我正在使用 Cisco 1921 路由器。我想配置它们以限制出站数据可以流动的速率。关键是我希望这个速率限制非常低,比如每天1000 字节。有没有办法做到这一点?或者,如果没有,有没有人知道我可以插入可以达到这种效果的独立设备?
澄清我在这里要完成的任务:我商店中的用户进行了大量数据下载,因此我希望对传入数据没有限制。但是,我希望对传出数据进行严格限制,以防止驻留在我的服务器上的极其有价值的信息发生任何重大泄漏。
进一步澄清:通过路由器的路径专门用于下载。没有冲浪正在进行,只是使用 sftp 和 ftp(遗留代码!)的 cronned 脚本。因此,出站流量正是支持文件传输协议所需的一切。1000 字节并不是硬性限制——事实上,在这一点上,我不确定这个限制应该是多少。
我认为您不想听到这个,但是不,您不想像您在问题中指定的那样进行速率限制。这不是防止信息泄露的好方法。关于此主题,请参阅XY 问题。
首先,仅在为合法传输发送的 ACK 上,每天 1000 字节的上限将很快用完。
正如@MikePennington 在评论中提到的那样,您最好使用代理来执行所需的策略。
因此,解决您的问题的一项建议可能是:
代理服务器可以很容易地用于防止文件被上传,同时它仍然允许下载。
根据您的环境,将整个服务器移动到 DMZ 并且只将客户端留在受保护的网络中可能是有意义的。这是否可行和有益,很大程度上取决于服务器的访问方式、服务器上运行的内容以及使用方式。
还有一些其他问题可能有助于您评估情况:
无论如何,此列表并不详尽。
听起来你应该检查你的整体架构,而不是插入零碎的东西来防止信息泄露。没有解决安全问题的直接解决方案。
商业和开源都有特定的解决方案(通常是代理)可以解决这个问题,并且专门用于防止数据泄漏。在协议级别,将流量限制为某些人为值(每天 1000 或 10000 字节)是没有意义的,因为它会破坏 TCP 或任何其他更高级别的协议。