企业网络要禁用 dropbox, icloud 或者百度等网盘有哪些方法？

说的好像不翻墙前两个能用一样。。。

@wzxjohn 试试HTTPS，联通线路目前还可以用

BAN IP，但是你举得挡的住真正的码农？

只要你的防火墙不禁 443，怎么都能出去的。

@zealic 是呀，这是难点呀，还有没有好的做法或者工具能够解决呢？

瘦客户端+远程桌面+域账号+组策略

前提是你的员工在这种环境下还能开心工作……

@66450146 你说的对，每个企业的IT管理员要是都这样做，那真是挺轻松的，但也会被骂死

@marguin 非码农的企业这么干的挺多的，跟各种 OA 系统都能紧密结合，非常方便，极大节约 IT 工作量，一定要说缺点的话就是软件费用感人

码农之类的话还是放开一点吧，多用条款而不是技术手段去封禁

@marguin
码农就不用防了，得不偿失~

自己做DNS服务器，内部只能从这个服务器解析域名，然后在DNS服务器上屏蔽掉*pan.baidu.com*
但是程序员同样可以有别的办法绕过……

@Meteoral 在本地网络设置DNS服务器就行了，所以还是没什么好办法

sstp...绕过..

IDS

域名白名单机制，需要上什么网站，可以申请添加，全部把关一遍

能上 Dropbox 的人你确定能拦得住？

劫持53端口

拔网线，，，

要求员工只能使用明文协议，并且既然是企业，每台电脑里应该都有企业根证书吧。。劫持一下https即可，或者是SNI，碰到dropbox关键字直接connection reset就可以了

@Meteoral
还得结合IP地址过滤吧，不然仅域名还是防君子不防小人

@abelyao
有什么工具或产品能够做的那么彻底？貌似运营商机房里都有域名白名单的功能，不知怎么做到的！

换工作？

@marguin 很多企业级路由不是带有管理界面吗…？

看样子是防止文件上传网盘？ （逃...

我能想到的是用7层网关（代理服务器）
dns广播里设置自动代理，客户端组策略
结合路由器只允许代理服务器对外访问

vpn和ss 你感觉你挡得住哪种

防不住的啊...
楼主到底是想防止员工带资料走?
还是嫌拖累网速?

企业 IT 当然是技术和行政两手上，光靠技术限制的话 IT 得累死……

让领导知道你拦过了就好了，得罪人做肾？

主要是要防止员工将公司资料传到网盘上带走。是呀，对台式机也许还有些效果；对于笔记本回家还拦得住吗？
仅从技术角度来看，客户端和网络层都得上工具才能治理得像个样子。
@randyzhao 大晚上不睡觉，您这是米国的时间呀

@knightluffy 太感人了，你说的在理

@sinxccc 行政上的管理太虚了，尤其是缺乏可见性。技术手段给行政手段加个外衣，领导问起来好交差，而且必要的时候也能拉出个单子，让领导看看成绩吗；同时也给领导个抓手，恩威并施方才能尽显他的英雄本色

@marguin 资料不也可以传到邮箱带走？而且除了网盘外还有各种文件传输工具。

原来是你!!

最好的办法就是封网，类似银行或者公安系统那样的安全级别。
其次是只允许HTTP类明文协议，这样就可监控。
DNS那个招是没用的，只要有加密的数据可以出去，其他都是浮云。

qq 旺旺 WEB空间，FTP等等 任何可以上传资料的地方都可以上传，我觉得还是直接断网吧。。

挺简单的，网线剪了。

断电最安全

企业一般不会禁 Wifi 吧，就算禁用了，我带个无线路由器带根插上就行了，一点都不起眼，然后电脑上鼠标右键设置共享文件夹，然后手机 ES 文件浏览器输入登录密码复制下就行了，几分钟拷贝走你机密文件，呵呵。

@marguin 这个倒是没有绝对能防的住 讲个偏门的 我在 linode 上用 owncloud 搭一个网盘. 那怎么都防不了啊.
我们现在做法就是直接在路由里封域名. 然后给领导开白名单. 这招对非开发基本是100%有效. 对开发来说, 就看自己想不想越过这层障碍了. 想干坏事的, 怎么都防不住呢.

正如楼上说的, 领导看到你做了, 就行了. 做的太绝也没必要.

真的不是米国时间啊, 代码汪的日常而已.

我们公司是这么做的：
1. 所有设备上网必须通过公司的代理服务器
2. 禁止sock5/4连接，禁止ssh到外网
3. 访问未经服务器收录的网站需要点击一个类似用户协议的按钮，表示访问此网站不违反公司协议。

@chenliang0571 为什么要这么做? 安全?

@zealic 只要不封外网，怎么都能出去

与其花大力气在网关、DNS上，不如花时间告诉员工那些文件的重要性。。这么不信任码农吗？

@heian0224 这个其实很难，很复杂，首先没有一个人能够说清楚的。作为企业的IT管理者，不信任往往是工作的出发点，不然怎么做到 due diligence?

@marguin 那你还得禁掉USB，最好要禁掉所有物理接口
还不如跟贵公司领导商量下关键电脑不连外网。

@karjarjam
@xiaogui
@Dongdong36
说禁网的各位，其实很多国有大企业就是这么干的，但是邮件什么的还是有网关出去的，其他的一律封掉。从管理的角度来讲简单了，但是人家国企不愁卖，对于中小企业如果断网就基本是作死的做法。给点技术上的建议吧。

基本上从企业协议的角度出发 你有机会
如果从技术角度出发 你觉得顺畅使用dropbox的人 你得付出多大成本能封杀？

技术上的建议就是封网封USB口

进门搜身，禁止携带金属物件、纸制品等、洗澡换上特定工作服后允许进入办公区，办公区封锁网络、屏蔽信号、遮光等；出门没收一切物品，洗澡换衣后允许离开。防止技术人员用手机直接对着资料拍照带走，或者抄到本子、手上。

@RemRain FBI的资料库的确是这样的，遮光是在干嘛，google表示只是机房要开手电而已
直接手机开热点

@402645707 不遮光的话，窗外有同伙怎么办，站窗子旁，通过肢体语言直接把信息传递出去了

完全没懂在干嘛，既然能上网，想传哪里传哪里，为什么非要传你想封的几个网盘上？

赶紧辞职

我们企业是必须走自己的 http 代理服务器才能上网，封域名。

简单的代理转换加 ss 就搞定了。如楼上很多所说，从技术角度要完全封死，虽然不是不可能，但代价太高昂。LZ 做做样子，能拦住小白用户即可。

听说有专门的公司卖解决方案, 在员工的文件系统上做手脚, 拷贝或者上传后文件都是加密过的, 只能在本地打开.

从网络上封, 那就有tg相同的纠结: 不能封死, 对于正常的流量要留空子. 既然有空子, 总有人会去钻.

就算你从软件硬件方面封锁, 你还是得让员工能用本地的软硬件访问文件, 这就是留了空子. 比如, 显示器总能工作吧, 那好, 有人用显示器来传数据. 还有通过声卡产生脉冲来传数据.

上流量监管，对异常流量一律封堵。

@xieyudi1990 你说的都是真正的Hacker能够做的出来的。
我没有期望那么高，能够防止内网有线、无线用户直接用浏览器、手机App就把文件传到Dropbox或者百度网盘也就知足了。

《IBM的BYOD历险记》http://www.ctocio.com/hotnews/6444.html

IBM应该是网络设备和客户端DLP一起上来做的解决方案，听上去很高大上的方法。可是，效果应该不是太好