巧用OpenDNS设置Web过滤抵御安全风险

核心提示： 作为管理员需要知道，就如同在其它的内容过滤方案中一样,有些用户总是要想方设法绕过OpenDNS的过滤,去访问那结被阻止的网站，巧用OpenDNS设置Web过滤抵御安全风险(8)，这些用户会试着为其计算机设置其它的DNS服务器，这就会绕过任何内容过滤设置，除了OpenDNS的IP地址，即20

作为管理员需要知道，就如同在其它的内容过滤方案中一样,有些用户总是要想方设法绕过OpenDNS的过滤,去访问那结被阻止的网站。这些用户会试着为其计算机设置其它的DNS服务器，这就会绕过任何内容过滤设置。如下图所示，这在Windows中是很容易配置的。如下图9所示：

图9

用户可能采用的另外一种方法是使用代理服务器等手段，这也会绕过网络的DNS服务器。这些类型的站点或程序并不总具有恶意目的。VPN连接提供了在本地网络上绕过DNS设置的功能。下面我们将讨论如何防止用户使用这些方法绕过OpenDNS。

强迫用户使用OpenDNS服务器

在解决如何锁定计算机的DNS设置之前，你应当保证用户仅拥有受控制计算机上的有限特权，这对于防止计算机上的其它问题也是有益的，如用户随意安装软件、更改设置及其它的可能影响系统安全的问题。如果用户无法编辑网络属性，特别是TCP/IP的设置，那么，也就不能使计算机使用不同的DNS服务器。你可以通过编辑每台计算机的本地安全策略来管理这些用户限制类型，在域环境中管理组安全策略，也可以简单地将用户指定为受限的账户类型。

如果某些或全部用户并不受控制，你可以设法配置路由器阻止转出的DNS通信，当然要排除OpenDNS服务器。用这种方法就可以阻止非法通信，即使用户设置其计算机使用另外的DNS服务器也无法得逞。它将仅准许使用OpenDNS服务的Web浏览。

为阻止非OpenDNS通信，你需要研究一下你的路由器用以控制用户服务的一些特性。现在有许多路由器都拥有阻止服务、访问控制、端口过滤等特性，这准许你阻止访问某些IP地址特定端口的发出通信。你的根本目标是阻止用户能够访问任何IP地址的53号端口，除了OpenDNS的IP地址，即208.67.222.222 和 208.67.220.220。具体的方法随路由器而有很大不同。如下图10: