TP)和443(一般用于HTTPS)端口进行通信,而这两个端口对于防火墙来说一般都是打开的。我们采用了两种方法进行测试,旨在考察防火墙是否可以控制Skype通信以及是如何实现此功能的。拓扑如图3所示(第二种拓扑用代理服务器取代网关,其余配置类似)。
P2P通信控制拓扑图
实际测试中,只有Check Point i-SECURITY SP-5500和FortiGate 3600能够专门针对Skype进行控制,而且两种测试拓扑都控制成功,尽管它们在配置上有所区别。
不管是哪种测试拓扑,在一开始,我们并没有启动Skype控制,而是在防火墙上添加了必要的地址和策略配置,除了域名解析外,我们只允许目的端口为80和443的通信通过。并启用了NAT,还根据需要进行了默认路由的配置。保证Skype能够成功联机并通过Sniffer进行了抓包以确认通信是否按照预期的那样进行。
然后,我们打开防火墙的控制选项。在FortiGate 3600的IPS中,专门有一个P2P控制组,组内包含BT(Bit_Torrent)、电驴(Edonkey)、Gnutella、Kazaa和Skype等小项,你可以对其中的任意一个或多个进行阻断。而大家熟悉的MSN则被放到了IPS的IM控制组中。在将Skype阻断打开后,Skype不能联机。
Check Point i-SECURITY SP-5500进行Skype控制的结果和FortiGate 3600是一样的,Skype联机成功与否完全取决于防火墙是否打开控制功能。页码:[1] [2] [3] [4] [5] [6] [7] 第4页、共7页 |
