香港某大学防火墙课件L应用层过滤器v.pptVIP

21-* PowerStation 技術教育訓練 課程 21 : L7 應用層過濾器 L7 應用層過濾器簡介 (1/2) P2P 檔案分享工具 非法使用企業網路頻寬，且影響到企業正常運作 非法下載未經授權軟體，造成法律問題 IM 即時通訊 頻繁的進刪非工作上的聊天影響員工工作效率 傳送檔案易造成企業安全上問題，如病毒、惡意軟體與盜版軟體，等 L7 應用層過濾器簡介 (2/2) L7 應用層過濾器 : 限制 P2P 軟體及 IM 即時通訊的使用 P2P : BT, eMule, eDonkey, Kazza, Gnutella (foxy), WinMX IM : AIM, MSN, Yahoo Messenger, GTalk, QQ L7 Application Filter P2P File Sharing Instant Messaging P2P 應用程式過濾 L7 應用層過濾器 : P2P 檔案分享 (1/5) 1 2 3 L7 應用層過濾器 : P2P 檔案分享 (2/5) 比對準則： 偵測來源主機或主機群 存取政策： 設定 P2P 存取控管 (允許、忽略、禁止) L7 應用層過濾器 : P2P 檔案分享 (3/5) 上移規則 將目前規則上移一個位置 下移規則 將目前規則下移一個位置 來源 來源物件包含來主機或網段物件 請勿使用 “ALL” 做為來源主機過濾 L7 應用層過濾器 : P2P 檔案分享 (4/5) 動作 描述 SKIP 由於 PowerStation [L7 應用層過濾器] 為對封包進行深層檢視，因此極耗系統效能，規則設定中 “PASS” 及 “DROP” 均會深層檢視封包，並依所設定之來源主機範圍 “允許” 或 “不允許” P2P 流量通過，而 “SKIP” 則不會針對封包進行深層檢視的動作，因此若只需管控部份 P2P 應用程式的話，建議將其它 P2P 應用程式設成 “SKIP” 以節省系統效能 PASS 允許該 P2P 應用程式的存取權限 DROP 禁止 P2P 應用程式的存取 支援的 P2P 應用程式過濾 L7 應用層過濾器 : P2P 檔案分享 (5/5) IM 即時通訊應用程式過濾 L7 應用層過濾器 : IM 即時通訊 (1/5) 1 2 3 L7 應用層過濾器 : IM 即時通訊 (2/5) 比對準則： 偵測來源主機或主機群 存取政策： 設定 IM 存取控管 (允許、忽略、禁止) L7 應用層過濾器 : IM 即時通訊 (3/5) 上移規則 將目前規則上移一個位置 下移規則 將目前規則下移一個位置 來源 來源物件包含來主機或網段物件 請勿使用 “ALL” 做為來源主機過濾 L7 應用層過濾器 : IM 即時通訊 (4/5) 支援的 IM 即時通訊應用程式過濾 動作 描述 SKIP 由於 PowerStation [L7 應用層過濾器] 為對封包進行深層檢視，因此極耗系統效能，規則設定中 “PASS” 及 “DROP” 均會深層檢視封包，並依所設定之來源主機範圍 “允許” 或 “不允許” P2P 流量通過，而 “SKIP” 則不會針對封包進行深層檢視的動作，因此若只需管控部份 P2P 應用程式的話，建議將其它 P2P 應用程式設成 “SKIP” 以節省系統效能 PASS 允許該 IM 即時通訊應用程式的存取權限 DROP 禁止 IM 即時通訊應用程式的存取 L7 應用層過濾器 : IM 即時通訊 (5/5) [L7 應用層過濾器] 的效能取決於 1. 連線數/主機數 2. [L7 應用層過濾器] 規則數 : 深層封包檢測 改善效能的方法 1. 升級 PowerStation 硬體規格 2. 簡化 [L7 應用層過濾器] 規則設定 3. 指定來源取代使用 “ALL” e.g. NET-192.168.6.X vs. ALL L7 應用層過濾器 : 注意事項 * 隨著網路的快速發展，越來越多的新興應用不斷的出現，目前常見的應用如 P2P 檔案分享、IM 即時通訊，對於企業而言，這些軟體的使用不但會影響企業的網路頻寬、企業的正常運作、員工的工作效率，甚至會造成企業的法律問題，因此必須要有有效的機制以過濾這些軟體的應用 * PowerStation提供第 7 層應用程式過濾功能，可過濾阻擋以下程式： P2P 檔案分享 BT eMule Kazza GNUTELLA (Foxy) WinMX 網路傳訊軟體 MSN Messenger Yahoo Messenger AIM Google Talk QQ * * 點擊 [MultiHoming] - [進階功能] - [L7 應用層過濾器] - [P2P 檔案分享] * 以上圖的規則來說：來源