关于FSRM中的File Screen功能
那天偷偷上了王老大的WebCast(其实都是正大光明的了,因为偶还和王老大说话来着),收到一个听众的启发,就来写了这么一篇东西。
FSRM中的File Screen功能其实在VERITAS的Storage Exec中也能看到,有听众问到了王老大关于压缩文件检查和文件头,其实压缩文件在FSRM中是可以限制的,但是和所有文件限制策略一样,R2中的FSRM不检查文件内容,也就是说用户只要修改文件的后缀就可以成功存放原来被限制的文件。
在VERITAS的Storage Exec中就可以做到检查文件内容,Storage Exec是通过一个文件签名库来实现这个功能的,但是由于文件检查是一个比较消耗资源的行为,所以你会发现在Stprage Exec启用文件内容检查后,文件是先被传送到目录中,然后再检查文件内容,当文件内容被检查出来是违反策略的某种类型文件时,Storage Exec再将它删除掉。
其实这样对文件服务器的资源消耗会大幅度的增加,因为如果我放10000个小文件上去,也就意味着文件服务器要检查10000个文件。
对于压缩文件来说,如果有压缩文件检查这样的策略,更加容易造成潜在的DOS攻击。因为就像很多杀毒软件一样,压缩文件杀毒选项中一般要设定解压缩多少层,如果设的太小,用户多压缩几层就可以绕过限制,而如果设定太高的话,用户就可以找一些小文件,压上个几百层,然后放到文件服务器上,这样就会造成文件服务器疲于解压缩,最终引发类似DOS攻击的结果。
对于加密文件,这个应该是当前EFS的技术限制,除非微软允许在FSRM中用类似Storage Exec的文件签名库技术再加上Recovery Agent这样的特权账号,才能检查被加密的文件。
就算到底了,用户还可以用二进制的方式修改文件的头部来绕过文件类型的检查,所以说了,FSRM的这个功能和Storage Exec一样,还远远不能完全解决用户滥用空间的问题。不过FSRM比Storage Exec好的一点是,这个功能是免费的,那么有的用为什么不用呢?