论坛: 系统集成 标题: 一个古怪的网安需求 复制本贴地址    
作者: TecZm [teczm]    版主   登录
概况:1个内网,由核心switch 3com 7700、4400 1100构成;内网中可随意建web server、bbs、ftp server,有一mail server;
需求:
1. 所有用户采用域登录验证id+password+ip+mac+交换机端口后方可访问网络;
2.监控所有用户访问web server+bbs内容,特别是bbs中所发的帖子;
3.监控所有用户Email内容;


郁闷得很,不晓得咋么解决。

地主 发表时间: 05-08-22 11:58
回复: Achieve [achieve]   版主   登录
核心交换机端口镜像一个给内容审计设备,轻松搞定。

B1层 发表时间: 05-08-22 12:46
回复: TecZm [teczm]   版主   登录
引用:
内网中可随意建web server、bbs、ftp server

如果这个BBS在某二级交换机下,那么这个二级交换机下的其他客户端访问它,应该不通过核心交换机吧。是不是就没办法监控了阿

B2层 发表时间: 05-08-22 12:49
回复: gerry [gerry]   版主   登录
可以。

B3层 发表时间: 05-08-22 13:08
回复: TecZm [teczm]   版主   登录
可以不大明白
比如下图 192.168.5.x主机访问192.168.5.22主机不需要经过7700吧,怎么监控?


B4层 发表时间: 05-08-22 13:44
回复: gerry [gerry]   版主   登录
别忘了,内容审计系统的工作模式呀。这个我就不多做解释了,说多了班门弄斧。我也只是日常运用当中总结的。你不妨自己搜索一下。

B5层 发表时间: 05-08-22 14:36
回复: tuzi [tuzi]   版主   登录


id+password+ip+mac

这个绑定也太狠了

B6层 发表时间: 05-08-22 14:44
回复: TecZm [teczm]   版主   登录

bbs直联的那个switch不做端口映射的话,192.168.5.x访问192.168.5.22的数据包怎么监控?

B7层 发表时间: 05-08-22 15:34
回复: NetDemon [netdemon]   ADMIN   登录
我看是要监控访问外网的吧?内网的直接看服务器的纪录不就得了,搞那么多咚咚干啥?

B8层 发表时间: 05-08-22 15:51
回复: gerry [gerry]   版主   登录
我倒只是觉得奇怪,那么严格的验证,为什么不干脆用严格一点的身份验证系统呢?还得严格到端口?里面有很多捣蛋鬼吗?

B9层 发表时间: 05-08-22 17:22
回复: TecZm [teczm]   版主   登录
预算有限阿 强身份鉴别系统用不起哦


B10层 发表时间: 05-08-22 17:57
回复: TecZm [teczm]   版主   登录
>>>我看是要监控访问外网的吧?内网的直接看服务器的纪录不就得了,搞那么多咚咚干啥?

1.就是要监控内网
2.内网主机可以随意架设BBS,web server,没法监控


B11层 发表时间: 05-08-22 17:58
回复: Achieve [achieve]   版主   登录
内容审计也要有数据通过才能审计,建议服务器划分在不同的Vlan里,整一个广播域内访问不通过网关你怎么做控制和相应的策略阿SB

B12层 发表时间: 05-08-23 08:36
回复: TecZm [teczm]   版主   登录
就算划到一个vlan,如果依然允许随意建BBS,要是人家用SSL的话,监视个鸟哦。
所以:
引用:

其次,为了既满足网内员工论坛架设的美好愿望,又做到对内网论坛的信息监控要求,建议在网管中心架设一台论坛服务器,原有私自架设的论坛全部取消,归并到由网管中心集中管控的论坛服务器。
该论坛服务器可采用以下两种方式之一:
A.提供虚拟主机服务,原BBS论坛以虚拟主机方式架构在该论坛服务器上;同时,在该论坛服务器直连的交换机上作端口映射,连接到外网内容审计系统;以实现对论坛内容的监管。
B. 以APACHE+MYSQL+PHPBB架设一个论坛,划分多个交流区和版块,原BBS论坛站长以版主身份出现,该部署策略,不需另外购置外网内容审计系统,既可以实现原BBS论坛的功能又可以满足网管中心对论坛信息的统一监控。同时,又可以充分利用phpbb论坛程序关键字过滤功能,屏蔽非法言论出现。


B13层 发表时间: 05-08-23 08:54
回复: Achieve [achieve]   版主   登录
MD,你加了密就不能监控了,除非你每个电脑植入客户端!

B14层 发表时间: 05-08-23 08:58
回复: DarkRock [darkrock]   论坛用户   登录
学到些不知道的东西...  你们继续讨论..偶这星期继续观注.

B15层 发表时间: 05-08-24 22:25

论坛: 系统集成

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号