解决非法代理服务器

    无法防止内部非法的代理服务器，所谓非法，就是在可以上网的机器上装有代理软件，不可上网的用户通过此代理上网。非法代理实际上是很头痛的事情，这种封包没有任何特殊性，而且代理服务器的端口可以任意修改，用访问列表来控制几乎是不可能的，唯一的办法就是彻底断绝可上网与不可上网用户的通讯。
    下面我给出一种目前来说比较完善的局域网方案，基本可以控制住机器的上网，首先要使用了三层交换机，VLAN划分和ACL，同样也适用于其它目的的网络控制。
    其中VLAN1:192.168.1.0是可以上网的，VLAN2:192.168.2.0是不可以上网的，VLAN3:192.168.3.0是服务器。
        VLAN1与VLAN2通过访问列表不禁止任何通讯；VLAN1和VLAN2都可以和VLAN3通讯。
访问列表的设置：
条目
动作
源地址/掩码
目的地址
    1   禁止     192.168.1.0/255.255.255.0     192.168.2.0  
    2   禁止     192.168.2.0/255.255.255.0     192.168.1.0  
    将此列表应用在接口VLAN1和VLAN2上，启用VLAN间路由。
        VLAN1和VLAN2之间用户较小的文件传输可以通过局域网的Email服务器，较大的文件可以在服务器上建立FTP服务。
    这样，VLAN2的用户无论如何更改IP，也不能达到上网的目的，而且也不能通过VLAN1内的非法代理上网，并且通过VLAN3的服务器可以实现文件共享，可以说是一个较为理想的方案。
    最后我要说的还是，技术不是万能的，要依靠完善的管理手段才能发挥最大作用，建立完善的网络操作规范，合理的行政制度，并且严格执行（如果你放水，工作就越来越难开展，甚至丢掉工作都有可能），不但对网络管理人员是一个好消息，而且是一个合格网络管理人员的基本要求，对企业来说也是有利无弊的。