论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 18 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 关于禁止IM、P2P通讯
帖子发表于 : 2007-05-21 21:35 
离线
新手

注册: 2007-05-21 20:52
最近: 2011-02-09 12:48
拥有: 11.90 安全币

奖励: 0 安全币
在线: 24 点
帖子: 1
个人认为目前还没有一种有效的方法禁止IM、P2P通讯。因为目前禁止主要是三种手段:
1、封端口。早已落伍,因为这些应用的端口都是不固定的,有些用动态端口,有些甚至用80等常用端口,根本没法封。;
2、封服务器地址。可以做到禁止,但在一定时间上有效,因为该应用的服务器可能会增多或者修改地址,这就需要网管及时更新拉;
3、协议签名。通过支持应用层识别能力的设备(如防火墙)等做根据协议签名的流量控制。效果最好,但也存在软件协议签名变换,或者提取的签名准确度不高等等无效因素。
推荐采用限制的策略对付IM、P2P通讯,具体如下:
1、连接数限制。限制每个客户端的并发连接数,将该种应用队网络的影响减少。但存在客户开了很多P2P,上不了网的情况,所以需要网管根据实际情况适当设定连接数。
2、QOS。服务质量管理,通过规划常见的网络应用,而且相应地给这些应用报证最低的带宽,其它应用则限制一定带宽。
通过以上策略,可很好地控制了IM、P2P的应用。
以上是个人愚见,请各路高人指点!


--------本帖迄今已累计获得11安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-07-20 15:00 
离线
新手

注册: 2007-07-20 11:46
最近: 2012-07-27 11:07
拥有: 3.00 安全币

奖励: 0 安全币
在线: 182 点
帖子: 5
同感 顶


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-09-05 15:51 
离线
中级用户

注册: 2007-05-17 14:12
最近: 2014-09-30 11:24
拥有: 809.90 安全币

奖励: 259 安全币
在线: 1863 点
帖子: 102
这样的策略对网络流量的控制可以起到一定的作用,但不能对行为进行控制。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-09-05 21:19 
离线
顶级用户

注册: 2005-01-19 15:30
最近: 2017-09-29 10:06
拥有: 4,279.80 安全币

奖励: 114 安全币
在线: 6800 点
帖子: 830
http://bbs.chinacissp.com/viewtopic.php?t=4346


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于禁止IM、P2P通讯
帖子发表于 : 2009-05-14 16:08 
离线
初级用户

注册: 2009-04-13 21:00
最近: 2009-07-20 19:54
拥有: 230.00 安全币

奖励: 8 安全币
在线: 329 点
帖子: 53
地址: beijing
有一款美国的软件 Facetime可以做到,监控MSN,Skyper,QQ
等等软件的传输内容。


a_boo 写道:
个人认为目前还没有一种有效的方法禁止IM、P2P通讯。因为目前禁止主要是三种手段:
1、封端口。早已落伍,因为这些应用的端口都是不固定的,有些用动态端口,有些甚至用80等常用端口,根本没法封。;
2、封服务器地址。可以做到禁止,但在一定时间上有效,因为该应用的服务器可能会增多或者修改地址,这就需要网管及时更新拉;
3、协议签名。通过支持应用层识别能力的设备(如防火墙)等做根据协议签名的流量控制。效果最好,但也存在软件协议签名变换,或者提取的签名准确度不高等等无效因素。
推荐采用限制的策略对付IM、P2P通讯,具体如下:
1、连接数限制。限制每个客户端的并发连接数,将该种应用队网络的影响减少。但存在客户开了很多P2P,上不了网的情况,所以需要网管根据实际情况适当设定连接数。
2、QOS。服务质量管理,通过规划常见的网络应用,而且相应地给这些应用报证最低的带宽,其它应用则限制一定带宽。
通过以上策略,可很好地控制了IM、P2P的应用。
以上是个人愚见,请各路高人指点!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于禁止IM、P2P通讯
帖子发表于 : 2010-06-13 16:56 
离线
高级用户

注册: 2010-05-25 14:30
最近: 2011-05-07 00:00
拥有: 2,610.00 安全币

奖励: 4 安全币
在线: 0 点
帖子: 165
啥年代了。、、、、、这类产品多的不得了
cisco就有,流量清洗,深度包检测,深度流量模型分析


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于禁止IM、P2P通讯
帖子发表于 : 2010-06-17 10:15 
离线
中级用户

注册: 2009-07-17 08:44
最近: 2017-10-02 18:58
拥有: 443.00 安全币

奖励: 709 安全币
在线: 683 点
帖子: 107
Facetime可以作到么,去下一个试试呵呵,试后再来回复。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于禁止IM、P2P通讯
帖子发表于 : 2010-06-17 11:01 
离线
超级用户

注册: 2008-10-13 16:21
最近: 2016-06-08 14:32
拥有: 930.40 安全币

奖励: 2429 安全币
在线: 388 点
帖子: 516
地址: @Beijing
Qos是一个隔山打牛的好方法,目前应用比较广泛,应了“道高一尺魔高一丈”,网络应用的发展速度也是异常快,因此,分析协议、端口限制什么的也只能是限制或者管理老版本的网络应用软件,遇上新版本的系统真是束手无策,而且更何况好多网络应用软件都是强制升级的。


--------本帖迄今已累计获得44安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于禁止IM、P2P通讯
帖子发表于 : 2010-06-17 11:36 
离线
新手

注册: 2008-08-06 10:18
最近: 2013-08-15 09:47
拥有: 103.90 安全币

奖励: 0 安全币
在线: 249 点
帖子: 19
wdynastya 写道:
啥年代了。、、、、、这类产品多的不得了
cisco就有,流量清洗,深度包检测,深度流量模型分析



CISCO的这些东西应该主要还是针对ddos攻击

针对IM P2P控制目前来说主要还是楼主说的2+3方式相结合比较多,效果也更好


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于禁止IM、P2P通讯
帖子发表于 : 2010-06-17 13:03 
离线
中级用户

关注按钮

注册: 2010-06-02 12:11
最近: 2017-09-29 13:53
拥有: 1,347.00 安全币

奖励: 2661 安全币
在线: 1200 点
帖子: 112
wdynastya 写道:
啥年代了。、、、、、这类产品多的不得了
cisco就有,流量清洗,深度包检测,深度流量模型分析


你说的这些cisco是有,但流量清洗和楼主要解决的IM封禁问题一点关系都没有
这一块并不是cisco的强项
反而是国内有些厂家的产品这一块的定制开发做得比较好


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于禁止IM、P2P通讯
帖子发表于 : 2010-06-24 13:23 
离线
超级用户

注册: 2008-07-21 17:18
最近: 2017-12-07 11:37
拥有: 7,824.10 安全币

奖励: 4978 安全币
在线: 2904 点
帖子: 429
国内的这款基于bsd系统开发的看上去功能挺强大挺全面的。http://www.panabit.com/
Panabit是目前国内开放度最高、免费、专业的应用层流量管理系统,特别针对P2P应用的识别与控制,截止2009年10月25日,已经支持实际主流应用360种以上,并以两周更新一次特征库的速度持续更新(包括已支持协议和新增协议两方面的更新,Panabit已识别协议列表请关注Panabit网站首页"支持协议")。Panabit在精确识别协议即对应用分类的基础上,根据用户自定义策略,提供灵活方便的流量管理机制:带宽限速、带宽保证、带宽预留,并可基于协议/协议组、IP/IP组进行参数化的策略设置。

技术特色
1) “节点跟踪技术”极大提高了系统性能。
2) “加密协议深度识别”保证对P2P识别的准确率,能识别加密协议。
3) “Panabit 特征库”,用自主开发、描述能力强的"协议特征描述语言”—PSDL(Protocol Signature Description Language),使得维护协议特征库方便并快速发布。
软件性能
配置适当的硬件,Panabit标准版保证100Mbps线速,专业版完全满足处理双向 4Gbps吞吐量。
软件安装环境
硬件:Intel x86平台,配置P3 800Mhz以上、256M内存以上、3块网卡,128M以上电子盘或硬盘均可。
操作系统:FreeBSD 6.2或以上(Panabit 2007仅支持FreeBSD 4.11)。
配置管理
1) 安全的中文Web管理界面,可在网络的任何位置灵活方便的进行配置管理。
2) 配置简单,界面简洁,轻松上手。
3) 特征库web界面升级,全功能Web管理与监控。
其它
成熟的产品化解决方案,如支持硬件Lan Bypass,避免单点故障,保障网络不间断运行;支持CF或DOM电子盘安装介质;单套系统支持4路桥接(inline),策略分桥配置和流量分桥统计。


--------本帖迄今已累计获得49安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于禁止IM、P2P通讯
帖子发表于 : 2010-06-29 22:03 
离线
新手

注册: 2010-06-26 15:33
最近: 2010-06-30 12:47
拥有: 26.00 安全币

奖励: 0 安全币
在线: 0 点
帖子: 14
太厉害了。。。


--------本帖迄今已累计获得16安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于禁止IM、P2P通讯
帖子发表于 : 2010-06-29 23:30 
离线
顶级用户

注册: 2008-03-17 17:22
最近: 2015-07-13 13:46
拥有: 9,485.60 安全币

奖励: 1018 安全币
在线: 22841 点
帖子: 1817
地址: HK/Peking
对协议分析 禁止p2p 我觉得还是比较有效的,不知道性能如何?


--------本帖迄今已累计获得16安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于禁止IM、P2P通讯
帖子发表于 : 2010-07-06 16:28 
离线
高级用户

注册: 2008-11-02 21:55
最近: 2014-01-08 22:59
拥有: 1,146.90 安全币

奖励: 0 安全币
在线: 1965 点
帖子: 234
在DPI功能的基础上进行协议分析来禁止效果比较好。


--------本帖迄今已累计获得16安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于禁止IM、P2P通讯
帖子发表于 : 2010-07-09 08:01 
离线
版主

注册: 2009-04-02 08:23
最近: 2015-06-27 13:59
拥有: 17,691.00 安全币

奖励: 10911 安全币
在线: 9666 点
帖子: 697
DPI的问题在于性能和对加密流量的处理。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 18 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012