企业中封锁控制Skype的最佳做法

【赛迪网-IT技术社区整理】Skype是许多企业员工使用的一种免费的基于互联网的电话服务。有些企业使用Skype作为内部的应用。一家法国的公司和一家美国的公司使用Skype作为自己开发团队使用的协作工具。那么，企业应用允许Skype在自己的内部网络中使用吗?据安全和广域网优化厂商Blue Coat Systems称，这个答案是没有必要。

全球的Skype用户已经超过了2.5亿。Skype用户在亚洲最多，其次是欧洲，北美的用户最少，Skype是eBay旗下的公司。

那么，为什么企业要封锁Skype呢?Skype像即时消息服务一样工作。没有企业要求的集中的电话活动记录。换句话说，企业不知道正在发生什么事情。第二，电话是根据P2P运行的，像传送文件一样。没有病毒扫描、没有内容控制或者电话记录。恶意软件因此能够进入企业网络。Skype用专有的技术加密电话，因此很难符合财务规定。

Skype开发人员创建了一些技术访问Skype超级节点和在互联网上的其它Skype登录服务器。一个超级节点可以是运行Skype软件的任何连接到互联网的PC。这个连接过程是：

1.Skype直接使用UDP数据包，然后是STUN，然后是TURN。

2.如果是上述1不起作用，那么，Skype在以前使用的Skype端口上使用TCP。

3.如果是上述2不起作用，那么，Skype使用端口80或者端口443上的TCP。这些端口通常支持HTTP和HTTPS。

Blue Coat公司发表了题为“在企业中控制Skype的最佳做法”的白皮书。Blue Coat推荐的解决方案是把防火墙与他们的Blue Coat SG产品解决在一起。这篇白皮书简要介绍了封锁Skype的四种方法：

1.封锁不必要的打开的端口。

2.使用/创建允许通过企业防火墙的设备的白名单。

3.应该封锁Skype可执行文件，以及Skype.com和以skype.exe结尾的URL。

4.安装安全套接层(SSL)控件，封锁不符合HTTP等预计的协议的连接。

企业总是会允许Skype通讯经过其网络的。在这种情况下，Blue Coat建议允许身份明确的用户群和位置以及可以识别的群进入企业网络，同时封锁其他的Skype用户。

Skype是企业应该封锁的许多服务之一。大多数用于文件共享的P2P服务也应该封锁。人们经常提出互联网上提供P2P功能的新理由。企业必须研究这些服务并且确定它们对于企业的价值。对于这些新服务想法的最初反应是它们显示出商业价值之前先封锁它们。

责任编辑：封小明

网管有家bitscn.net