一个关于网络包捕捉和阻断的问题。

shanmin

Post by springwind426
就我了解的知识，并行的防火墙是无法实现的。
否则的话，你的网络中的任何一台主机都可以做访问控制的话，岂不乱套！

理论上是这样，这不是大家讨论一下有什么办法可以实现嘛。

晨想

Post by springwind426
就我了解的知识，并行的防火墙是无法实现的。
否则的话，你的网络中的任何一台主机都可以做访问控制的话，岂不乱套！

在 google 搜索一下 并行防火墙。。。

shanmin

Post by 终极幻想
在 google 搜索一下 并行防火墙。。。

查了，几乎没有这方面的资料。

springwind426

在google上查了一下“并行防火墙”，还真不少，不过仔细一看，只是用几个同时运行的防火墙组成一个并行的防火墙集群。实际上所有的数据包是必须从这个集群中经过的（也就是说，客户的数据流是与防火墙集群是串行的。）。

而 shanmin 的要求是数据包不必须通过他的防火墙，指他的防火墙与客户的数据流是并行的。这个应该无法实现（至少，在我掌握的知识层面，这是无法实现的！）。

shanmin

Post by springwind426
在google上查了一下“并行防火墙”，还真不少，不过仔细一看，只是用几个同时运行的防火墙组成一个并行的防火墙集群。实际上所有的数据包是必须从这个集群中经过的（也就是说，客户的数据流是与防火墙集群是串行的。）。

而 shanmin 的要求是数据包不必须通过他的防火墙，指他的防火墙与客户的数据流是并行的。这个应该无法实现（至少，在我掌握的知识层面，这是无法实现的！）。

你们看看这个东西 http://www.ahcert.net/rules_list.asp?id=71

这个里面的旁路方式就是我想实现的功能。但是不知道人家是怎么做的。

shanmin

Post by springwind426
就我了解的知识，并行的防火墙是无法实现的。
否则的话，你的网络中的任何一台主机都可以做访问控制的话，岂不乱套！

就交换网络中你不用担心每台计算机都成为控制端呀。只有在共享网络中才会出现你说的情况呀。

springwind426

Post by shanmin
你们看看这个东西 http://www.ahcert.net/rules_list.asp?id=71

这个里面的旁路方式就是我想实现的功能。但是不知道人家是怎么做的。

他说：
1.先进的旁路侦听技术
请注意是侦听技术，这个很容易实现，比如做个端口镜像的方式。

他的控制部分应该还是采取网关的方式，比如数据检测模块获取到有害的流量，通知控制模块，阻断有害流量。

这个不能算并行防火墙。现在的IDS系统都是采取旁路侦听技术，这样可以减少网关的压力，从而不影响网络的正常使用，要实现阻控的话，IDS还必须与防火墙之间有联动。

springwind426

Post by shanmin
就交换网络中你不用担心每台计算机都成为控制端呀。只有在共享网络中才会出现你说的情况呀。

其实现在纯共享环境已经没有了。

如果能够采用并行防火墙的话（防火墙的数据流与被控客户端的数据流是平行的），那么，从网络结构上看，防火墙与客户是同等的。它能够控制的话，客户端为什么不能控制呢？

除非你采用旁路侦听技术来检测，而用网关来阻断，当防火墙检测到有害数据流时，通知网关阻断。

shanmin

Post by springwind426
其实现在纯共享环境已经没有了。

如果能够采用并行防火墙的话（防火墙的数据流与被控客户端的数据流是平行的），那么，从网络结构上看，防火墙与客户是同等的。它能够控制的话，客户端为什么不能控制呢？

除非你采用旁路侦听技术来检测，而用网关来阻断，当防火墙检测到有害数据流时，通知网关阻断。

前几天还查到一个公司的产品，是深圳的一个公司作的。他的资料中就是写着并在网络上，可以阻断tcp通信的连接，但是不能阻断udp的连接。但是那个网址我现在找不到了。

thereer

很简单两个方法
一是你自己当交换机不就OK了。
二是你把交换机给仍了，给他们用HUB。