老张在一家小公司当 IT,一个人管着四十多台设备,包括电脑、打印机、还有几台网络摄像头。
这公司以前没出过什么大事,但老张心里一直有个隐忧:员工上网用的是公司网络的公共 DNS,你知道那个 DNS 服务器会记录什么吗?员工访问了哪些网站,买了什么东西,看了什么视频,后台都看得一清二楚。老张不是那种爱监控员工的领导,但这个风险他没法跟老板交代。
更让他头疼的是,有一次市场部的小李电脑突然弹出一个"你的电脑已被锁定"的弹窗,要求扫码付款解锁。老张过去一看,不是真的勒索病毒,是一个钓鱼网站劫持了浏览器。但这个弹窗是哪来的?查了半天,发现是小李自己访问了一个第三方下载站,误点了诱饵按钮。
类似的事情隔几个月就来一次,每次老张都要花大半天时间逐台排查。他跟老板申请过买商业安全软件,老板问多少钱,老张报了价,老板说"先看看有没有免费的方案"。
后来老张在一个技术群里讨论这个事,有人推荐 AdGuard Home,说可以部署在公司内网的服务器上,所有经过公司网络的流量都会先经过它的过滤层,广告、追踪器、钓鱼网站统统挡掉,而且还能看全网的访问日志,哪台设备访问了什么网站,后台一目了然。
老张当晚就动手,用公司那台跑着 Linux 的旧服务器搭了一套。配置不难,关键是思路——把 AdGuard Home 作为公司网络的 DNS 中转站,所有设备DNS查询都经过它,过滤规则实时匹配,恶意域名直接返回空。
上线第一周,他就从后台看到好几台设备在尝试访问已知钓鱼域名,都是员工误点的,被 AdGuard Home 直接拦了。更直观的是,以前员工抱怨"怎么这个网站有广告",现在没人说了——连那个下载站的弹窗都没了。
老张跟老板汇报的时候,打开后台给老板看访问日志,哪台设备在什么时间访问了什么网站,清清楚楚。老板看完说了一句话:"这东西不错,以后员工的网络行为有据可查,你排查问题也方便。"
老张心里想的是:以后市场部小李再乱点,我五分钟就能查到是他哪台设备在干吗,不用像以前一样一台一台查了。
那台旧服务器现在跑得很稳,四十多台设备,每天过滤几千次请求,老张说这是他干 IT 多年来花最少时间管网络的一次。
