Check Point i-SECURITY SP-5500应用智能的P2P控制部分有MSN和Kazaa等项目,尽管其中没有对Skype的控制选项,但在P2P和其他很多针对应用层的控制栏目中,Check Point都提供了新增特征的功能。即通过输入某种软件的应用层特征,来实现对该软件的控制。这是一个非常好的特性!因为现在每天都会有新的P2P软件被开发出来,使用这种特性可以使用户不必等到下次产品升级就可以对其进行控制。Check Point的工程师在测试过程中将Skype的特征码发给了我们。令人欣喜的是,FortiGate 3600也支持新增特征。
在测试前,我们听说有一些网关产品通过访问控制规则而不是应用层特征来控制IM,这些规则过滤掉了到Internet上IM用户注册服务器的部分或全部通信。我们认为这种方法不灵活而且容易失效。因而设计了Skype穿过防火墙通过代理服务器进行联机的测试拓扑。
实际应用中,防火墙可以封掉到某些代理服务器的通信。我们这个测试主要想观察一下设备在过滤Skype通信时的做法,因而需要在防火墙上设置允许到代理服务器的数据通过。
经过测试,Check Point i-SECURITY SP-5500和FortiGate 3600都能控制成功,而此时Skype用户的笔记本电脑上MSN依然可以登陆(MSN未加控制)。由于内网Skype用户所有的通信都指向了代理服务器(经Sniffer抓包确实如此),所以它们应该都是通过在应用层分析Skype的特征来实现控制的。
防DoS攻击
测试工程师:我们没有将测试仪中所有的DoS攻击武器都搬出来考验防火墙,而是仅仅选取了Ping_Flood和Syn_Flood两种攻击。这两种攻击都会使目标主机在极页码:[1] [2] [3] [4] [5] [6] [7] 第5页、共7页 |
