记得有回在跟某电信信息中心的人聊天时候有聊到，他说他们有考虑在Internet用户的接入层/汇聚层布署多功能安全设备，以过滤用户上网访问内容和控制用户感染病毒而对传输网络造成的影响。而事实上，俺也见过有ISP在几个小区的汇聚点布署FG的情况。所以想问一下对这方面熟悉的朋友，这种考虑可行吗？

[ 本帖最后由 jingshne 于 2005-12-31 21:37 编辑 ]

同样关注。搬个板凳坐等。

思科有一个关于全网的安全解决方案

引用:

原帖由 bbn 于 2006-1-1 10:40 发表
思科有一个关于全网的安全解决方案

可否发出来共享一下？

虽然这个想法很好，但是我觉得，可行性不大可能，因为对于现在网络的问题太多，你不能够保证一项，而另外一项未必能保证吧，设备？要什么样的设备才能够完全做到呢，难啊。
而且接入层/汇聚层布署多功能安全设备以过滤用户上网访问内容和控制用户感染病毒而对传输网络造成的影响，你想对于电信来说只是提供电路应用给用户，有点象租用，如果你把别人过滤了，是否意味着这个用不能上internet，那样用户肯吗？、即使你觉得这个是他的问题，但是如果他是营业的产所，本身的这些病毒并非他们搞的，那样把他们过虑了，他们不能营业肯定不肯，相对来说电信肯定也不会赞成的，难道有用户不要吗？有钱收入不要吗？？

我觉得在网络边缘部署这种安全设备的方式
最好为旁路侦测＋联动的方式
这样符合经济性＋性能的双重需求。

类似现在Cisco和其他一些厂家提的网络边缘的安全解决方案

目前比较经济可行的方法是采用支持ACL功能的二层接入交换机，即俗称二层半的交换机， 最好该交换机能够支持sFlow等流量采样分析协议。网络监测中心利用sFlow应用系统监测各接入交换机的端口流量情况，平时对接入交换机不加限制，当发现异常情况时，通过接入交换机ACL策略的统一分发，及时封闭特定TCP/UDP端口，这也就是DragonGo 所说的旁路侦测＋联动的方式。
就目前技术，自动联动控制不太可靠（以后估计也一样），一般采用人工介入的方式。

对用户数据的控制，法律上好像是存在问题的，这方面中国电信好像做的挺好，记得有回，俺叫电信的朋友帮我抓个包，他说：“我们不能抓的，我只能看到有信元的到达，但是我们不能去看里面是什么内容。”保证数据的透明传输，并且不能侵犯用户的隐私权是ISP必须做的。当然特殊情况例外。

但是，对于病毒和非法内容，比如，黄色，#$%^&什么的，这些东东的控制，是否也在侵犯用户隐私权的范围之类呢？

俺见过某ISP，他首先就把以知的服务端口改封了，不充许用户用他的线路架设服务器，而如果你更改端口，一段时间，这个端口又会被封。还有的就是当你网内不断有病毒向外传播的时候，他会把你的整个线路给封了，然后告诉你，必须先把内网病毒处理干净，这样才会给你再次开通。

俺想最重要的应该是上面两位大大说的，性能和成本的问题。

引用:

原帖由 DragonGo 于 2006-1-1 20:12 发表
我觉得在网络边缘部署这种安全设备的方式
最好为旁路侦测＋联动的方式
这样符合经济性＋性能的双重需求。

类似现在Cisco和其他一些厂家提的网络边缘的安全解决方案

旁路检测对于运营商来说可能是最实在的解决方案。

串接与链路的设备对于企业来说还不错，但对于运营商来说不管是可靠性，性能，管理方式，都不成熟。
记得以前听电信的人说，串接设备如果放到太接近核心网络的地方，光是造成的路由振荡都无法被电信接受。

不知道哪位大大有没有成熟的方案拿出来学习一下？

现在有谁知道可以对pppoe做拆包过滤的安全网关产品呀（防火墙 ips av等）？？？？？？？？？？？？

最好买国外产品

现在网络情况越来越复杂，病毒及攻击越来越容易和多样化，网络安全确实比较突出，希望和各位大侠多交流，吸收一下大家的经验啊

关注中！！！