大家讨论一下内外网的隔离办法和经验 <- 中国开发网

CNDEV.ORG

当前在线

论坛

CBD
- 程序员情感CBD
- 程序员见面交流会
CBD开发区
- Java/J2ME
- .NET/C#
- 数据库
- Delphi/BCB
- Visual C
其它
情感
游戏
- CNDEV-CS/WOW
- 浩宇长空
生活
论坛系统

中国开发网: 论坛: 程序员情感CBD: 贴子 62081

oxygen：

大家讨论一下内外网的隔离办法和经验

[阅读: 583] 2004-12-11 16:16:00

<空>

相关信息:

大家讨论一下内外网的隔离办法和经验 (空) (oxygen [582] 2004-12-12 00:16)
- 关键还是在应用协议级别/层次上作文章 (68字) (haitao [560] 2004-12-12 00:19)
  - 你是说做端口限制？ (空) (oxygen [573] 2004-12-12 00:22)
    - maybe (空) (坏鼠标 [477] 2004-12-12 00:23)
    - 仅端口太宽松了，数据库连接已经是端口加用户名、密码了，不还是担心嘛 (22字) (haitao [626] 2004-12-12 00:28)
      - 怎么防家贼 (空) (坏鼠标 [511] 2004-12-12 00:30)
        是防病毒 (空) (oxygen [411] 2004-12-12 00:31)
        为什么要防病毒 (8字) (坏鼠标 [525] 2004-12-12 00:32)
        也是，没事养几个病毒玩玩，领导才知道做技术的重要性 (空) (oxygen [498] 2004-12-12 00:36)
        本来就是嘛，没了问题领导养着你们干嘛啊 (空) (坏鼠标 [390] 2004-12-12 00:37)
        2说 (47字) (haitao [404] 2004-12-12 00:39)
      - 端口识别是最简单的，再复杂了就得砌墙了 (空) (oxygen [516] 2004-12-12 00:31)
        防火墙？那只能防到端口吧 (15字) (haitao [418] 2004-12-12 00:44)
        可以识别一些特征码 (空) (oxygen [505] 2004-12-12 00:46)
        那应该都是很简单的特征码 (22字) (haitao [454] 2004-12-12 00:48)
        no,新一代的防火墙是可以做到第四层的协议解析的,甚至支持自定义新的应用协议, (50字) (bigshrimp [621] 2004-12-12 09:55)
        你是做网络安全的？ (空) (oxygen [421] 2004-12-12 10:06)
        oxygen的要求是某个程序可以访问核心数据库，其它的一律杜绝 (93字) (haitao [535] 2004-12-12 10:08)
        我们先不要讨论内部的人员搞木马的问题，先讨论一下病毒的问题 (50字) (oxygen [492] 2004-12-12 10:13)
        病毒和木马的界限不是很明确,但肯定从外边进来有几个渠道. (393字) (bigshrimp [631] 2004-12-12 10:48)
- 把网线拔了？ (空) (Yxd [452] 2004-12-12 01:42)
- 通常是防火墙或简单的NAT来隔离,问题仍有几个 (101字) (bigshrimp [552] 2004-12-12 10:00)
  - 防火墙和nat对于不严格的隔离来说可以满足 (52字) (oxygen [494] 2004-12-12 10:04)
    - 是啊.所以工作在第七层的IDS,内容访问控制,病毒网关和防火墙网关的连动可能就是最好的解决办法了. (空) (bigshrimp [671] 2004-12-12 10:33)
      - 能不能说具体一点，有没有比较成功的案例 (空) (oxygen [440] 2004-12-12 10:35)
        CA 有一套比较好的解决方案,但我没用过,只是看它的概念还不错...但这整个用下来,费用高效率会低... (空) (bigshrimp [419] 2004-12-12 10:49)
  - 我对我单位的实施办法 (143字) (UnKnow365 [540] 2004-12-12 11:24)
    - 怎么限制乱改IP (44字) (小东 [704] 2004-12-12 11:32)
      - 我不用DHCP，IP与MAC绑定，一发现IP与MAC不符就发消息警告并限制上网 (空) (UnKnow365 [1204] 2004-12-12 12:28)
        总得有机器控制吧,要不然每个机器都装客户端 (空) (小东 [509] 2004-12-12 12:49)
        跟客户端没关系，是在网络边界上做的，比如说交换机或防火墙 (空) (玉楼 [496] 2004-12-12 13:05)
        描述不大准确，准确的说是不存在客户端，是在网络边界设备上做限制的 (空) (玉楼 [601] 2004-12-12 13:06)
        有没有资料，给个链接吧 (空) (小东 [462] 2004-12-12 13:29)
        3种方式,1.嗅探检查或交换机镜像端口 2.arp广播轮询 3.网关检查 (78字) (bigshrimp [961] 2004-12-12 15:42)
- 应着重讨论一下管理员对客户机私装网络设备(网卡,大小猫)的预防 (10字) (茗人 [495] 2004-12-12 15:06)
  - 这个没有很好的解决办法,最好是通过在每个client上装客户端来检查.... (空) (bigshrimp [505] 2004-12-12 15:44)
  - 目前不用客户端的方法是... (163字) (bigshrimp [525] 2004-12-12 16:31)
    - 这种方法有什么具体实现工具呢？或者是具体实现方法？ (14字) (zhong [439] 2004-12-12 16:59)
      - sendip,如果在windows下的话,最好是自己做,winpcap或rawsocket的,不过有一点,构造伪来源ip地址的包在XP SP2下Rawsocket是行不通的 (空) (bigshrimp [1030] 2004-12-13 09:14)

欢迎光临本社区，您还没有登录，不能发贴子。请在这里登录

页面内容处理时间: 0.011 - 509640