我需要提供我们的办公室与Wi-Fi,但他们应该只能用于WhatsApp的应用程序。 其他一切都应该被阻止。 我看了一些承诺“应用程序控制”的UTM,但在我所有的谷歌search,我无法find一个成功的案例,正是我想要做的。 我目前在这个互联网服务上没有防火墙。 有什么build议么?
今天我有一个奇怪的设置,我想在Windows 2003 R2 SP2计算机上启用Windows防火墙,作为Active Directory域控制器。 我没有看到互联网上的一个资源列出了需要做什么,所以我想我会列在这里,看看有没有人有任何添加/看到没有必要的东西。 打开“子网”范围的端口: 42 | TCP | WINS(如果你使用它) 53 | TCP | DNS 53 | UDP | DNS 88 | TCP | Kerberos的 88 | UDP | Kerberos的 123 | UDP | NTP 135 | TCP | RPC 135 | UDP | RPC 137 | UDP | 的NetBIOS 138 | UDP […]
在我的公司,我们正在使用TradeShield / iShield作为我们的互联网门户。 这也是我们的DHCP服务器,内容filter和互联网使用情况监视器。 但是,我发现软件真的很糟糕。 我不符合我们的需要,我想replace它。 我在更换软件包或硬件设备中需要的是以下function: 一个HTTP代理,用于cachingHTTPstream量,降低带宽成本,并提高常用网站的速度。 一个DHCP服务器,它允许IP地址固定到特定的MAC地址 将友好名称分配给MAC地址(例如SalesPrinter,CCTV-PC,PastelServer),这将在整个软件中使用。 能够设置“帐户”,其中一个帐户只是一个链接到用户的MAC地址列表。 这个想法是将一个用户和他的所有设备(即MAC地址)连接到一个帐户 – 这将允许他通过他的台式机,笔记本电脑,手机等连接到networking 一个监控工具,通过MAC地址监控带宽使用情况,或者通过“账号” 能够为每个MAC地址或“帐户”设置使用限制。 网站/内容filter,过滤出色情网站,warez /破解网站等 防火墙(SPI,入侵检测等) VPN 主要的一点是,我们需要能够控制本地networking的互联网使用,以及作为我们的互联网网关/防火墙。 networking有大约30-40个用户/机器,有些人在家工作。 我现有的解决scheme存在的问题是:一旦TradeShield在networking上“看到”一个新的设备,它就会拿起它的名字,并且这个名字将永远与设备的MAC地址相关联。 因此,例如,如果我安装了一台新电脑,但不要更改由Windows分配给它的默认电脑名称,然后将本机连接到networking,TradeShield将select默认名称,例如Acer-User322304,并记住它永远。 现在在使用情况报告中,我有几台名为Acer-2390的机器,或者其他一些毫无意义的奇怪名称,我无法改变这一点。 所以很难找出谁是罪魁祸首,没有维护我自己的MAC地址列表到用户映射。 另外,我不能只允许特定的人使用某些端口。 例如,有些人可以访问IM,但不能通过电子邮件。 我需要能够在每个MAC地址的基础上configuration这样的规则。 我相信我正在寻找的是所谓的“networking安全设备” – 这是一个专用的硬件设备。 不过,我也对软件解决scheme感兴趣。 目前,TradeShield运行在一个Linux机器上,如果我能find一个也能在Linux上运行的软件解决scheme,那将是一件好事。 请帮忙。
我已经开始从不同的IP地址进行各种login尝试。 如何在Windows Server 2008防火墙中阻止这些IP地址?
我需要打开哪些端口才能访问主动和被动FTP的Windows FTP服务器(在Server 2008上运行)? 打开21自己是不够的。
我正在检查一些防火墙选项,我不确定设备和“服务器+软件”解决scheme之间的性能差异。 我一直使用设备防火墙,但是我想知道如果使用强大的服务器,可以使用软件选项获得相同的性能。 我需要一个具有400 Mbps吞吐量和100.000个并发会话的环境,但这仅供参考。
这个漏洞意味着什么,我有一个问题,有人可以帮我理解这个吗? 结果部分我特别困惑。 为什么源端口25与随机源端口有什么不同呢,它们都源于外部世界? 漏洞: TCP源端口通过防火墙 威胁: 您的防火墙策略似乎让具有特定源端口的TCP数据包通过。 影响: 某些types的请求可以通过防火墙。 此漏洞报告的结果部分中列出的端口号是未经授权的用户可用于绕过防火墙的源端口。 解: 确保所有的过滤规则都正确和严格。 如果防火墙意图拒绝到特定端口的TCP连接,则应configuration为阻止所有到此端口的TCP SYN数据包,而不pipe源端口如何。 合规性: 不适用 结果: 主机对使用源端口25发送到目标端口22的4个TCP SYN探测进行了4次响应。但是,它根本没有响应使用随机源端口发送到同一个目标端口的4个TCP SYN探测。
我们正在运行绑定作为caching名称服务器,这是我们的设置处理DNSfunction的3条规则: iptables -A INPUT -s $OUR_NETWORK -p udp –destination-port 53 -j ACCEPT iptables -A INPUT -s $OUR_NETWORK -p tcp –destination-port 53 -j ACCEPT iptables -A INPUT -p udp –source-port 53 -m state –state ESTABLISHED,RELATED -j ACCEPT 前两条规则是为我们的客户。 请注意,即使我们不允许区域传输,我也包含了TCP,因为我们没有托pipe任何区域(但是我注意到一些合法的客户端正在通过TCP进行查询),这就是我包含它的原因。 我的问题是关于第三行。 这条线用于来自上游DNS服务器的响应(对recursion查询的响应)。 我认为这条线是足够的,但后来我注意到在日志(我丢弃的数据包不符合任何允许线),有数十个UDP数据包来自源端口UDP / 53。 我最初的想法是: 1)这些是来自其他DNS服务器的合法响应,我的系统的连接跟踪未被识别为“相关” 2)这些是合理的回应,但是他们是“迟到的回应”,因此我的系统不认识他们。 你使用什么规则来caching域名服务器的响应? 我应该允许ANY通过只匹配传入的源端口udp / 53而不pipe状态如何? 你使用udp的连接跟踪机制(ESTABLISHED,RELATED)吗? 一切顺利,JFA
我正在使用IPv6,并且遇到了在我们的主路由器上configurationip6tables的问题,以控制可以进入networking的内容。 FORWARD部分中的默认DROP规则运行良好(显然将ESTABLISHED,RELATED作为ACCEPT)以保持内部客户端的开放端口不被访问。 然而,对每一个小改动运行一个ip6tables命令是很难的。 虽然我们可以继续手动创build规则,但我想知道是否有某种pipe理界面可以用来快速轻松地创build规则。 我们希望能够节省工作在我们的防火墙上的时间,并为那些最终将取代我们的人提供一个简单的方法来修改规则。 我知道webmin(自然严重locking在我们的networking上)支持修改iptables规则,但看起来不支持ip6tables。 类似的东西会太棒了。 或者,除了可以远程pipe理的iptables / ip6tables以外的防火墙解决scheme的build议不会出现故障。 一个用于pipe理的web界面当然更可取,即使它只是一个包含原始configuration文件上shinybutton的包装器。
最新版本的IPFire(v2.7核心38)使用linux 2.6.32.15内核。 这包括微软的Hyper-V合成驱动程序。 我如何让他们工作? 当IPFire启动时,会自动加载hv_vmbus驱动程序。 那很棒。 我只是希望它也加载networking驱动程序和存储驱动程序(即使只是networking驱动程序将做!)。 我可以看到存储在/lib/modules/2.6.32.15-ipfire/kernel/drivers/staging/hv的驱动程序( hv_netvsc.ko等),但我似乎无法确定在哪里configuration系统来使用它们。 请帮忙!