【IT168 新闻稿】不可否认,基于端口号的管理策略在某些情况下是比较有效的,但这仅是在少数情况下。因为多数应用所使用的不是固定的端口号,比如QQ、MSN、BT等等。看到这里我想您也明白了,所谓有效的管理策略都是基于不可变“条件元素”的,但传统的“老三样”所基于的“条件元素”都是可修改的,所以“老三样”很难有效管理QQ、MSN、BT。
管理MAC地址:MAC地址工作在OSI模型的第二层。这个地址被“烧”在了网卡上,它就像是每台电脑相对固定的身份证一样,每当电脑与对端设备进行通信时,双方的MAC地址总会出现在数据帧中。这就相当于数据帧有了“身份”信息,而且这一信息就在数据帧的最外围,所以对数据帧进行管理是最简单的。但其实MAC地址很容易被修改 — 不是真的重新烧录网卡上的地址,而是在操作系统层面进行“软”修改。修改了MAC地址,相关的管理策略也就失效了。
管理IP地址:IP地址工作在OSI模型的第三层,这个地址是我们手动为网卡指定的,修改起来也更加方便。管理IP地址要比管理MAC地址方便一些,也更有效率,比如,可以对一个IP地址段进行策略套用。但不足也同样明显,修改IP地址比修改MAC地址更容易,所以基于IP地址的安全策略很容易被“绕过”。
管理端口号:端口号与具体的应用程序有关,所以基于端口号的策略的有效性要比其它两种稍强一些。比如,一台在192.168.2.0网络中的服务器开放了Telnet端口(23号端口),但不希望192.168.1.0网络的电脑访问,一种方法是可以在路由器上设置一条策略,禁止所有来自192.168.1.0的Telnet请求通过。这样的话,192.168.1.0网络中的某台电脑,无论怎样修改IP地址、MAC地址都是无法访问服务器的。原因很简单,因为在此情境中,所有Telnet请求都必须访问23号端口。
▲
常见的应用,应用层协议,传输层协议之所以上网行为管理路由器可以有效的管理QQ、MSN、BT等,是因为这类设备使用了不同的“条件元素”,即应用层协议。每个应用层协议都是为了服务于某一类应用,比如,BT客户端有很多,包括DS700系列,DS7000系列等,但它们所使用的其实都是bittorrent协议。协议比MAC地址、IP地址、端口号都要“稳定”,实际上对于用户来讲是不可修改的,所以基于应用层协议的管理策略十分有效。对应用层协议进行识别,基于此再套用管理策略,这就是上网行为管理的本质。www.galaxywind.com 400-000-9879。