在没有ISA管控的时候

本文涉及的产品
云防火墙,500元 1000GB
简介:
还记得在刚刚进入MIS这个世界的时候,每次在面试时,技术主管问我,“怎么去对公司内部员工访问公网做管控啊?”
我一定会说:搭建ISA防火墙咯,然后设定ISA防火墙为局域网的网关,如果ISA外面有路由器的话,就在路由器中添加一条“只允许从ISA那里传过来的访问请求通过”的规则,就OK咯。或者,用linux做网关服务器咯。(其实,那个时候根本就不知道linux上要怎样做才能限制对外网的访问。而且,之前在做程序员的时候,那些网络管控的活,都是俺们老总在做滴了。)
而后来在做技术支持的时候,所在的公司也的确就是用ISA搭了双堡垒来对外网访问做管控的。那个时候,也一直在认为,ms的环境中,除了做ISA的话,那就只能用硬件防火墙了。 
而,当我到了WITS,自己独立负责一个企业网路管理的时候(这也是我第一份MIS的工作,一年的时间里,我接触了好多方面的东西,可谓受益匪浅。),才知道,在某些时候,不用硬件防火墙,不用ISA,用win服务器一样可以做外网访问的管控。
首先,要看公司对网络管控的要求咯。
由于公司业务的特殊性,员工一入职就要签署安全保密协议。(我头一次签署那东西)
而对网络的使用上呢?部分行政人员由于不会接触到业务数据,所以呢,可以开放大多数的网络。而,与工程业务有关的工程师们,因为工作的高度保密性,一般情况下,连sohu跟163都不允许访问呢,只允许访问跟业务有关的网站以及可以开通一个通讯工具Ichat的网路使用权限。
从领导那里得知这些信息之后,我便随口问了一句,“那咱们公司是用的ISA咯”。结果回答是:“没有”。我晕。。。。那咋玩的啊?(因为说是没有硬件防火墙的)
而当上上任MIS从家里过来跟我做工作交接的时候,我才知道,自己对server的认识,是多么的肤浅。。。。
一个win2000server中搭建了“路由与远程访问”服务。并在“IP路由选择”->“常规”中的“某网段”属性中,启用“IP路由管理器”,并且在“输入筛选器”中选择“丢弃所有除符合下列条件以外的数据包”。然后,在“筛选器”中添加被允许访问的公网网段或者公网IP地址以及协议端口等信息,以做更加精确的管控。如下图:
筛选器
这样,反正筛选器中没有添加进去的访问,在网关路由服务器这里,就直接被挡掉了。
自然,“能量”是守恒的。这样的一种控制,在一般情况下是有效的,而且在设置完成之后,是“无忧”的。但是,在添加一条信息的时候,和因为某种情况而需要对某个限制做修改的时候,就不是那么轻松的咯。因为,你要为了在里面添加一条限制而做很多的前期工作的哟。
麻烦是麻烦了点。不过,MIS的工作嘛,要怎么做,如何做,就只能取决于你所处的公司中,领导的态度与公司的财力投资重点的考虑咯。自然,我在wits的时候,这样的一种管理方式可以一直不必升级,也是因为它对于公司高度保密的规则是非常经济使用的。
用路由管理器管理外网访问,应该算是在一个没有硬件防火墙,没有ISA的网路环境中的一个比较不错的方法吧。
O(∩_∩)O哈哈~
************************
总是在说“这里没有水了”。
其实,是自己挖的不够深。
************************





     本文转自dennisxinyu 51CTO博客,原文链接:http://blog.51cto.com/dennisxinyu/119327 ,如需转载请自行联系原作者



相关文章
|
存储 安全 算法
一文理解UDS安全访问服务(0x27)
一文理解UDS安全访问服务(0x27)
一文理解UDS安全访问服务(0x27)
|
存储 缓存 安全
云存储网关使用Windows权限控制管理数据访问权限
Windows权限控制功能是云存储网关在1.1.0版本推出的新特性,旨在给用户提供更加灵活的用户权限配置,满足不同用户的需求,具体来说它能够允许用户进行精细到每个文件或者文件夹粒度的权限控制,能够有效的保证数据安全性。
1845 0
云存储网关使用Windows权限控制管理数据访问权限
|
Web App开发 网络协议 网络安全
|
网络协议 网络安全 数据安全/隐私保护