本文简介:很多ISA管理员都需要对客户机使用的网络应用程序进行限制,有的公司希望限制用户使用QQ聊天,有的企业不希望用户使用BT下载,还有的单位禁止员工打网络游戏。这些限制如何实现呢?今天我们介绍一种简单易用的方法:利用防火墙客户端限制客户机程序的运行。 防火墙客户端可以根据文件名限制客户机执行的应用程序,虽然根据文件名进行限制不是很保险,但对付一般用户还是有作用的。至于高手嘛,呵呵,反正俺是绕着
很多ISA管理员都需要对客户机使用的网络应用程序进行限制,有的公司希望限制用户使用QQ聊天,有的企业不希望用户使用BT下载,还有的单位禁止员工打网络游戏。这些限制如何实现呢?今天我们介绍一种简单易用的方法:利用防火墙客户端限制客户机程序的运行。
防火墙客户端可以根据文件名限制客户机执行的应用程序,虽然根据文件名进行限制不是很保险,但对付一般用户还是有作用的。至于高手嘛,呵呵,反正俺是绕着走…
实验拓扑如下图所示,Denver是contoso.com的域控制器,Perth是域内工作站,Beijing是域内的ISA2006服务器,此次的实验目的是限制使用即时通讯软件SKYPE。
我们的实验思路是:
1 迫使客户机使用防火墙客户端
2 利用防火墙客户端禁止特定程序
一 迫使客户机使用防火墙客户端
由于只有防火墙客户端具有限制程序的功能,因此我们必须让客户机使用防火墙客户端。但ISA的代理方式有三种,Web代理,防火墙客户端和SNAT,怎么才能让用户放弃其他两种选择呢?
首先我们先要禁止用户使用Web代理,想做到这一点很容易,只要在ISA上关闭Web代理就可以了。在ISA服务器上依次点击 开始-程序-Microsoft ISA Server-ISA服务器管理, 展开 配置-网络-内部,在内部网络的属性中切换到“Web代理”,如下图所示,取消“为此网络启用Web代理客户端连接”,这样ISA就不再对内网提供Web代理服务了。
要禁止客户机使用SNAT就要动动脑筋了,我们可以利用SNAT不支持用户身份验证的弱点,在访问规则中要求用户必须通过身份验证,这样就可以强迫用户放弃SNAT。如下图所示,现在的访问规则中允许所有用户任意访问,所有用户包括了未经身份验证的用户,因此我们要对规则进行修改。
编辑规则属性,切换到用户标签,如下图所示,删除“所有用户”,然后点击“添加”按钮,将用户集“所有通过身份验证的用户”添加进来。
由于修改后的访问规则要求用户提供身份验证,但SNAT客户端无法提供,这样客户机就被逼上了只能使用防火墙客户端的华山绝路。
二 利用防火墙客户端禁止特定程序
现在客户机只能使用防火墙客户端上网了,我们可以来试试用防火墙客户端限制程序了。我们此次的实验目的是限制使用SKYPE,SKYPE是一款功能非常强大的通讯软件,它的分布式计算特点使它获得了非常完美的通话音质,而它凶悍的穿透能力让很多防火墙管理员一筹莫展。今天我们要试试用简单的方法来限制SKYPE,在没限制之前,客户机的SKYPE可以正常使用,如下图所示。
打开ISA服务器管理,展开 配置-常规,点击“定义防火墙客户端设置”,如下图所示。
在防火墙客户端设置中切换到“应用程序设置”,如下图所示,点击“新建”。
Skype的可执行文件名为skype.exe。在新建的应用程序项目中,我们在应用程序中输入skype,不用输入skype.exe,键选择“Disable”,值选择“1”。从字面意义来看是禁止使用skype。
添加了应用程序设置后,重启客户机,然后启动skype进行测试,如下图所示,skype一直在尝试连接,但始终连接不上,实验成功。
但如果用户意识到问题所在,修改了文件名,那防火墙客户端就无能为力了。如下图所示,我们将skype.exe修改为myskype.exe。
修改用户名后,再次启动skype,如下图所示,skype很轻松地突破了防火墙客户端的限制。
综上所述,防火墙客户端在限制程序方面能起到一定的作用,可以参考使用,但较好辅助其他技术手段,例如用组策略禁用软件等,这样效果才能更好。
其实,无论是通过防火墙Skype聊天,防火墙限制Skype聊天,防火墙过滤Skype聊天,防火墙监控Skype聊天,防火墙控制Skype聊天;还是通过路由器禁止Skype聊天,路由器限制Skype聊天,路由器过滤Skype聊天,路由器监控Skype聊天,路由器控制Skype聊天,都变得不太现实,同时操作也极为复杂。
总之,禁止Skype聊天,限制Skype聊天,监控Skype聊天,过滤Skype聊天,控制Skype聊天,屏蔽Skype聊天,阻断Skype聊天,拦截Skype聊天,封堵Skype聊天,禁用Skype聊天,禁Skype聊天,限Skype聊天,封Skype聊天,禁Skype聊天,限Skype聊天,封Skype聊天,Skype聊天端口,Skype聊天协议,Skype聊天服务器IP,如何控制Skype聊天,如何Skype聊天,如何限制Skype聊天,如何封堵Skype聊天,如何监控Skype聊天,如何管理Skype聊天等等这些功能,聚生上网管局域网流量控制软件可以实现!
托管防火墙服务(MFW)应用的利与弊
防火墙作为IT环境中的基础设施和企业安全运营的中心环节,已经成为企业组织不可或缺的安全设备。一方面,防火墙内置海量的漏洞特征和威胁库,可以有效帮助防御大量已知安全风险;另外一方面,防火墙提供强有力的实时阻断能力,在安全事件处置、应急响应中也起到无可替代的作用。
但是对很多中小型企业组织而言,如何合理的配置和使用防火墙是个比较棘手的难题,其原因主要在于缺少专业的安全运营人员。此时,选择托管防火墙服务(MFW),快速引入专业的安全专家资源,可以帮助企业组织更轻松地应对安全挑战。
MFW应用的价值
企业可以按需选择MFW服务项目,具体内容包括:
- 防火墙系统的安全运营监测和报警。
- 安全日志和事件管理。
- 设备系统的全生命周期管理,包括版本更新和补丁等。
- 安全策略的配置、实施、报告、分析和优化。
- 系统漏洞检查和安全审查。
- 网络流量的运营监控及分析报警。
MFW 服务具有以下方面的应用优点:
更丰富的专家资源
MFW服务供应商通常拥有一支专业的安全专家团队,精通防火墙设备的使用和配置,可以帮助企业显著提升设备的运营效率。
减轻员工负担
防火墙系统的硬件、软件和固件更新是很耗时的工作,MFW供应商可以提供成熟的事务性运维工作流程,负责所有设备和软件更新。这使企业组织的安全团队可以专注于更有价值的安全事项。
加快安全事件响应
通过MFW服务,可以建立7*24小时的不间断运维工作流程,确保随时发现安全风险并立即响应事件,同时不需要额外增加企业的预算投入。
实现主动式安全
MSP通常会密切关注并监控安全威胁情报,以便在出现突发性安全事件时及时调整保护机制,这么做可以减轻内部团队的负担。
更灵活的扩展与备份服务
对于成长型企业组织,采用MFW服务可以避免繁琐的运维人员招聘和新设备采购流程,充分享受到MFW提供商更快、更经济高效地扩展保护机制。同时,MFW提供商常常可以访问重要的备份和恢复资源(包括随叫随到的工作人员),这可能比使用内部资源更快地恢复。
监管合规
监管及/或数据处理要求复杂的行业(比如医疗保健或支付处理行业)常常可以使用受监管行业方面有经验的MFW提供商。
MFW应用的挑战
尽管MFW服务具有很多应用价值,但是它可能难以满足以下类型企业的应用需求:
必要的成本投入
预算较小、流量较低或网络较精简的企业可能发现,选用MFW会带来一定的应用成本提升。
数据访问要求严格
对数据安全要求严格的企业也许发现,让组织外部的人访问系统运营数据会面临合规监管方面的压力,如何确保访问日志的服务提供商不会泄露数据和扩散访问权限是个挑战。
对企业的业务流程了解不足
如果企业的业务流程比较复杂,或者业务安全的风险态势较为严重,外包提供商由于对企业的业务特点和流程缺乏了解,将难以给出合理的安全事件严重程度分析及防护建议。
不利于内部团队成长
网络安全是一项重要的IT职能。如果为了减少人员设置而将防火墙运维工作外包,可能会不利于企业组织内部的专业能力成长。
为了尽量减少MFW服务可能存在的不足及其他弊端,企业组织也可以采用协同运营防火墙模式,许多MFW服务商也都会提供安全责任共担计划,让组织可以保持完全可控的运营权限,并根据需要或要求执行自己的管理任务。虽然这会增添一些工作复杂性,但也会给企业提供更灵活的可选择性。
本文为 防火墙 收集整理,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。https://www.wgj7.com/cjwt/11648.html