【TechTarget中国原创】问:我该如何用我的网关来阻止特定的即时通讯客户端?
答:很遗憾,试图使用一个基础的网关防火墙来阻止即时通讯是非常耗时的,而且就算做到也是非常有限,因为许多IM应用程序本身就被设计成可以绕过防火墙安全的。尽管IM和P2P应用程序通常都使用众所周知的端口,但很多具有主动寻找防火墙上任何开放端口的能力。比如当它们需要进行HTTP通信时,这种能力将允许它们通过80端口。一旦被打包为HTTP包,IM通信几乎无法和普通的网络通信相区别。比如AOL的AIM(美国在线的一个即时通讯软件)就可以使用许多公共的端口,像80端口和21端口(FTP)。这意味着阻止一个即时通讯软件的默认端口行不通。IM协议不断推出新的和更先进的功能。防火墙协议签名不是同时也跟之更新,所以实时连接的同步特征意味着,如果不很大程度地影响网络的性能,许多防火墙就不可能对通信流量进行检查和分析。另外一个问题是,IM网络提供商拥有自己独特的IP地址,供客户连接,而且这些IP地址频繁变化或者是随机变化的。由于这些变化,你不知道配置防火墙来应该阻止哪个IP地址。
假如你需要在整个网络中监视和控制IM通信,可以考虑使靡桓鲇τ貌惴阑鹎剑缢伎频腎OS防火墙,它可以控制用户定义的即时通讯服务主机名单发送和接收的通信。你还可以对网关进行特定的调整来监测IM和P2P的使用,比如FaceTime Communications.公司的IM Guaridian RTG500网络工具,或者Akonix Systems Inc.'s L7企业版,它是一个可以允许你保护和控制公共IM的软件型代理网关。需要更多信息请访问www.akonix.com。这些产品允许你设置权限控制策略、执行加密,限制谁可以和谁进行通讯,以及要求至少有客户版和标准的用户名。假如你想减少虚假用户和IM垃圾信息,你可以为包含你组织名称的IM使用一个标准命名协定。同时你应该确认网络用户的IM账号密码不应该和网络的密码一样,并且告知公司的IT部门决不会应用户的要求,通过IM来提供密码和账号信息。
假如你想简单地限制谁可以通过IM来联系你,大部分IM程序允许你创建联系列表或“好友”名单。好友名单跟邮件的地址簿非常相似。你可以阻止那些不在你联系列表上的人发来的信息,或者限制谁可以将你加入好友名单。许多应用程序,像Cerulean Studios的Trillian聊天客户端使用加密方法。假如有的话,你也可以使用加密程序。