Я запустил бы с nfsstat и iostat.
Например, Вы могли бы хотеть смотреть:
watch -n1 'nfsstat -c'
iostat -n 1 1
Кого Вы используете в качестве своего поставщика DNS? Если можно переключиться на кого-то как OpenDNS (это свободно), они обеспечивают автоматический (и очень настраивающийся) блокирование сайтов социальных сетей, веб-почты, взрослое содержание и т.д.
Править: Вы ничего не должны изменять со своим ISP также.
Вы могли бы даже быть продвинуты на управление, если Вы продолжаете это.;)
На Вашей Cisco asa Вы может сделать следующее:
regex facebook1 "facebook\.com"
class-map type inspect http match-any block-url-class
match request uri regex facebook1
policy-map type inspect http block-url-policy
parameters
class block-url-class
drop-connection log
policy-map global_policy
class inspection_default
inspect http block-url-policy
service-policy global_policy global
Я высоко предположил бы, что Вы читаете полное изложение на веб-сайте Cisco.
Решение DNS походит на лучший ответ мне, но знать, что, конечно, они, скорее всего, все еще смогут получить доступ к сайтам через IP-адрес (Вы, вероятно, знаете от уровня Вашего вопроса, но другие, которые находят это на Google, не могли бы быть).
Во-вторых, взгляд на ответ Evan для дискретного ограничения пользователей в запущении определенных программ на компьютерах Windows о том, чтобы мешать пользователям запустить определенные программы. Я думаю, что Вы пытаетесь решить проблему управления с IT. Действительно они должны, вероятно, нанимать людей, которые достаточно ответственны для соблюдения независимо от того, что правила ясно даны понять, и они должны, вероятно, волноваться о них получающий их преуспевшие задачи и вовремя вместо того, какие веб-сайты они посещают в их время простоя. Блокирование этого материала, вероятно, просто собирается распространить негодование всюду по компании. Вы делаете, конечно, должны сделать то, что необходимо сделать, и это, вероятно, даже не ваше дело - но я думаю, что это нужно всегда рассматривать прежде, чем взять этот вид шага, если бы это уже не было.
У моего клиента была эта точная проблема. Вот то, как мы занялись решением:
Установленный поле IPCop со встроенным прокси Сквида и также установленный URLFilter прибавляют. Весь трафик теперь течет через поле IPCop.
Трудно кодированный общий IP-адрес к их добавочному телефонному номеру для очевидного факта, что это сделало это ПУТЕМ легче идентифицировать преступников. Мы также изменили все настройки сервера DNS для указания на OpenDNS. (Далее фильтрующие варианты возможны с OpenDNS, но оказалось, что они не требовались, в конце концов.)
Удаленный (и запрещенный) использование всех общедоступных клиентов IM, таких как Yahoo Messenger, MSN, AOL, ICQ, и т.д., и т.д. Вместо этого мы установили безопасный сервер XMPP только для компании под названием SecuredIM так, чтобы весь трафик IM был зарегистрирован и, как гарантировали, будет связью от компании к компании только.
SecuredIM также имеет уникальную способность делать снимки экрана рабочих столов каждые XX минуты. Если сотрудник подозревался в том, чтобы лентяйничать (на основе журналов IPCop), изображение стоило 1 000 слов. Выберите снимки экрана, мог быть заархивирован и послан по электронной почте для более позднего обзора (или дисциплинарное действие).
Мы заблокировали Facebook, MySpace, Hulu и два или три других главных злоупотребления через URLFilter на поле IPCop.
Ручной обзор (и больше сайтов, заблокированных при необходимости) приблизительно в течение недели.
Открытый "освобождают/разблокируют" перемещение в течение обеда ( 12:00 - 13:00).
К концу недели компания была общим преобразованием. Производительность увеличилась существенно и никто так, как жаловался.
Как с любой компанией, всегда существует 1-2 мятежника там, которые думают, что это - "игра".
Когда nytimes.com
был заблокирован они перешли к другому новостному сайту. Когда это было заблокировано, они выбрали еще один. Другие прекратили перемещаться и подняли хобби, такие как Пасьянс и Минный тральщик, но снимки экрана SecuredIM поймали это (IPCop не мог, очевидно).
В течение двух недель (и несколько обсуждений работодателя/сотрудника включая дисциплинарные меры для упрямых людей) все работало гладко и работало гладко в течение почти двух лет.
URL:
ПРИМЕЧАНИЕ СТОРОНЫ:
Как забавная история стороны. Приблизительно год спустя электрическая неисправность в здании заставила источник питания на поле IPCop выходить, и это было за 2-3 дня до того, как новое поле IPCop могло быть помещено на месте.
Мы нашли, что потребовалось меньше чем 48 часов для сотрудников для возвращения к их старым/исходным перемещающимся привычкам и производительности для отбрасывания.
Это был вполне общественный опыт.:-)
Возможно, вместо того, чтобы блокировать IP-адреса, Вы могли направить имена хостов к localhost, то есть, отредактировать Ваш файл хоста, таким образом, это смотрит что-то как:
www.facebook.com 127.0.0.1
Это остановило бы истинный IP-адрес Facebook, и т.д. когда-либо ищась.
Если у Вас нет времени или штата для создания собственного решения, Вы могли бы рассмотреть продукт под ключ.
Мы используем Threatwall eSoft, который делает отличную работу по управлению доступом (через IP или URL). Довольно легкий настроить с флажками для всех общих типов сайтов, плюс способность добавить Ваше собственное и иметь белый список. Они имеют различные пакеты в наличии (наш также фильтрует спам, например).
Не связанный с eSoft, кроме как клиент, Dave
Я проявил другой подход к решению этой проблемы.
Вместо того, чтобы иметь ASA дешифруют трафик, который я создал вперед зона поиска на моем локальном сервере DNS для "facebook.com" и оставил весь пробел записей DNS. Если Вы хотели бы, можно всегда указывать на сайт на внутреннюю веб-страницу, говоря пользователю, они пытаются получить доступ к сайту, который запрещается политикой компании.
Я надеюсь, что это помогает.