http://www.aboway.com.tw/faqtext.aspx?id=111
2013/01/15
一般傳統防火牆對於 IM 即時通訊 ( Skype ,ICQ, QQ ,Yahoo Messanger .....) 及 P2P
點對點下載軟體 ( eDonkey , BT ,WinMX ) 的阻擋方式是以過濾 Port 方式,然而這些軟體本身可以透過自動更改 Port
號方式逃避傳統防火牆規範。通常 MSN ,Yahoo Messager ....等 Insatnt Messanger 會使用特定 TCP Port(如 Yahoo messager TCP 5101埠) 傾聽 peer-to-peer requests,使用者可對此設定防火牆來限制 TCP 埠對內對外的通訊。然而,因為 Yahoo Messager URI 可以內嵌在網頁或電子郵件訊息內,因此對 TCP 5101 埠的限制並不能完全解決問題,還必須過濾網頁及電子郵件內的 "ymsgr:" URI handler 才可以有效過濾,同理 MSN 也是可以透過 HTTP,HTTPS.....已經開啟的服務 Port 出去,因此防火牆功能必須比對資料內容才可以完全過濾。
友旺 MH350 / SV550 以上產品已經針對此類 IM ( Instant Messanger) 訊息,MSN,MSN Over HTTP,MSN Over SOCKS,Yahoo Messager,ICQ,QQ.......提供行為模式過濾, 有別於一般傳統防火牆過濾 Port 方式,讓用戶再也無法透過更改 Port ( 埠號)方式來使用 IM 及 P2P 軟體。
MH350-http://www.aboway.com.tw/product.aspx?id=34
使用方式
使用 MH350 的 "IM / P2P 管制" 功能,步驟如下:
IM / P2P 管制的功能必須先至選項中選取相關的細項,然後再到管制條例去啟動.
例如我想管制所有用戶使用 eDonkey 及 MSN ,Skype,步驟是
1.至 "管制條例選項 > IM / P2P 管制", 新增 IM / P2P 管制
名稱: msedonkey -->自己定義
即時通訊->勾選 msn ,skype 項目.
點對點軟體 ->勾選 eDonkey
->確定
2.管制條例
來源網路位址 Inside_Any
目的網路位址 Outside_Any
服務名稱 ANY
管制動作,外部網路埠 允許,所有外部網路介面
流量監控
流量統計
IM / P2P 管制 => 選 msedonkey
->確定
啟用IM / P2P 及內容管制後,對於使用此服務的新用戶可以立即生效,但對於內容管制啟用前的用戶則必須待其連線 (Session) 結束後重新再使用時才會管制生效.
例如原有一用戶正使用 MSN 服務,這時 MH350 啟動 MSN 的內容管制並無法對此用戶產生限制,而必須等此用戶登出後,再重新登入時才會生效禁止.
Q2:我使用 MH2400 , 目前想開放主管可以使用 MSN ,其他員工是禁止的, 請問如何設定 ?
此例如上,先至 "管制條例選項 > IM / P2P 管制", 新增 IM / P2P 管制
名稱: msmblock -->自己定義
即時通訊登入,勾選 msn 項目.
即時通訊傳檔,勾選 msn 項目.
(若是只管制 msm 傳檔,但可使用 msn 訊息,只需勾選 "即時通訊傳檔" 該項目)
=>確定
然後配合"位址表"及"群組" 應用.
設定步驟如下:
1.設定"位址表"->"內部網路",以建立每一用戶的基本資料:
名稱:mgr1
IP : 192.168.1.101
子網路遮罩:255.255.255.255 (單一台電腦要使用 4 個 255)
MAC 位址 :填入使用電腦的網卡卡號,以避免其他員工修改 IP 冒充使用
從防火牆取得固定IP位址 ->如使用 DHCP 分配 IP 則勾選
名稱:mgr2
IP : 192.168.1.102
子網路遮罩:255.255.255.255 (單一台電腦要使用 4 個 255)
MAC 位址 :填入使用電腦的網卡卡號
從防火牆取得固定IP位址 ->勾選
依序建立主管mgr1,mger2......記錄.
2.設定"位址表"->"內部網路群組",以建立主管群組資料.
Manager :mgr1,mgr2.......
3.設定內至外管制條例:
第一條
來源網路位址 Manager
目的網路位址 Outside_Any
服務名稱 ANY
管制動作,外部網路埠 允許,所有外部網路介面
流量監控 開啟
流量統計 開啟
IM / P2P 管制 None
第二條
來源網路位址 Inside_Any
目的網路位址 Outside_Any
服務名稱 ANY
管制動作,外部網路埠 允許,所有外部網路介面
流量監控 開啟
流量統計 開啟
IM / P2P 管制 選 msnblock
.......
Manager 的管制必須置於第一條優先位置.
如果有其他管制條例, 請一律要勾選管制 MSN .以避免漏網的條件.
Q3:我們公司想禁止用戶下載大型檔案, 如語音,影像類型或是 rar ,zip,exe .... 等檔案,該如何設定?
MH350及 550系列以上產品型號可以提供 WEB TCP 80 Port( 包括 web mail ) 及 FTP Port 的檔案下載管制功能 ,步驟是
1.內容管制 -> 檔案下載
勾選你要管制的語音與影像類型及其他副檔名 , 如要管制所有下載檔案, 請勾選 "全部類型"
->確定
2.管制條例 (此範例為 Outgoing ,如實際用戶在 DMZ ,請於 DMZ to WAN 設定 )
來源網路位址 Inside_Any
目的網路位址 Outside_Any
服務名稱 ANY
管制動作,外部網路埠 允許,所有外部網路介面
流量監控 開啟
流量統計 開啟
內容管制 Download
->確定
