各位高手
我遇到一個case 有二個不同的綱 域(稱為A及B)好了
本來這是不個互不通的網域,但如今A網域想向B單向要資料
但 B網域的user 怕virus會經由A網域進來
不知是否可開firewall 為單向 (B->A)
如果可以開 為單向,B要如何向A拋資料?
單向可以用winsock 嗎 ? 或是只能用share fold?
還是有其它更好的方法 ?
感謝!
gerescs wrote:
各位高手 我遇到...(恕刪)
你要不要先說一下你利用什麼方式來進行檔案的傳輸 ssh or ftp http etc....&前端是Firewall or 使用ACL
再來我覺得你觀念好像怪怪的
只要是 TCP的傳輸 都是必須要有去有回的
假如今天我的防火牆在預設的模式下
Trust------Untrust
我要去Yahoo好了
我(1024-65535)任一port---------Yahoo的80port
三向交握
ex:
我10289------------Yahoo80 SYN (permit)
Yahoo80---------------我10289 SYN+ACK (permit)
我10289-------------Yahoo80 ACK (permit)
這樣才完成你到Yahoo的連線
但不並代表Yahoo就可以來我這邊
你沒設定Untrust 可以允許來你這邊
也就是說你沒有設定允許Yahoo可以連線到你這邊
三向交握
Yahoo 20587----------我any port SYN (deny)
三方交握都沒完成,當然就不會通囉
但是這樣會造成一個可能,當我這台電腦有木馬or病毒or攻擊程式
因為Yahoo 80port是開的 假如你有辦法找到漏洞 那Yahoo就會被妳攻擊到囉
(當然 我想這種人不多啦..呵!!)
這個概念你可以想一下A 與 B這2個不同的Lan 要傳輸檔案時其實就跟你去雅虎的道理是一樣的
頂多可以說 A要跟B取資料 假設走FTP協定好了
你可以設定B開放的目錄只能下載 無法寫入檔案到此目錄的設定 以及無法離開家目錄來增加安全性
gerescs wrote:
各位高手 我遇到...(恕刪)
光聽到就頭很大..
先不管您後面還有什麼member Server 要作什麼事...
聽到的是網域(LDAP Service),而不是網段..也就是這二個網段..可能Join 同一個domain/或不同Domain (Trust)
要去存取另一個網段上的網域上的網路資源...
如果以網域上來講...要嚴謹..那只能開正向表列的方式 如果是 Micrsoft Active Directory service
所有電腦,只要加入網域的.就要一台一台去改機碼(GPO 群組原則去佈也行)
如果是Lotus 的Domino 就要看版本 4.x /5.0~7.0 / 8.0 要開的Port 都不同(增加)
RedHat / Novell SuSE 也是一樣...
所有的Client 電腦都要一台一台設定..
加上中間最好用個L3 Firewall ~L4 的Switch 來作..簡單來說.在中間架過濾器
這一二年..也有企業是架Viruswall 防毒牆
雖然嚴謹了..不過對管理者來說..是個苦差事....
如果是Microsoft 的Active Directory...考慮一下AD 昇到Windows 2008 Directory Service ,然後在內部DMZ 段,丟一台 RODC 方式...那就不用一台一台設...
所以不用想的太嚴重, 只要網路上綱, 就有中毐的機會 :)
2. firewall 要去找有 SPI 的, 這樣設定會簡單很多
舊的 firewall 如前大大說的, 要分方向, 很麻煩
有 SPI 的很直覺, 方向已幫你做好了.
所以你要讓 B->A OK, A->B block .
只要照設即可,
當然傳輸一定是雙向的啦, firewall 是擋連線
前提是連不起來就不能傳檔了 :)
3. 這麼怕的話, 防毐牆是你第二個選擇囉.
就是有個系統
號稱只有中毒就有可能出人命
所以之前一直和公司的網路是自獨立的
但現在有需要去向對方要資料
或是對方 主動送資料出來也可以
至於要用http/ winsock/ftp/ shared fold/IBM MQ 還有是其它更好的
就要等 solution 出來,我是負責coding,應可做得到
我目前有二種想法
一是開單向port, 這也許是就令對方放心的solution
但又不知開單向port可以走
何種架構 ,我也 是想winscok應是不行
所以才想是不是可以其它的,shared fold不知行不行,還是有更好的力方法
另一是 走雙向 port, 我這邊由IBM AIX 經由IBM MQ 來連
IBM AIX 應不用中毒吧,何況又是開特定port 雙方AP又是自行開發的
-->但如何掛包証?大家多一事不如少一事,如果沒有足夠的evidence來說服對方,也未必可行
以上大致是我的現況..... 感謝各位
內文搜尋
從 APP 打開
X