400-099-0376

在线试用
微信扫码联系专属客服
安企神软件官网
首页
下载中心
客户列表
关于安企神

互联网防火墙及上网行为管理 (限制局域网上网行为,防火墙还是网管软件?)

本文简介:本文主要为大家整理了 “互联网防火墙及上网行为管理” 相关的内容,主要有 限制局域网上网行为,防火墙还是网管软件?, 路由器或防火墙禁止QQ聊天的方法, 使用防火墙软件禁止使用迅雷、BT等下载, 等内容,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。

1、限制局域网上网行为,防火墙还是网管软件?

 

作者:安企神日期:2022-1-22

随着互联网飞速发展,越来越多的企业都通过网络开展业务,许多企业甚至感到离开网络,业务就无法正常运行,网络安全的重要性由此可见一斑。因此,企业不惜代价地在网络安全方面投入资金,购买防火墙、电子邮件防毒系统或桌面防毒系统,来阻止病毒泛滥和黑客攻击。在许多企业、甚至系统集成商看来,这样的网络在安全方面可以高枕无忧了。

  
  但是由于现有的企业网络安全基础设施存在缺陷,因此它们对新型的病毒和攻击无法防御。病毒传播和攻击的途径不再只是通过电子邮件传播,而是隐藏在复杂的应用层数据中,通过Web网页浏览、WebMail系统、聊天软件、P2P文件共享应用进行传播,但企业现有的安全设施还不能对这些传播渠道进行控制。现在,IT经理们不得不重新审视企业的网络安全系统

  
  企业网络面临新问题

  当前企业网络面临以下几个方面的问题,如果处理得不好将直接导致企业生产力下降,较终损失的是企业的利润。

  Web滥用降低企业生产力

  Web的广泛使用极大地帮助企业提高生产力,获取信息的速度前所未有。但互联网是一个大染缸,各种各样的内容充斥其中,新闻、购物、体育、色情等,用户一点鼠标,就有可能被带到与工作无关的站点,这必然会导致员工工作效率降低,进而导致企业生产力的下降,严重的还可能将病毒带入公司内网,或被攻击者植入后门,导致灾难性的后果。因此,对不合适的内容进行过滤、对恶意代码和病毒进行强制清除,管理、监控并实时督导员工正确地使用互联网,是提高企业利润的当务之急。

聊天工具的安全问题

  这里所说的聊天工具是指MSNMessenger之类的实时信息交换工具,之所以这样称呼是因为它们较初是为朋友间聊天而出现的。而现在,这类聊天工具已成为一些企业信息交流的主要工具。然而,权威人士研究发现,这些聊天系统在设计时都着重考虑了灵活性,而没有考虑到安全问题。一个明显的事实是几乎所有免费聊天工具都具备绕过防火墙的功能,防火墙无法对其进行阻挡。而且,聊天用户之间的信息交换是穿过公网,通过聊天服务器转发,信息在网络上清楚可见,这就容易导致企业机密信息被窃取。如前所述,聊天工具也已成为病毒大量传播的一种途径。但在线聊天工具高效、方便的特点,正迅速被越来越多的人所接受,单纯地屏蔽是不合适的,关键是采取一种有效的聊天控制策略并加以监管。

  点对点文件共享应用的安全问题

  点对点文件共享应用(P2P),在中国称为BT下载,它是近年来迅速流行起来的一种互联网文件共享应用。这种应用中,每个用户既是客户端又是服务器,每个人都可从其他用户处下载自己需要的数据,也可将自己已下载的数据共享给其他需要这部分数据的用户。这样,由于这种应用消除了传统下载方式的服务器瓶颈,下载人数越多,下载速度就越快。P2P共享的文件通常是拥有版权的音乐、电影、商业软件等。然而,在企业网络中,这种应用没有理由存在,因为它不仅会对网络可用性造成严重影响,还能成为病毒传播的途径,其共享文件带来的版权问题也有可能给企业带来潜在的法律责任。因此,从各方面考虑,有必要对其进行屏蔽和控制。

  代理服务解决问题

  为什么防火墙不能有效解决以上那些问题呢?因为防火墙的主要功能是阻挡来自外部的攻击。企业现在使用的防火墙大多是包过滤型,或者是高级一些的状态检查型防火墙,其主要功能是根据管理员设定的规则进行数据包过滤,将攻击者挡在网络的外面。对由于内部人员访问外部资源而引起的入侵攻击行为大都束手无策。
  
  防火墙不能有效进行应用层检查。当前企业网面临的新问题具有一个共同特征,即需要应用层的控制和管理问题。但现在的防火墙都是工作在网络层,虽然有的防火墙对部分协议实现了应用层处理功能,但由于其硬件和操作系统是针对数据包过滤和状态检查,使用专用芯片对IP地址和端口号进行快速匹配而设计的,如果要求防火墙将一个个传输的网络层数据包进行组装,并抽取其中的应用层数据,然后进行复杂的模式匹配,根本无法达到满意的性能。事实上,现在用户正在使用的防火墙,大部分只进行网络层检查,很少有用户会打开应用层检查功能,主要就是因为性能的问题。
  
  对应用层检查较好的办法是使用新一代的安全代理专用设备。代理专用设备就是代理用户的访问请求,由于所有用户访问流量都必须通过代理专用设备,就可在代理专用设备上针对用户、网络协议、时间等因素实施深层次的访问策略控制,并对违反策略的情形使用插入页面方式提醒用户。同时提供完整的访问日志、病毒扫描日志、聊天日志等,并经统计分析形成报告,尽早发现问题,使控制策略进一步完善。目前国内有专业的上网行为监控系统推出的硬件监控系统就相当于是代理专用设备,不过成本较大,适合大中型企业使用;国内绝大多数企业还是比较适合基于纯软件架构的网络监控软件,如国内应用普遍的安企神系统(官方网站:http://www.wgj7.com/),相对于那些硬件代理设备成本较低,并且由于是基于对数据包应用层协议特征码的监控,从而可以有效控制P2P下载、限制在线视频、限制聊天软件,并且还有一个较重要的功能是实时显示和限制局域网各个主机的带宽流量,可以保证局域网网络资源的有效利用。

  安全代理专用设备是现有网络安全架构的一个重要的补充,但并不是取代防火墙。新的网络安全观念认为应该用防火墙阻挡攻击者从正面的试探入侵,着重的是网络层的过滤;而安全代理专用设备管理和控制内部用户对外的访问,着重的是应用层内容的检查。两者相辅相成,达成全方位及较佳效能的安全防卫架构,重新定义企业网络安全前景。

2、路由器或防火墙禁止QQ聊天的方法

 

作者:安企神 日期:2022-2-23

    现在国内聊天软件中,腾讯QQ可谓一枝独秀,占据了国内聊天软件市场的半壁江山。QQ聊天软件已经成为国人日常沟通的必备工具,是绝大多数人开启电脑必然登录的即时通讯工具。在国内企事业单位中,只要是可以随意上网的网络环境中,大部分职员会在开启电脑后立即挂上QQ,时不时和朋友、家人等聊上几句,甚至长时间挂在上面“侃大山”。所以要想提升网络资源的利用效率、提升员工的工作效率,就必须遏制在工作时间通过QQ聊与工作无关的事情,甚至从根本上完全封闭QQ聊天软件。日常的业务联系可以通过MSN等聊天工具进行。下面我们就给出在企事业单位有效监控QQ聊天软件的方法。当然有条件的客户,可以直接采购诸如安企神(官方网站:http://www.wgj7.com/)之类的网管软件,点点鼠标就可以完全关闭QQ聊天软件,极为方便。如果单位预算不够充裕的话,我们可以通过防火墙、路由器等网络设备来禁用QQ聊天软件,只不过需要网管人员有较高的技术水平和持久的耐心,也能在一定程度上实现封掉QQ。

鉴于并非所有局域网的连接方式都是代理式的(实际上,几乎稍具规模的局域网都不是代理式的),所以,找到一套通过路由器控制QQ聊天软件的方法是比较切实需要的;或者利用本单位的防火墙限制QQ聊天软件等都可以。不少单位(如我们)都是在不同网段使用较低级别的路由器来连接网络,SOHO级别的路由器允许设置的限制规则条数均不多带来许多的困难。

  以下是我本人的方案,基本的思路是:

    1、常用端口封堵;2、重点服务器IP封堵;3、流入、流出数据封堵结合。

  现在的运作证明,没有人能突破这个封锁。

一、域名过滤

  对所有进出路由器的数据包中,包含下列域名的数据均作丢弃处理:

  QQ.COM TENCENT.COM

二、报文过滤

  流出过滤:(使用8条规则即可)

1、所有内网IP的UDP4001-4009端口发出的报文全部丢弃。

2、所有内网IP的8000端口发出的报文全部丢弃。

3、所有目标IP为218.18.95.220的报文全部丢弃。

4、所有目标IP为61.144.238.145的报文全部丢弃。

5、所有目标IP为61.141.194.227的报文全部丢弃。

6、所有目标IP为218.17.209.23的报文全部丢弃。

7、所有目标IP为218.18.95.153的报文全部丢弃。

8、所有目标IP为218.18.75.171的报文全部丢弃。

流入过滤:(使用6条规则即可)

1、所有从外部发往内部网络中目标端口为UDP4000-4009的报文全部丢弃。

2、所有从外部发往内部网络中目标端口为433的报文全部丢弃。

3、所有从外部发往内部网络中目标端口为UDP8000的报文全部丢弃。

4、所有从218.18.95.220(端口80)发往内网端口80的报文全部丢弃。

5、所有从218.18.95.220(端口443)发往内网端口443的报文全部丢弃。

QQ客户端和服务器的通讯方式无非是两种:UDP端口和TCP的80/443端口,现将目前较新版本:2006 V06.0.200.360 所使用的服务器端口及地址公布:

1、QQ服务器使用的UDP端口号如下:
UDP 8000 Block QQ UDP Port
UDP 8080 Block QQ UDP Port
UDP 9001 Block QQ UDP Port
UDP 4000 Block QQ UDP Port
UDP 8001 Block QQ UDP Port
UDP 1080 Block QQ UDP Port
UDP 28120 Block QQ UDP Port

2、QQ服务器的TCP有80端口及443端口,因此需要直接封IP地址:
219.133.48.103 Block QQ Server IP
219.133.60.173 Block QQ Server IP
219.133.49.211 Block QQ Server IP
219.133.40.157 Block QQ Server IP
219.133.51.160 Block QQ Server IP
219.133.40.130 Block QQ Server IP
219.133.38.230 Block QQ Server IP
219.133.38.5 Block QQ Server IP
218.17.209.42 Block QQ Server IP
210.22.23.227 Block QQ Server IP
58.61.33.32 Block QQ Server IP
58.61.33.37 Block QQ Server IP
58.61.33.36 Block QQ Server IP
58.61.33.197 Block QQ Server IP
58.60.14.45 Block QQ Server IP
58.61.33.40 Block QQ Server IP
61.144.238.149 Block QQ Server IP
58.60.9.58 Block QQ Server IP
61.172.240.43 Block QQ Server IP

把以上列表中的地址和端口做进路由器的防火墙规则以后,QQ就无法登录了。

当然,用代理服务器的就没有办法了,只能见一个代理封一个!

3、使用防火墙软件禁止使用迅雷、BT等下载

首先我们可以下载一个防火墙软件,例如天网防火墙,安装完成后启动即可。然后再安装你要进行限制的软件,就用迅雷来举例说明一下。

当启动迅雷后,防火墙会提示它要连联的TCP端口是3076,3077,3078。然后就开始禁止客户机访问这些端口了,点击 "开始菜单/设置/控制面板/管理工具",双击打开"本地策略",选中"ip安全策略,在本地计算机"右边的空白位置右击鼠标,谈出快捷菜单,选择"创建 ip安全策略",弹出向导。在向导中点击下一步下一步,当显示"安全通信请求"画面时,把"激活默认相应规则"左边的钩去掉,点"完成"就创建了一个新的ip安全策略。

右击该ip安全策略,在"属性"对话框中,把"使用添加向导"左边的钩去掉,然后再点击右边的"添加"按纽添加新的规则,随后弹出"新规则属性"对话框,在画面上点击 "添加"按纽,弹出ip筛选器列表窗口。在列表中,首先把"使用添加向导"左边的钩去掉,然后再点击右边的"添加"按纽添加新的筛选器。

  进入"筛选器属性'对话框,首先看到的是寻地址,源地址选"任何ip地址",目标地址选"我的ip地址",点击"协议"选项卡,在"选择协议类型"的下拉列表中选择“tcp",然后在"到此端口"的下的文本框中输入"3076",点击确定。这样就添加了一个屏蔽tcp3076 端口的筛选器,可以防止外界通过3076端口连上你的电脑。

点击确定后回到筛选器列表的对话框,可以看到已经添加了一条策略。重复以上步骤继续添加tcp 3077 3078 端口 为它们建立相应的筛选器。较后点击确定按纽。

  在"新规则属性"对话框中,选择"新ip筛选器列表'然后点击其左边的复选框,表示已经激活。较后点击"筛选器操作"选项卡中,把"使用添加向导"左边的钩去掉,点击"添加"按钮,进行"阻止"操作,在"新筛选器操作属性"的"安全措施"选项卡中,选择"阻止",然后点击"确定"

进入" 新规则属性"对话框,点击"新筛选器操作"。,选取左边的复选框,表示已经激活,点击"关闭"按钮,关闭对话框。较后"新ip安全策略属性"对话框,在" 新的ip筛选器列表"左边打钩,按确定关闭对话框。在"本地安全策略"窗口,用鼠标右击新添加的ip安全策略,然后选择"指派"。重新启动后,上述端口就可以关闭了

这样迅雷就只能当一个普通的下载软件用了,可以观察到它在查找其它网络资源的时候总是失败,下载的时候资源提供也只有一个。其它的软件同上方法同上,只是有些是UDP,大家记录的时候注意下就OK了!