一、P2P控制

　　网络管理员:最近“火”起来的Skype，人们习惯将它归类于IM(即时消息)，其实，和BT下载一样，它本质上属于P2P通信软件。这些工具很多都宣称自己可以穿越防火墙。难道防火墙就束手无策吗?

　　测试实况: Skype等软件为了便于用户在各种条件下使用，它们可以利用80(一般用于HTTP)和443(一般用于HTTPS)端口进行通信，而这两个端口对于防火墙来说一般都是打开的。我们采用了两种方法进行测试，旨在考察防火墙是否可以控制Skype通信以及是如何实现此功能的。拓扑如图1所示(第二种拓扑用代理服务器取代网关，其余配置类似)。

图1　P2P通信控制拓扑图

图2　防DoS攻击拓扑图

　　测试中，只有Check Point i-SECURITY SP-5500和FortiGate 3600能够针对Skype进行控制，而且两种测试拓扑都控制成功，尽管它们在配置上有所区别。

　　不管是哪种测试拓扑，在一开始，我们并没有启动Skype控制，而是在防火墙上添加了必要的地址和策略配置，除了域名解析外，我们只允许目的端口为80和443的通信通过。并启用了NAT，还根据需要进行了默认路由的配置。

　　然后，我们打开防火墙的控制选项。在FortiGate 3600的IPS中，专门有一个P2P控制组，组内包含BT(Bit_Torrent)、电驴(Edonkey)、Gnutella、Kazaa和 Skype等小项，你可以对其中的任意一个或多个进行阻断。而大家熟悉的MSN则被放到了IPS的IM控制组中。在将Skype阻断打开后，Skype不能联机。

　　Check Point i-SECURITY SP-5500进行Skype控制的结果和FortiGate 3600是一样的，Skype联机成功与否完全取决于防火墙是否打开控制功能。Check Point i-SECURITY SP-5500应用智能的P2P控制部分有MSN和Kazaa等项目，尽管其中没有对Skype的控制选项，但在P2P和其他很多针对应用层的控制栏目中，Check Point都提供了新增特征的功能。即通过输入某种软件的应用层特征，来实现对该软件的控制。因为现在每天都会有新的P2P软件被开发出来，使用这种特性可以使用户不必等到下次产品升级就可以对其进行控制。Check Point的工程师在测试过程中将Skype的特征码发给了我们。令人欣喜的是，FortiGate 3600也支持新增特征。

　　在测试前，我们听说有一些网关产品通过访问控制规则而不是应用层特征来控制IM，这些规则过滤掉了到Internet上IM用户注册服务器的部分或全部通信。我们认为这种方法不灵活而且容易失效。因而设计了Skype穿过防火墙通过代理服务器进行联机的测试拓扑。

　　我们这个测试主要想观察一下设备在过滤Skype通信时的做法，因而需要在防火墙上设置允许到代理服务器的数据通过。

　　经过测试，Check Point i-SECURITY SP-5500和FortiGate 3600都能控制成功，而此时Skype用户的笔记本电脑上MSN依然可以登陆(MSN未加控制)。由于内网Skype用户所有的通信都指向了代理服务器 (经Sniffer抓包确实如此)，所以它们应该都是通过在应用层分析Skype的特征来实现控制的。

推荐文章 ·怎么样给企业级防火墙“体检” ·构建Linux系统下U盘路由器、防火 ·安全基础：防火墙功能指标详解 ·没有防火墙是可行的 但是并不理 ·没有防火墙的安全:明智还是愚蠢? ·使用防火墙封阻应用攻击的八项技 ·防火墙与路由器的安全性比较 ·防火牆安全管理 ·netfilter: Linux 防火墙在内核 ·再谈防火墙及防火墙的渗透 ·一种新的穿透防火墙的数据传输技