完全控制。黑客可以采用分段扫描(比如每次9个)的方法来扫描活动主机并逃过防火墙的“眼睛”,不过即便如此,由于Super V可以进行端口扫描的精细控制,分段扫描的威胁性也就大大降低了。
Symantec Gateway Security 5460可以提供对端口扫描的控制,可以通过日志查看谁进行了扫描操作,但仍可成功进行主机扫描。
Check Point i-SECURITY SP-5500不会禁止扫描数据的通过,但是可以通过日志记录端口扫描行为。据Check Point的支持工程师讲,针对扫描行为多发的内网,他们有专门的内网安全产品提供对扫描的完全控制。而对于网络边界的防火墙来说,外网用户的扫描行为可以通过设置安全规则来控制。我们认为,特别是针对那些提供了多个内网接口的防火墙来说,防火墙提供此项功能必要而且便于配置。
P2P控制
网络管理员:最近“火”起来的Skype,人们习惯将它归类于IM(即时消息),其实,和BT下载一样,它本质上属于P2P通信软件。这些工具很多都宣称自己可以穿越防火墙。难道防火墙就束手无策吗?
表二:P2P通信控制
测试工程师:IM、P2P们轻松避过防火墙对于企业网安全是非常不利的,比如MSN“性感鸡”病毒造成的危害。但它们也能帮助企业提高效率、节省成本,防火墙不应一概“杀掉”了事,而应该能够依用户的愿望有选择地进行控制。
测试实况: Skype等软件为了便于用户在各种条件下使用,它们可以利用80(一般用于HT页码:[1] [2] [3] [4] [5] [6] [7] 第3页、共7页 |
