热的 Downloads

×

注意

该论坛处于只读模式。
Welcome, 来宾
Username: Password: Remember me
  • 页:
  • 1
  • 2
  • 3

TOPIC:

回复:验证对互联网的访问 10年9个月之前 #34437

实际上,我们试图验证所有用户对Internet的访问权限……主要原因是要为使用校园网的每个用户提供一份报告。例如,我们的CEO希望每个月使用Facebook的所有用户的统计信息。

端口安全只是为了允许在网络中授权MAC地址。是吗?

回复:验证对互联网的访问 10年9个月之前 #34443

仅当您要求用户为您的网络注册他们的实验室桌面时,端口安全性才起作用(否则,他们将无法进入)。想法是通过使它们首先出现在您的网络上之前对它们进行身份验证。没有有效的注册Mac地址的人将无法继续。另外,如果您要求人们在造成任何损害之前登录到您的网络,您可以在以后使用端口监视程序发现它更容易。



无论如何,如果您希望创建报告,则必须使用某些类型的报告工具,例如WireShark。

报告所需的数据格式是什么?
有用的线程
===============================
www.firewall.cx/forum/2-basic-concepts/3...e-resource-page.html

回复:验证对互联网的访问 10年9个月之前 #34444

  • S0lo
  • S0lo的头像
  • Offline
  • Moderator
  • 主持人
  • Posts: 1577
  • Karma: 3
  • 谢谢收到:7

实际上,我们试图验证所有用户对互联网的访问权限...


您可以使用用户/密码Web身份验证通过ASA进行此操作。尽管您没有说您拥有ASA防火墙,但是我注意到您提到您最近发表的文章中有一篇。因此,这里有一个指南:

www-china.cisco.com/cn/US/docs/security/...fwaaa.html#wp1051298

如果那是您想要的,请告诉我们是否需要进一步的帮助。
正在学习CCNP ...

阿玛·穆卡达斯(Ammar Muqaddas)
论坛主持人
www.hengshuiwuliu.com

回复:验证对互联网的访问 10年9个月之前 #34445

实际上,我们试图验证所有用户对互联网的访问权限...


您可以使用用户/密码Web身份验证通过ASA进行此操作。尽管您没有说您拥有ASA防火墙,但是我注意到您提到您最近发表的文章中有一篇。因此,这里有一个指南:

www-china.cisco.com/cn/US/docs/security/...fwaaa.html#wp1051298

如果那是您想要的,请告诉我们是否需要进一步的帮助。


从技术文档中,

安全的Web客户端身份验证具有以下限制:

•最多允许16个并发HTTPS身份验证会话。如果所有16个HTTPS身份验证进程都在运行,则需要身份验证的新连接将不会成功。


是16个并发用户登录ASA吗?实际上,我们办公室的用户数约为6xx。

回复:验证对互联网的访问 10年9个月之前 #34446

我必须不同意端口安全性,我会解释。

对于他的情况和他的需求,端口安全性太不灵活且使用了错误的工具。端口安全性旨在让您指定端口应从中接收帧的MAC地址,并丢弃所有其他帧。合适的方案是,如果您希望某个端口仅接收来自特定连接设备的流量,并且如果有人拔出该设备并插入其他东西,则该端口将忽略流量。对于面向公众的具有网络功能的设备,这是一个合适的解决方案。

端口安全性是错误工具的原因:

配置
配置端口安全性将是最大的问题。当然,用户可以去找他,"register"它们的MAC地址,但是这样做的管理开销非常耗时。他必须通过SSH / telnet到交换机,确切知道用​​户将要连接到交换机上的哪个端口,并在那里配置MAC地址。可以肯定的是,他不必跟踪从墙壁插孔到交换机上端口的电缆,因为这只会增加设置单个用户所需的时间。此外,MAC地址是逐个端口配置的。如果有人随身携带笔记本电脑该怎么办?如果计算机被重新安置怎么办?他必须重新配置端口上的MAC地址,并在需要时设置老化计时器。当然,他可以将MAC地址记录在某个地方(Excel电子表格)以便于参考,但是他仍然必须在交换机上打入命令,在需要的地方打SSH,并验证它是否正确。每次将新的计算机/笔记本电脑添加到网络时,他都必须获取MAC地址并在交换机上进行配置。

您可以通过配置端口安全性来注册它接收到的第一帧的MAC地址(这将是连接到它的第一台计算机/笔记本电脑),从而绕过所有这些障碍,但是如果未经授权的用户首先将便携式计算机插入其中,安全将被击败。即使他设置端口安全性以允许使用多个MAC地址,安全性也会被破坏,因为未经授权的用户将能够插入其设备并获得访问权限。

同样,在最初的安装中,端口安全将是一个巨大的痛苦。他必须调查所有计算机/笔记本电脑的MAC地址。同样,他可以SSH到所有交换机,运行show mac-address-table并在那里获取MAC,或者他可以找到一些可以自动执行此操作的工具,但是他仍然必须为每个端口输入命令。


故障排除
这势必会发生:有人将笔记本电脑插入其他地方,想知道为什么笔记本电脑无法连接到网络。这将导致服务台呼叫。帮助台无法执行任何操作,因为他们无权访问这些开关。这触发了对网络工程师的呼叫,该网络工程师必须停止他正在做的事情才能弄清楚端口号和MAC地址。

你可以设定"IT policy"每个人都必须注册自己的MAC地址,但是,这又给企业带来了灵活性。

同样,听起来只有经过身份验证的用户才能访问Internet,并且如果未经过身份验证的用户仍然可以访问本地网络。使用端口安全性,他们将能够访问全部或全部访问权限,因为端口安全性是L2技术,因此无法区分Internet与本地网络流量。


报告中
我的理解是,Wireshark仅(或大部分)嗅探流量,而没有报告功能。再说一次,我从不费心去看看它的其他功能。我敢肯定它是巨大的,因为有一本书和该工具的证书,但我离题了。如果首席执行官希望进行报告,则需要一个更加专门的,复杂的工具-代理服务器。

代理服务器专门用于过滤Web流量并执行报告……这就是卖点。我知道,使用ISA 2004,您可以将其与Active Directory集成,并指定哪些用户/用户组将能够访问哪些站点……或者他们是否可以访问任何站点。代理服务器将允许用户将其笔记本电脑/计算机连接到网络,并且如果通过了身份验证(通过ISA与AD的集成),则他们可以访问任何内容。如果他们尝试其他任何操作,则会被阻止并记录下来。如果未经授权的用户尝试访问Internet,并且Internet路由器上有适当的ACL(仅允许来自代理服务器和其他关键服务器的通信),则未经授权的用户将无法获得访问权限。

一旦安装了代理服务器,他就可以使用现有技术(Active Directory组策略)来设置每个人的IE以指向代理服务器...然后代理将在此进行工作。

代理服务器还有其他产品,例如Untangle

回复:验证对互联网的访问 10年9个月之前 #34447

实际上,我们试图验证所有用户对Internet的访问权限……主要原因是要为使用校园网的每个用户提供一份报告。例如,我们的CEO希望每个月使用Facebook的所有用户的统计信息。

端口安全只是为了允许在网络中授权MAC地址。是吗?



如果要限制对用户的Web访问,绝对不是要采用第2层端口安全性的方法。这就像通过在每个人家门口设置警卫来防御恐怖主义。这只是不切实际。

我认为Open dns不会为您提供要提交给CEO的详细报告。我建议购买Cymphonix设备,也许是Cisco Ironport,甚至是Websense软件过滤器,以获得有效的Web过滤和报告。我还没有弄清ASA的网络过滤器功能,但在下面回答了有关"16 concurrent users",该限制似乎仅适用于https连接。
富有的
网络工程师/ CCNP,CCNA-S
佛罗里达塔拉哈西
  • 页:
  • 1
  • 2
  • 3
建立页面的时间:0.113秒

CCENT / CCNA

思科公司 Routers

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec VPN
  • IPSec模式

思科公司 Help

  • 视窗 8 VPN客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置