问:我该如何用我的网关来阻止特定的即时通讯客户端? 答:很遗憾,试图使用一个基础的网关防火墙来阻止即时通讯是非常耗时的,而且就算做到也是非常有限,因为许多IM应用程序本身就被设计成可以绕过防火墙安全的。尽管IM和P2P应用程序通常都使用众所周知的端口,但很多具有主动寻找防火墙上任何开放端口的能力。比如当它们需要进行HTTP通信时,这种能力将允许它们通过80端口。一旦被打包为HTTP包,IM通信几乎无法和普通的网络通信相区别。
比如AOL的AIM(美国在线的一个即时通讯软件)就可以使用许多公共的端口,像80端口和21端口(FTP)。这意味着阻止一个即时通讯软件的默认端口行不通。IM协议不断推出新的……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:我该如何用我的网关来阻止特定的即时通讯客户端?
答:很遗憾,试图使用一个基础的网关防火墙来阻止即时通讯是非常耗时的,而且就算做到也是非常有限,因为许多IM应用程序本身就被设计成可以绕过防火墙安全的。尽管IM和P2P应用程序通常都使用众所周知的端口,但很多具有主动寻找防火墙上任何开放端口的能力。比如当它们需要进行HTTP通信时,这种能力将允许它们通过80端口。一旦被打包为HTTP包,IM通信几乎无法和普通的网络通信相区别。比如AOL的AIM(美国在线的一个即时通讯软件)就可以使用许多公共的端口,像80端口和21端口(FTP)。这意味着阻止一个即时通讯软件的默认端口行不通。IM协议不断推出新的和更先进的功能。防火墙协议签名不是同时也跟之更新,所以实时连接的同步特征意味着,如果不很大程度地影响网络的性能,许多防火墙就不可能对通信流量进行检查和分析。另外一个问题是,IM网络提供商拥有自己独特的IP地址,供客户连接,而且这些IP地址频繁变化或者是随机变化的。由于这些变化,你不知道配置防火墙来应该阻止哪个IP地址。
假如你需要在整个网络中监视和控制IM通信,可以考虑使靡桓鲇τ貌惴阑鹎剑缢伎频腎OS防火墙,它可以控制用户定义的即时通讯服务主机名单发送和接收的通信。你还可以对网关进行特定的调整来监测IM和P2P的使用,比如FaceTime Communications.公司的IM Guaridian RTG500网络工具,或者Akonix Systems Inc.'s L7企业版,它是一个可以允许你保护和控制公共IM的软件型代理网关。需要更多信息请访问www.akonix.com。这些产品允许你设置权限控制策略、执行加密,限制谁可以和谁进行通讯,以及要求至少有客户版和标准的用户名。假如你想减少虚假用户和IM垃圾信息,你可以为包含你组织名称的IM使用一个标准命名协定。同时你应该确认网络用户的IM账号密码不应该和网络的密码一样,并且告知公司的IT部门决不会应用户的要求,通过IM来提供密码和账号信息。
假如你想简单地限制谁可以通过IM来联系你,大部分IM程序允许你创建联系列表或“好友”名单。好友名单跟邮件的地址簿非常相似。你可以阻止那些不在你联系列表上的人发来的信息,或者限制谁可以将你加入好友名单。许多应用程序,像Cerulean Studios的Trillian聊天客户端使用加密方法。假如有的话,你也可以使用加密程序。
作者
相关推荐
-
NSS实验室评估下一代防火墙
根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]
-
为什么单靠网络外围安全行不通?
近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…
-
“外围”消亡 企业安全防护需要新形态
外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。
-
怎样正确地测试和维护防火墙?
大多数企业认为防火墙是一种成熟的技术,且通常安全专家也不会过多考虑防火墙。在审计或评估防火墙时,企业通常只是简单地勾选表明防火墙在保护网络的选项就完事……