的支持數據。

例如二維向度的報表分析，可先依據網站類型，以頻寬耗用度來排名，接著再從特定的網站類型中，檢視該類網站的前十大使用者。

有家企業就是透過專用網址過濾設備的報表功能，每周產生一份報表，發送給內部各單位主管。報表上列出該部門使用的頻寬在全公司排名、攤提費用，上網占用頻寬的前十大使用者姓名，以及他們都是瀏覽哪些網站等項目，讓該部門主管有憑據做進一步處理。

封鎖Facebook五大手法之五頻寬管制設備
從頻寬管理設備來管制Facebook是一種一箭雙雕的作法，一方面能夠確保主要應用所需的頻寬不受影響，另一方面也能夠讓員工因為網頁瀏覽速度過慢，而放棄使用該服務。

不過，頻寬管制的方法，卻不像網址過濾那樣簡單。雖然，目前很多防火牆都有提供QoS頻寬管理機制。但是這種QoS作法確有其限制。

最初防火牆的QoS機制，主要目的是用來管理內部電腦的使用頻寬，確保每一個人都可以有足夠的頻寬上網，超額使用者將會受到QoS的限制。

防火牆的QoS機制透過佇列（Queue）的方法來達到限制頻寬的方式，所有封包都會先放到佇列中，依據這臺電腦設定的優先順序，來決定封包傳輸的速度，當流量快要達到限制值時，優先順序下降，封包傳輸速度也減緩，就可以減少這臺電腦所占用的頻寬。

但是，防火牆的QoS管理機制，目前只能針對內部電腦的IP或通訊協定設定優先順序，換句話說，無法直接限制外部網路中的Facebook網站傳輸速度，頂多可以限制HTTP傳輸內容所占用的頻寬。

但是，如此一來，是所有的網頁瀏覽都受到影響，無法只針對Facebook進行管制。如果是專門的QoS設備，則有更完整的機制來管制特定網址的頻寬。

企業也可以藉由雙防火牆的作法，來達到管制Facebook的效果。利用內層防火牆進行網址過濾，只允許Facebook網站的HTTP溝通。接著，透過外層的防火牆的QoS來管制內層防火牆送出的HTTP資料流量，因為內層防火牆只有Facebook的資料流量，所以，就等於是管制到Facebook所使用的頻寬。文⊙王宏仁