对于远程客户端,当隔离封包过滤器在适当的位置时,您需要创建确实能够访问的资源。这样的资源例子包括DNS服务器和DHCP服务器,使得能够找回IP地址和其他链接信息,如后缀地址、DNS服务器地址等等;文件服务器能够下载适当的软件更新出问题的机器;如果发生任何问题,Web服务器能够描述隔离过程,或者允许远程用户通过e-mail联系IT支持商。 您可以用两种方法指定和使用隔离资源。第一个是找出某些服务器,它可以像那些隔离资源一样,能够覆盖您的网络。
这可以让你使用一个现有的机器来放置隔离资源,但是您也必须为每一个现有的机器的隔离资源,创建单独的封包过滤器。考虑到性能和开支原因,最好在某个时期限制单独……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
对于远程客户端,当隔离封包过滤器在适当的位置时,您需要创建确实能够访问的资源。这样的资源例子包括DNS服务器和DHCP服务器,使得能够找回IP地址和其他链接信息,如后缀地址、DNS服务器地址等等;文件服务器能够下载适当的软件更新出问题的机器;如果发生任何问题,Web服务器能够描述隔离过程,或者允许远程用户通过e-mail联系IT支持商。
您可以用两种方法指定和使用隔离资源。第一个是找出某些服务器,它可以像那些隔离资源一样,能够覆盖您的网络。这可以让你使用一个现有的机器来放置隔离资源,但是您也必须为每一个现有的机器的隔离资源,创建单独的封包过滤器。考虑到性能和开支原因,最好在某个时期限制单独封包过滤器的数量。
如果您决定采取这种方法,您需要启动下表中列出的封包过滤器:
| 通信类型 | 源端口 | 目的端口 | 替代品(而不是指定的端口信息) |
| 隔离Notifier | 无 | TCP 7250 | 无 |
| DHCP | UDP 68 | UDP 67 | 无 |
| DNS | 无 | UDP 53 | 您也可以指定任何DNS服务器的IP地址。 |
| WINS | 无 | UDP 137 | 您也可以指定任何WINS服务器的IP地址。 |
| HTTP | 无 | TCP 80 | 您也可以指定任何web服务器的IP地址。 |
| NetBIOS | 无 | TCP 139 | 您也可以指定任何文件服务器的IP地址。 |
| Direct Hosting | 无 | TCP 445 | 您也可以指定任何文件服务器的IP地址。 |
您也可以设定任何其他的,针对您机构的特别的封包过滤器。
另一种方法是把您的隔离资源限制在一定IP子网。这样,您只需要一个封包过滤器,用以对一个远程用户隔离通信,但是您可能需要重新给机器分配地址,在大多数情况下,要把他们从现有服务中拿出或者购买新的。
使用这种方法,封包过滤器的要求比较简单。您只需在目的端口TCP 7250上,为notifier流量打开一个;在远端口UDP 68和目的端口IDP 67上,为DHCP流量打开一个;在专用隔离资源子网的地址范围,为其余的流量打开一个。其次,您也可以专门针对您的机构设定任何其它的封包过滤器。
相关推荐
-
解析拒绝服务攻击的攻击技术
DoS即Denial Of Service,拒绝服务的缩写。DoS是指故意攻击网络协议实现的缺陷,或直接通过野蛮手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供
-
网管知识 浅谈服务器安全问题
很多用户都碰到过这样一些难堪的事,因为服务器的安全漏洞问题,导致其中数据的丢失、权限被非法取得。其实随着工作中的研究和探讨,就会逐渐发现这些安全隐患的……
-
在使用防火墙时 如何使用DNS
一些机构想隐藏DNS名,不让外界知道。不要自欺欺人的认为,如果隐藏了你的DNS名,在攻击者打入你的防火墙时,会给攻击者增加困难……
-
管理DNS的最佳实践
问:我们已知的管理DNS的最佳做法,有哪些是可以信任的呢?更具体地说,在普通的企业风险排行中,DNS安全应该处于什么位置?