经过第三层后,数据包来到了第二层,数据链路层。数据链路层继续在数据包外边附加控制信息,其中有两个重要的参数,源MAC 地址与目地MAC地址。被加工过的数据包称为数据帧。数据帧再被转化为bit流就可以在物理网络上传输了。当目地MAC主机收到数据帧后,就像“剥洋葱”一样,一层一层剥去控制信息,在剥到第四层时发现,端口号指出,ABCD这条消息应该被提交给QQb。以上描述可能并不十分严紧,但数据在网络中大概就是这样被传输的。 管理MAC地址:MAC地址工作在OSI模型的第二层。这个地址被“烧”在了网卡上,它就像是每台电脑相对固定的身份证一样,每当电脑与对端设备进行通信时,双方的MAC地址总会出现在数据帧中。这就相当于数据帧有了“身份”信息,而且这一信息就在数据帧的最外围,所以对数据帧进行管理是最简单的。但其实MAC地址很容易被修改 — 不是真的重新烧录网卡上的地址,而是在操作系统层面进行“软”修改。修改了MAC地址,相关的管理策略也就失效了。 管理IP地址:IP地址工作在OSI模型的第三层,这个地址是我们手动为网卡指定的,修改起来也更加方便。管理IP地址要比管理MAC地址方便一些,也更有效率,比如,可以对一个IP地址段进行策略套用。但不足也同样明显,修改IP地址比修改MAC地址更容易,所以基于IP地址的安全策略很容易被“绕过”。 管理端口号:端口号与具体的应用程序有关,所以基于端口号的策略的有效性要比其它两种稍强一些。比如,一台在192.168.2.0网络中的服务器开放了Telnet端口(23号端口),但不希望192.168.1.0网络的电脑访问,一种方法是可以在路由器上设置一条策略,禁止所有来自192.168.1.0的Telnet请求通过。这样的话,192.168.1.0网络中的某台电脑,无论怎样修改IP地址、MAC地址都是无法访问服务器的。原因很简单,因为在此情境中,所有Telnet请求都必须访问23号端口。 不可否认,基于端口号的管理策略在某些情况下是比较有效的,但这仅是在少数情况下。因为多数应用所使用的不是固定的端口号,比如QQ、MSN、BT等等。看到这里我想您也明白了,所谓有效的管理策略都是基于不可变“条件元素”的,但传统的“老三样”所基于的“条件元素”都是可修改的,所以“老三样”很难有效管理QQ、MSN、BT。
之所以上网行为管理路由器可以有效的管理QQ、MSN、BT等,是因为这类设备使用了不同的“条件元素”,即应用层协议。每个应用层协议都是为了服务于某一类应用,比如,BT客户端有很多,包括比特精灵,比特慧星等,但它们所使用的其实都是bittorrent协议。协议比MAC地址、IP地址、端口号都要“稳定”,实际上对于用户来讲是不可修改的,所以基于应用层协议的管理策略十分有效。对应用层协议进行识别,基于此再套用管理策略,这就是上网行为管理的本质。>>
|
正在阅读:围剿与反围剿 解析上网行为管理那点事围剿与反围剿 解析上网行为管理那点事
2009-12-02 17:07
出处:PConline原创
责任编辑:gaohongjun
键盘也能翻页,试试“← →”键
热门排行
IT百科
热门专题
网络设备论坛帖子排行
最高点击
最高回复
最新
-
37次
GoDaddy美国虚拟主机让智能建站更简单
1 -
25次
香港服务器10M独享,16G,2T,仅700元
2 -
23次
LOLS9皎月女神-黛安娜符文出装攻略 另类玩法征服者流皎月的玩法教学
3 -
20次
数字经济推动安防市场发展,安防企业应如何立足?
4 -
18次
王者荣耀GK.鹏鹏云中君KPL首秀铭文及出装 暴击穿透两不误?
5 -
17次
“户外液晶广告机”,新一代公园景区观光体验黑科技!
6 -
16次
首次揭秘:阿里巴巴中间件在 Serverless 技术领域的探索
7 -
14次
首次揭秘:阿里巴巴中间件在 Serverless 技术领域的探索
8 -
14次
自从有了佳能喷墨打印机G2810,再也不用担心墨盒太贵啦
9 -
13次
一分钟了解千兆与万兆光模块的那些事儿
10
汽车资讯
最新资讯离线随时看
聊天吐槽赢奖品