我使用Windows Server 2003和2008有沒有以編程方式防止某些MAC地址訪問我的web應用程序
我即將要安裝使用簡單的連接到其他計算機的服務器上的Web應用程序有線網絡即沒有活動目錄,沒有域控制器等。
我的問題是:
是有辦法阻止我指定的名單之外的MAC地址訪問我的應用程序?它應該通過IIS或Web.config或者我應該在頁面加載事件中加入某些代碼。
另一個問題:如果我使用SSL來保護我的應用程序,它足以連同可靠的反病毒,防止病毒通過任何網絡計算機訪問我的服務器使用我的web應用程序
我不認爲這是可能的。
如果您可視化從客戶端到服務器的路由;沿着這條路線有'中繼',,即,路由器和交換機,它們將客戶機的請求路由到多個路徑之一。
在每一跳不同的MAC地址被插入到數據包中 - 這是路由上下一跳的MAC地址。
因此,雖然IP地址在整個路由中始終保持不變(因此您可以使用服務器變量或諸如此類來確定客戶端的IP地址),但在最後一跳之後在服務器上收到的MAC實際上是請求直接通過的最後一個網絡設備的MAC地址。
您能夠準確使用此MAC地址進行某種訪問控制的唯一方法是如果您與所有客戶端之間沒有路由或交換硬件。
如果什麼路由涉及 - 你想排除的MAC地址在另一個網絡上?在這種情況下,你永遠不會看到MAC地址。使用IIS你可以過濾特定的IP地址。
,以確保網絡(也最低要求,否則視爲非安全網絡)
1獲得Cisco交換機和路由器或(多層交換機)
2改變本地VLAN,然後創建一個最簡單的方法和配置例如10,20,30的VLAN並把IP的範圍爲每個VLAN
3-啓動端口安全功能的MAC地址設置最大數量和啓用MAC地址「粘性」
4-配置路由協議允許切換他們互相「交談」
好運
你在這裏解釋的是如何配置網絡安全,而mokokamello的問題是如何爲服務器上的Web應用程序配置MAC訪問列表 - 甚至連服務器的安全性,僅針對該Web應用程序。據我所知,沒有任何思科交換機可以做到這一點。另外,關於第4點,爲什麼你會在交換機上使用路由協議?路由協議在第3層操作;交換機在第2層運行。在這種情況下,您應該做的是在交換機上啓用STP,或在路由器上啓用路由協議。 – awj 2010-12-16 07:28:05
@awj你是對的,我沒有說這是可能的,我只是給出了我的建議,以確保一個網絡。關於第4點「配置路由協議以允許開關」我說允許開關,而不是開關。 – statmaster 2010-12-17 18:08:29
我想awj答案是最合適的答案,所以mokokamello請接受awj答案 – statmaster 2010-12-17 18:09:10
這會給你什麼樣的安全性?任何有能力進入你的網絡的人都可能知道如何欺騙他們的MAC地址,並且看ARP和NetBIOS流量就足以收集一個可用的MAC地址。使用適當的認證機制會更好。 – cdhowie 2010-12-15 20:37:47