在小型環境，如何有效管理網路行為？

iT邦幫忙是 iThome Online專為 IT 人推出的新服務，在這個 IT 知識分享社群裡，有疑問的人可以找到答案，有知識的人可以幫助他人。快來這裡與 IT 人一起討論交流。 更多IT解答，請至iT邦幫忙

對於企業來說，購買專用的設備（也有軟體式的產品，像是Symantec的IM Manager）去管理員工電腦的網路行為，將是最好的選擇，不僅可以封鎖P2P、即時通訊等特定類型軟體的使用，同時也能實施側錄，將員工電腦在過去一段時間，透過即時通訊所傳送的訊息，以及利用HTTP、FTP、Telnet等管道存取了什麼樣的內容全部記錄下來，不過採購這類設備並不便宜，起碼得花上十多萬元，通常是人數到達一定規模，或者是需要控管內部機密的公司，才會購買。

花錢購買產品之外，也有幾種方式是不需要花錢的，同樣能達到企業管理員工電腦網路行為的目的。

方法1：強化政令宣導
由公司以公告方式，告訴員工不可以在電腦上做那些事，像是用P2P軟體下載檔案，或者透過即時通訊傳送一些和工作有關的訊息，甚至是不相關的，也不可以，以免影響公司的日常運作，一旦發現有人違反，則依照公司政策予以處分。

根據以往的經驗，政令宣導往往只能落實在基層員工身上，對於少數職位較高的員工就不是很有約束力，他們經常會無視公司規定，受勸導後，仍繼續在電腦上從事一些不被允許的行為，並且知道這麼做會遭受公司處分；而IT人員在有所顧忌的情況下，也不敢出面加以制止，因此造成管理上的漏洞。

方法2：啟用iptables
Linux的iptables是一種支援OSI網路第7層（應用層）的防火牆模組，主要功能是過濾來往封包，因此可以針對進出內部網路的封包採取檢查，驗證封包的真正身分，判別是由何種網路應用程式所發出，根據檢查結果決定是否放行。

許多市售產品的類似功能，其實是從iptables修改而來，如果IT人員熟悉Linux的操作，其實可以用一臺電腦實用iptables，用這種方式封鎖特定應用程式的封包無法進出網路。

方法3：使用第3方韌體，修改網路設備功能
某些家用等級的網路設備，尤其是一些使用Broadcom晶片的無線網路設備，在功能上允許使用透過更新第3方韌體的方式增加設備功能。其中最有名的一款，莫過於Linksys的WRT-54G（但第5版之後的產品不具備類似功能）。

不單只是滿足個人使用者改機的樂趣，利用第3方韌體管理內部電腦的網路行為也是可行的，DD-WRT、WayOS這兩款第3方韌體，就有針對這部分的需求提供相關的功能，直接在網頁介面當中勾選，就可以禁止內部電腦使用某些特定種類的應用程式，像是eMule、BitTorrent，以及MSN等，都是其中之一。

除了永久性的開放與封鎖之外，WayOS也可以整合排程器，設定某些時候，開放某些電腦能夠使用這些原本不被允許的應用程式，開放同時，可以套用QoS的流量規則，保障重要應用程式，如HTTP、SMTP的使用頻寬不致受到影響。

值得注意的是，刷新第3方韌體之後，設備原本有提供的某些功能可能會因此而消失，例如WayOS在功能上並未包含NAT封包轉送與DMZ兩項功能，對於有在企業內部架設網站的企業來說，就不適合透過這種方式管理內部電腦的網路行為。

這一類韌體大多是針對家用端產品所開發，因此硬體的負載能力，勢必不如企業等級的設備，因此只能使用於小型環境，規模較大的環境則必須透過防火牆、UTM，以及其他單一功能的設備來做管理。文⊙楊啟倫